Morgan Stanley multado em $ 60 milhões pelo descarte de dados
O banco de investimento multinacional americano e a empresa de serviços financeiros Morgan Stanley foi multado em US $ 60 milhões por descarte indevido de dados pessoais.
A multa substancial foi imposta ao Morgan Stanley Bank, NA e ao Morgan Stanley Private Bank, NA, pelo Gabinete do Controlador de Moeda dos Estados Unidos (OCC), que descobriu deficiências nas práticas de desativação de dados dos bancos.
A agência bancária federal descobriu que, em 2016, os bancos “falharam em exercer a supervisão adequada da desativação de dois data centers de negócios de Wealth Management localizados nos Estados Unidos.”
Entre os problemas sinalizados pelo OCC estavam avaliação de risco inadequada e monitoramento de fornecedores terceirizados e falha em manter o controle das informações do cliente.
Uma ordem de consentimento para a avaliação de uma penalidade de dinheiro civil declara que os bancos “não avaliaram ou trataram de forma eficaz os riscos associados à desativação de seu hardware; não avaliaram adequadamente o risco de usar fornecedores terceirizados, incluindo subcontratados; e não manter um inventário apropriado dos dados do cliente armazenados nos dispositivos. “
O Morgan Stanley, com sede na cidade de Nova York, também não conseguiu exercer a devida diligência na seleção do fornecedor terceirizado contratado pelo Morgan Stanley e não monitorou adequadamente o desempenho do fornecedor.
Três anos depois da desativação dos dois data centers, a OCC constatou que a disposição dos dados nos bancos ainda não estava como deveria.
“Em 2019, os bancos experimentaram deficiências semelhantes de controle de gerenciamento de fornecedores em conexão com o descomissionamento de outros dispositivos de rede que também armazenavam dados de clientes”, afirmou o controlador.
Morgan Stanley, sob a direção do OCC, notificou os clientes potencialmente afetados do incidente de 2016 e voluntariamente notificou os clientes potencialmente afetados do incidente de 2019. O banco empreendeu ações corretivas iniciais e o OCC declara que “está empenhado em tomar todas as medidas necessárias e adequadas para remediar as deficiências”.
O OCC constatou que as deficiências observadas constituem “práticas inseguras ou prejudiciais” e resultaram na não conformidade com 12 CFR Parte 30, Apêndice B, “Diretrizes de Interagência que Estabelecem Padrões de Segurança da Informação”.
A multa de $ 60 milhões em dinheiro civil será paga ao Tesouro dos Estados Unidos.
Fonte: https://www.infosecurity-magazine.com/news/morgan-stanley-fined-60m-over-data/
