Una empresa de software de Carolina del Sur llegó a un acuerdo multimillonario por un caso de ransomware ocurrido en 2020 que expuso la información personal de millones de consumidores en Estados Unidos.
El Fiscal General de Carolina del Sur, Alan Wilson, anunció que Blackbaud pagaría 49,5 millones de dólares a los estados para resolver las acusaciones de que la empresa violó las leyes estatales de protección del consumidor, las leyes de notificación de infracciones y la HIPAA al no implementar una seguridad de datos razonable.
El software de Blackbaud conecta a las organizaciones sin ánimo de lucro con los donantes y gestiona datos sobre sus electores. Esos datos incluyen información de contacto y demográfica, números de la Seguridad Social, números de carné de conducir, información financiera, información laboral y patrimonial, historial de donaciones e información sanitaria protegida.
En 2020, una filtración de datos que afectó a 13.000 clientes de Blackbaud expuso la información de sus consumidores. Wilson dijo que Blackbaud reforzará su seguridad de datos y notificaciones de violación en el futuro, incluyendo: Prohibición de tergiversaciones relacionadas con el procesamiento, almacenamiento y salvaguarda de información personal; la probabilidad de que la información personal afectada por un incidente de seguridad pueda ser objeto de divulgación o uso indebido posterior; y los requisitos de notificación de incumplimiento bajo la ley estatal y HIPAA.
Implantación y mantenimiento de planes de respuesta a incidentes y violaciones para prepararse y responder más adecuadamente a futuros incidentes de seguridad y violaciones.
Disposiciones de notificación de violaciones que requieren que Blackbaud proporcione la asistencia adecuada a sus clientes y apoye el cumplimiento por parte de los clientes de los requisitos de notificación aplicables en caso de una violación.
Notificación de incidentes de seguridad al CEO y a la Junta Directiva, mejora de la formación de los empleados y recursos y apoyo adecuados para la ciberseguridad.
Salvaguardas y controles de la información personal que exigen el cifrado total de las bases de datos y la supervisión de la dark web.
Requisitos de seguridad específicos con respecto a la segmentación de la red, gestión de parches, detección de intrusiones, cortafuegos, controles de acceso, registro y supervisión, y pruebas de penetración.
Evaluaciones por terceros del cumplimiento del acuerdo por parte de Blackbaud durante 7 años.
Carolina del Sur recibirá 730.449 dólares del acuerdo.