Chili e Macy ensinam lições muito diferentes sobre a resposta à violação

Cada novo dia parece trazer uma revelação de outra violação de dados. Eles acontecem com tanta frequência agora que se tornaram comuns e a mídia e seus leitores parecem estar perdendo o interesse.
No entanto, duas violações recentes merecem atenção adicional como uma oportunidade de aprendizado para o notável contraste em como cada uma delas foi tratada pelas empresas que as sofreram: a Chili's e a Macy's.
Em 11 de maio, a Chili's informou que havia sofrido uma violação. E daí? Apenas outra brecha. O que foi digno de nota sobre a violação do Chili é a rapidez com que foi descoberta e a rapidez com que os parceiros e clientes de pagamento da popular rede de restaurantes foram notificados.
Poucas horas depois de saber sobre a violação, a Brinker International, empresa controladora da rede Chili's, emitiu um comunicado à imprensa, um aviso no site e conselhos de mídia social informando os consumidores e outras partes interessadas sobre o incidente. Brinker compartilhou imediatamente o que era conhecido, compartilhou o que ainda não sabia sobre o escopo da violação e das causas subjacentes e ofereceu aconselhamento inteligente aos consumidores cujas informações de pagamento podem ter sido comprometidas.
Essa ação simples e desinteressada permitiu que os clientes da Chili começassem a verificar imediatamente suas contas de cartão de débito e crédito para cobranças incomuns. Isso deu aos hackers que roubaram os dados do cartão de pagamento muito menos tempo para explorar os cartões de débito e crédito roubados do que eles teriam. A sinceridade de Brinker e a ação rápida tornaram a violação menos valiosa para os criminosos.
"Ao saber desse incidente, ativamos imediatamente nosso plano de resposta", dizia o comunicado da Brinker. “Estamos trabalhando com especialistas forenses terceirizados para conduzir uma investigação completa para determinar os detalhes do que aconteceu. A polícia foi notificada desse incidente e continuaremos a cooperar totalmente. ”
A resposta de bom cidadão de Brinker estava em nítido contraste com tantas outras que vemos, onde grandes marcas anunciam violações de dados muitos meses depois de descobri-las. Atrasando a divulgação, correm o risco de expor clientes, instituições financeiras e emissoras de cartões a perdas adicionais. Esses custos são invariavelmente repassados aos clientes na forma de preços e taxas mais altos.
Embora existam muitas coisas que os consumidores admiram na Macy's, o recente protocolo de resposta a hackers do varejista não é um deles. A empresa esperou um mês para notificar os clientes após uma violação contínua das contas de clientes Macys.com e Bloomingdales.com. A violação permitiu que uma parte não autorizada acesse nomes de clientes, endereços, números de telefone, endereços de email, aniversários e números de cartão de débito ou crédito com datas de vencimento. Um porta-voz da empresa afirmou que o varejista acrescentou medidas de segurança adicionais como precaução , que provavelmente enviou alguns clientes e parceiros intrigados ao dicionário para verificar novamente a definição da palavra.
Os consumidores precisam saber se as empresas que confiaram suas informações confidenciais implementaram medidas de segurança que seguem as melhores práticas. Infelizmente, o número cada vez maior de violações de dados indica que, em muitas situações, esse não é o caso. A maioria das empresas implementa a segurança necessária, como a autenticação multifator, mas é necessária uma regulamentação adicional para garantir que todas elas o façam.
Felizmente, os recentes avanços na tecnologia antifraude, como biometria , análise de comportamento e autenticação adaptável estão facilitando o trabalho de parar os hackers. Essas novas tecnologias aliviam a carga sobre os usuários e fornecem uma forte proteção contra ameaças de hackers.
Enquanto isso, a abordagem da Brinker com a Chili's serve como modelo para outras marcas voltadas para o consumidor que recebem os dados de pagamento de seus clientes.
A fórmula para o sucesso inclui:
- Adotar completamente os mais recentes padrões PCI;
- Adoção de estratégias de segurança aprofundadas e em camadas, com autenticação multifatorial e análise de risco para validar identidades confiáveis em todos os canais;
- Garantir que os planos e programas de segurança cibernética tenham um componente de notificação de violação;
- Notificar os consumidores e outras partes interessadas imediatamente caso ocorra uma violação;
- Fornecer informações atualizadas sobre o processo e o status da investigação;
- Tratar clientes e parceiros do ecossistema de pagamentos como parceiros inestimáveis no comércio e segurança que são.
Violações sempre farão parte da vida, desde que haja dados eletrônicos e a Internet. Os custodiantes de dados confidenciais precisam fazer o investimento necessário para se proteger contra violações e precisam ser responsáveis o suficiente para mitigar as perdas para todas as partes quando ocorre uma violação.
Nós sempre tentamos fazer a coisa certa. A Chili's está feliz que uma resposta rápida possa limitar os danos aos nossos hóspedes. Não há nada mais importante do que nossos convidados.
- Chili's Grill & Bar ( @Chilis ) 14 de agosto de 2018
O artigo a seguir, de autoria de John Gunn, CMO da OneSpan, apareceu pela primeira vez em 23/7/18 em PaymentsSource .