O banco Morgan Stanley fechou um acordo de US$ 6,5 milhões sobre o descarte incorreto de hardware contendo informações pessoais não criptografadas. “Por meio de práticas negligentes de segurança interna de dados, o banco de investimento multinacional e a empresa de serviços financeiros potencialmente expuseram as informações pessoais de milhões de clientes”, disse a Procuradoria-Geral da Flórida.
O acordo põe fim a uma ação coletiva contra o banco norte-americano movida em 2020, acusando a instituição de violações de dados causadas pela perda, extravio ou violação dos equipamentos nos quais eles esses dados eram armazenados. Eles faziam parte de dois data centers que foram desativados.
Uma investigação descobriu que o gigante bancário não apagou corretamente informações pessoais não criptografadas armazenadas em dispositivos que estavam sendo desativados. Especificamente, ao tentar desativar milhares de discos rígidos contendo informações confidenciais do consumidor, o Morgan Stanley contratou “uma empresa de mudanças sem experiência em serviços de destruição de dados” e não conseguiu monitorar suas ações.
A empresa de mudanças, diz a Procuradoria-Geral da Flórida, vendeu os equipamentos de informática em leilões pela internet sem o conhecimento do banco. Por fim, um comprador encontrou os dados e entrou em contato com o Morgan Stanley.
Durante outro processo, a empresa de serviços financeiros descobriu 42 servidores desaparecidos potencialmente contendo informações de clientes não criptografadas. O problema, segundo a investigação, se deveu a “uma falha do fabricante no software de encriptação”. A investigação também descobriu que a empresa de serviços financeiros não implementou controles adequados de fornecedores e inventários de ativos, o que poderia ter evitado a exposição dos dados.
Veja isso
Descarte de servidores expôs dados de clientes do banco Morgan Stanley
Morgan Stanley multado em US$ 35 mi por má gestão de dados
Como parte do acordo, além de pagar US$ 6,5 milhões aos estados da Flórida, Connecticut, Indiana, Nova Jersey, Nova York e Vermont, o Morgan Stanley teve de assinar um termo para melhorar a segurança das informações pessoais.
O banco será obrigado também a criptografar dados em repouso e em trânsito, implementar uma política de coleta, uso, retenção e descarte de dados, implementar ferramentas para rastrear hardware contendo informações pessoais e manter um programa de segurança da informação, um plano de resposta a incidentes e uma equipe de avaliação de risco do fornecedor.
