A multa substancial foi imposta ao Morgan Stanley Bank, NA e ao Morgan Stanley Private Bank, NA, pelo Gabinete do Controlador de Moeda dos Estados Unidos (OCC), que descobriu deficiências nas práticas de desativação de dados dos bancos.
A agência bancária federal descobriu que, em 2016, os bancos “falharam em exercer a supervisão adequada da desativação de dois data centers de negócios de Wealth Management localizados nos Estados Unidos.”
Entre os problemas sinalizados pelo OCC estavam avaliação de risco inadequada e monitoramento de fornecedores terceirizados e falha em manter o controle das informações do cliente.
Uma ordem de consentimento para a avaliação de uma penalidade de dinheiro civil declara que os bancos “não avaliaram ou trataram de forma eficaz os riscos associados à desativação de seu hardware; não avaliaram adequadamente o risco de usar fornecedores terceirizados, incluindo subcontratados; e não manter um inventário apropriado dos dados do cliente armazenados nos dispositivos. “
O Morgan Stanley, com sede na cidade de Nova York, também não conseguiu exercer a devida diligência na seleção do fornecedor terceirizado contratado pelo Morgan Stanley e não monitorou adequadamente o desempenho do fornecedor.
Três anos depois da desativação dos dois data centers, a OCC constatou que a disposição dos dados nos bancos ainda não estava como deveria.
“Em 2019, os bancos experimentaram deficiências semelhantes de controle de gerenciamento de fornecedores em conexão com o descomissionamento de outros dispositivos de rede que também armazenavam dados de clientes”, afirmou o controlador.
Morgan Stanley, sob a direção do OCC, notificou os clientes potencialmente afetados do incidente de 2016 e voluntariamente notificou os clientes potencialmente afetados do incidente de 2019. O banco empreendeu ações corretivas iniciais e o OCC declara que “está empenhado em tomar todas as medidas necessárias e adequadas para remediar as deficiências”.
O OCC constatou que as deficiências observadas constituem “práticas inseguras ou prejudiciais” e resultaram na não conformidade com 12 CFR Parte 30, Apêndice B, “Diretrizes de Interagência que Estabelecem Padrões de Segurança da Informação”.
A multa de $ 60 milhões em dinheiro civil será paga ao Tesouro dos Estados Unidos.
Fonte: https://www.infosecurity-magazine.com/news/morgan-stanley-fined-60m-over-data/
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…