Equifax заплатит от 575 до 700 миллионов долларов по соглашению ФТК за утечку данных
Кредитное бюро Эквифакс согласилось компенсировать ущерб, причиненный пользователям в рамках прошедшей кибератаки в 2017 году, в результате которой был получен доступ к конфиденциальным данным (номерам социального страхования, датам рождения и домашним адресам) порядка 147 млн. клиентов Equifax.
Согласно заключенному соглашению Equifax выплатит 300 миллионов долларов фонду, который предоставит пострадавшим пользователям услугу мониторинга кредитной истории. Помимо прочего Equifax добавит в фонд до $ 125 млн, если первоначального взноса не хватит для компенсации потребителям их потерь в итоге произошедшей кибератаки.
Кроме того, начиная с января 2020 года, Equifax будет предоставлять всем потребителям США шесть бесплатных кредитных отчетов каждый год в течение семи лет— в дополнение к одному бесплатному годовому кредитному отчету, который Equifax и два других национальных агентства кредитной отчетности в настоящее время предоставляют на безвозмездной основе.
В дополнение к материальной компенсации для потребителей, Equifax также требуется реализовать комплексную программу информационной безопасности, требующую от компании принять ряд мер, в том числе:
- Назначение сотрудника для наблюдения за программой информационной безопасности;
- Проведение ежегодных оценок внутренних и внешних рисков безопасности и внедрение гарантий для устранения потенциальных рисков, таких как управление исправлениями и политика восстановления безопасности, механизмы сетевого вторжения и другие меры защиты;
- Получение ежегодных сертификатов от Совета директоров Equifax или соответствующего подкомитета, подтверждающих, что компания выполнила заказ, в том числе требования к информационной безопасности;
- Тестирование и мониторинг эффективности гарантий безопасности;
- Обеспечение доступа поставщиков услуг к персональной информации, хранящейся в Equifax, налагает на данных вендоров аналогичные требования в области ИБ.
Данные дополнения также требуют от компании получать сторонние оценки своей программы информационной безопасности каждые два года. Приказ предоставляет комиссии полномочия утверждать оценщика на каждый двухлетний период оценки, а также обязует Equifax предоставлять ежегодное обновление отчета в ФТК о состоянии процесса урегулирования потребительских претензий.