A multa substancial foi imposta ao Morgan Stanley Bank, NA e ao Morgan Stanley Private Bank, NA, pelo Gabinete do Controlador de Moeda dos Estados Unidos (OCC), que descobriu deficiências nas práticas de desativação de dados dos bancos.
A agência bancária federal descobriu que, em 2016, os bancos “falharam em exercer a supervisão adequada da desativação de dois data centers de negócios de Wealth Management localizados nos Estados Unidos.”
Entre os problemas sinalizados pelo OCC estavam avaliação de risco inadequada e monitoramento de fornecedores terceirizados e falha em manter o controle das informações do cliente.
Uma ordem de consentimento para a avaliação de uma penalidade de dinheiro civil declara que os bancos “não avaliaram ou trataram de forma eficaz os riscos associados à desativação de seu hardware; não avaliaram adequadamente o risco de usar fornecedores terceirizados, incluindo subcontratados; e não manter um inventário apropriado dos dados do cliente armazenados nos dispositivos. “
O Morgan Stanley, com sede na cidade de Nova York, também não conseguiu exercer a devida diligência na seleção do fornecedor terceirizado contratado pelo Morgan Stanley e não monitorou adequadamente o desempenho do fornecedor.
Três anos depois da desativação dos dois data centers, a OCC constatou que a disposição dos dados nos bancos ainda não estava como deveria.
“Em 2019, os bancos experimentaram deficiências semelhantes de controle de gerenciamento de fornecedores em conexão com o descomissionamento de outros dispositivos de rede que também armazenavam dados de clientes”, afirmou o controlador.
Morgan Stanley, sob a direção do OCC, notificou os clientes potencialmente afetados do incidente de 2016 e voluntariamente notificou os clientes potencialmente afetados do incidente de 2019. O banco empreendeu ações corretivas iniciais e o OCC declara que “está empenhado em tomar todas as medidas necessárias e adequadas para remediar as deficiências”.
O OCC constatou que as deficiências observadas constituem “práticas inseguras ou prejudiciais” e resultaram na não conformidade com 12 CFR Parte 30, Apêndice B, “Diretrizes de Interagência que Estabelecem Padrões de Segurança da Informação”.
A multa de $ 60 milhões em dinheiro civil será paga ao Tesouro dos Estados Unidos.
Fonte: https://www.infosecurity-magazine.com/news/morgan-stanley-fined-60m-over-data/
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…