http://www.justrenttoown.com/blog/wp-content/uploads/2015/10/p260-261_3042978k-600x400.jpg

Morgan Stanley multado em US$ 35 mi por má gestão de dados

Da Redação
22/09/2022

A comissão de valores mobiliários dos EUA (Securities and Exchange Commission, SEC) formalizou na terça-feira dia 20 de Setembro acusações contra o banco Morgan Stanley Smith Barney decorrentes das extensas falhas na proteção de informações de identificação pessoal de aproximadamente 15 milhões de clientes, que duraram pelo menos cinco anos. O banco concordou em pagar uma multa de US$ 35 milhões para liquidar as acusações da SEC.

Veja isso
Fornecedor vazou dados de clientes do Morgan Stanley
Morgan Stanley gastará US$ 60 mi por violação de dados

A manifestação da SEC conclui que já em 2015 o banco falhou em descartar adequadamente os dispositivos que continham as informações de identificação pessoal de seus clientes. Em várias ocasiões, ele contratou uma empresa de movimentação e armazenamento sem experiência ou conhecimento em serviços de destruição de dados para desativar milhares de discos rígidos e servidores que continham as informações de milhões de seus clientes.

Além disso, de acordo com a SEC, ao longo de vários anos o MOrgan Stanley falhou em monitorar adequadamente o trabalho da empresa de transportes desse material. A investigação da equipe descobriu que a empresa vendeu para terceiros milhares de dispositivos, incluindo servidores e discos rígidos, alguns dos quais continham informações dos clientes – e que acabaram sendo revendidos em um site de leilões na Internet sem a remoção de tais informações. Embora o banco tenha recuperado alguns dos dispositivos, onde havia milhares de dados não-criptografados de clientes, a empresa de transportes não recuperou a grande maioria dos dispositivos.

A ordem da SEC também conclui que o banco falhou em proteger adequadamente as informações de clientes e em descartar adequadamente as informações de relatórios de consumidores quando desativou escritórios locais e servidores de filiais como parte de um programa de atualização de hardware mais amplo. Um exercício de reconciliação de registros realizado pela empresa durante esse processo de desativação revelou que 42 servidores, todos potencialmente contendo informações de identificação pessoal de clientes não-criptografadas, além de informações de relatórios de consumidores, estavam faltando. Além disso, durante esse processo, o banco também tomou conhecimento de que os dispositivos locais que estavam sendo desativados foram equipados com capacidade de criptografia – mas a empresa não conseguiu ativar o software de criptografia em todos esses anos.

“As falhas do MSSB neste caso são surpreendentes. Os clientes confiam suas informações pessoais a profissionais financeiros com o entendimento e a expectativa de que serão protegidas, e o Morgan Stanley falhou lamentavelmente em fazê-lo”, disse Gurbir S. Grewal, Diretor da Divisão de Cumprimento da SEC. “Se não forem devidamente protegidas, essas informações confidenciais podem acabar em mãos erradas e ter consequências desastrosas para os investidores. A ação de hoje envia uma mensagem clara às instituições financeiras de que elas devem levar a sério sua obrigação de proteger esses dados”.

Sem admitir ou negar suas conclusões, o banco concordou com a ordem da SEC declarando que a empresa violou as Salvaguardas e Regras de Descarte sob a Regulamentação SP e concordou em pagar a penalidade.

Compartilhar: