Chili e Macy ensinam lições muito diferentes sobre a resposta à violação

John Gunn, 26 de Julho de 2018

Cada novo dia parece trazer uma revelação de outra violação de dados. Eles acontecem com tanta frequência agora que se tornaram comuns e a mídia e seus leitores parecem estar perdendo o interesse.

No entanto, duas violações recentes merecem atenção adicional como uma oportunidade de aprendizado para o notável contraste em como cada uma delas foi tratada pelas empresas que as sofreram: a Chili's e a Macy's.

Em 11 de maio, a Chili's informou que havia sofrido uma violação. E daí? Apenas outra brecha. O que foi digno de nota sobre a violação do Chili é a rapidez com que foi descoberta e a rapidez com que os parceiros e clientes de pagamento da popular rede de restaurantes foram notificados.

Poucas horas depois de saber sobre a violação, a Brinker International, empresa controladora da rede Chili's, emitiu um comunicado à imprensa, um aviso no site e conselhos de mídia social informando os consumidores e outras partes interessadas sobre o incidente. Brinker compartilhou imediatamente o que era conhecido, compartilhou o que ainda não sabia sobre o escopo da violação e das causas subjacentes e ofereceu aconselhamento inteligente aos consumidores cujas informações de pagamento podem ter sido comprometidas.

Essa ação simples e desinteressada permitiu que os clientes da Chili começassem a verificar imediatamente suas contas de cartão de débito e crédito para cobranças incomuns. Isso deu aos hackers que roubaram os dados do cartão de pagamento muito menos tempo para explorar os cartões de débito e crédito roubados do que eles teriam. A sinceridade de Brinker e a ação rápida tornaram a violação menos valiosa para os criminosos.

"Ao saber desse incidente, ativamos imediatamente nosso plano de resposta", dizia o comunicado da Brinker. “Estamos trabalhando com especialistas forenses terceirizados para conduzir uma investigação completa para determinar os detalhes do que aconteceu. A polícia foi notificada desse incidente e continuaremos a cooperar totalmente. ”

Banco de dados de Chili no Facebook

A resposta de bom cidadão de Brinker estava em nítido contraste com tantas outras que vemos, onde grandes marcas anunciam violações de dados muitos meses depois de descobri-las. Atrasando a divulgação, correm o risco de expor clientes, instituições financeiras e emissoras de cartões a perdas adicionais. Esses custos são invariavelmente repassados aos clientes na forma de preços e taxas mais altos.

Embora existam muitas coisas que os consumidores admiram na Macy's, o recente protocolo de resposta a hackers do varejista não é um deles. A empresa esperou um mês para notificar os clientes após uma violação contínua das contas de clientes Macys.com e Bloomingdales.com. A violação permitiu que uma parte não autorizada acesse nomes de clientes, endereços, números de telefone, endereços de email, aniversários e números de cartão de débito ou crédito com datas de vencimento. Um porta-voz da empresa afirmou que o varejista acrescentou medidas de segurança adicionais como precaução , que provavelmente enviou alguns clientes e parceiros intrigados ao dicionário para verificar novamente a definição da palavra.

Os consumidores precisam saber se as empresas que confiaram suas informações confidenciais implementaram medidas de segurança que seguem as melhores práticas. Infelizmente, o número cada vez maior de violações de dados indica que, em muitas situações, esse não é o caso. A maioria das empresas implementa a segurança necessária, como a autenticação multifator, mas é necessária uma regulamentação adicional para garantir que todas elas o façam.

Felizmente, os recentes avanços na tecnologia antifraude, como biometria , análise de comportamento e autenticação adaptável estão facilitando o trabalho de parar os hackers. Essas novas tecnologias aliviam a carga sobre os usuários e fornecem uma forte proteção contra ameaças de hackers.

Enquanto isso, a abordagem da Brinker com a Chili's serve como modelo para outras marcas voltadas para o consumidor que recebem os dados de pagamento de seus clientes.

Autenticação adaptativa: experiência de usuário superior e crescimento por meio da segurança inteligente
RELATÓRIO BRANCO

Autenticação adaptativa: experiência de usuário superior e crescimento por meio da segurança inteligente

Baixe este documento e alcance o objetivo duplo de reduzir a fraude e agradar ao cliente.

Baixar Agora

A fórmula para o sucesso inclui:

  • Adotar completamente os mais recentes padrões PCI;
  • Adoção de estratégias de segurança aprofundadas e em camadas, com autenticação multifatorial e análise de risco para validar identidades confiáveis em todos os canais;
  • Garantir que os planos e programas de segurança cibernética tenham um componente de notificação de violação;
  • Notificar os consumidores e outras partes interessadas imediatamente caso ocorra uma violação;
  • Fornecer informações atualizadas sobre o processo e o status da investigação;
  • Tratar clientes e parceiros do ecossistema de pagamentos como parceiros inestimáveis no comércio e segurança que são.

Violações sempre farão parte da vida, desde que haja dados eletrônicos e a Internet. Os custodiantes de dados confidenciais precisam fazer o investimento necessário para se proteger contra violações e precisam ser responsáveis o suficiente para mitigar as perdas para todas as partes quando ocorre uma violação.

O artigo a seguir, de autoria de John Gunn, CMO da OneSpan, apareceu pela primeira vez em 23/7/18 em PaymentsSource .

John Gunn é o CMO da OneSpan e traz duas décadas de experiência em liderança nos segmentos de segurança e software de TI. Antes de ingressar na OneSpan, John liderou o Security Solutions Group em Harland Clarke, onde lançou uma solução popular de proteção de identidade e antifraude ao consumidor SaaS.