Morgan Stanley multado em $ 60 milhões pelo descarte de dados

A multa substancial foi imposta ao Morgan Stanley Bank, NA e ao Morgan Stanley Private Bank, NA, pelo Gabinete do Controlador de Moeda dos Estados Unidos (OCC), que descobriu deficiências nas práticas de desativação de dados dos bancos.  

A agência bancária federal descobriu que, em 2016, os bancos “falharam em exercer a supervisão adequada da desativação de dois data centers de negócios de Wealth Management localizados nos Estados Unidos.”

Entre os problemas sinalizados pelo OCC estavam avaliação de risco inadequada e monitoramento de fornecedores terceirizados e falha em manter o controle das informações do cliente. 

Uma  ordem de consentimento  para a avaliação de uma penalidade de dinheiro civil declara que os bancos “não avaliaram ou trataram de forma eficaz os riscos associados à desativação de seu hardware; não avaliaram adequadamente o risco de usar fornecedores terceirizados, incluindo subcontratados; e não manter um inventário apropriado dos dados do cliente armazenados nos dispositivos. “

O Morgan Stanley, com sede na cidade de Nova York, também não conseguiu exercer a devida diligência na seleção do fornecedor terceirizado contratado pelo Morgan Stanley e não monitorou adequadamente o desempenho do fornecedor.

Três anos depois da desativação dos dois data centers, a OCC constatou que a disposição dos dados nos bancos ainda não estava como deveria.

“Em 2019, os bancos experimentaram deficiências semelhantes de controle de gerenciamento de fornecedores em conexão com o descomissionamento de outros dispositivos de rede que também armazenavam dados de clientes”, afirmou o controlador.

Morgan Stanley, sob a direção do OCC, notificou os clientes potencialmente afetados do incidente de 2016 e voluntariamente notificou os clientes potencialmente afetados do incidente de 2019. O banco empreendeu ações corretivas iniciais e o OCC declara que “está empenhado em tomar todas as medidas necessárias e adequadas para remediar as deficiências”.

O OCC constatou que as deficiências observadas constituem “práticas inseguras ou prejudiciais” e resultaram na não conformidade com 12 CFR Parte 30, Apêndice B, “Diretrizes de Interagência que Estabelecem Padrões de Segurança da Informação”.

A multa de $ 60 milhões em dinheiro civil será paga ao Tesouro dos Estados Unidos.

Fonte: https://www.infosecurity-magazine.com/news/morgan-stanley-fined-60m-over-data/