Consideremos esta recente medida do Departamento de Serviços Financeiros do Estado de Nova Iorque contra a Delta Dental Insurance Company. Funcionários do Estado atacaram a companhia de seguros pela aplicação inadequada e inconsistente das suas próprias políticas de retenção de dados; protocolos inadequados de plano de resposta a incidentes; e notificação inadequada do próprio incidente de segurança.
A empresa foi multada em mais de US$ 2 milhões.
As violações de retenção de dados são talvez as mais problemáticas. Se essa política tivesse sido aplicada corretamente, muitos dos dados roubados teriam sido destruídos muito antes de os invasores terem acesso a eles.
Não é simplesmente uma questão de saber se as regras de TI para retenção eram suficientemente rigorosas. Alguns reguladores – e especialmente a Comissão Federal de Comércio dos EUA (FTC) – concentram-se extensivamente em empresas que não fazem o que dizem publicamente. Se um site corporativo promete algo aos clientes, a FTC fará com que as empresas cumpram sua palavra.
Fonte: Computer World
