La Comisión de Bolsa y Valores multó a Morgan Stanley Smith Barney (MSSB) por no proteger la información de identificación personal (PII) de sus clientes durante un período de cinco años. La SEC dice que Morgan Stanley no solo destruyó los datos personales de sus clientes de los discos duros programados para el retiro, sino que también contrató a empresas no calificadas para hacerlo.
La SEC descubrió que Morgan Stanley se había deshecho indebidamente de los dispositivos de almacenamiento que contenían PII de sus clientes desde 2015. La comisión también descubrió que, en varios casos, Morgan Stanley había contratado a una "compañía de eliminación y almacenamiento gratuitos". en servicios de destrucción de datos” para eliminar miles de discos duros y servidores que contienen la información personal de millones de sus clientes. En lugar de destruir las unidades y el servidor, la empresa los vendió a un tercero, que los subastó en Internet.
Por lo general, las empresas que manejan datos confidenciales utilizan módulos de seguridad de hardware (HSM) como LiquidSecurity de Marvell, unidades de autocifrado (SED) o al menos cifran los datos a través del software. Desactivar una SED es un proceso rápido y fácil, simplemente borrando la clave de cifrado del disco. Morgan Stanley no usó SED y no encriptó datos en sus servidores, a pesar de que este último admitía tal capacidad. Por lo general, desmantelar un servidor con datos sin cifrar requiere borrar todos los datos y asegurarse de que sea imposible recuperarlos, lo que en muchos casos incluye la destrucción física de los dispositivos de almacenamiento. Sin embargo, los contratistas de MSSB no lo hicieron y MSSB no supervisó adecuadamente su trabajo.
Finalmente, Morgan Stanley descubrió que 42 servidores, todos hipotéticamente almacenando información personal de clientes sin cifrar e información de informes de consumidores, fueron esencialmente perdidos o robados por la empresa de mudanzas.
"Los clientes confían su información personal a profesionales financieros con el entendimiento y la expectativa de que estará protegida y, lamentablemente, MSSB no lo ha hecho", dijo Gurbir S. Grewal, director de la división de aplicaciones de la SEC. "Si no se protege adecuadamente, esta información confidencial puede terminar en las manos equivocadas y tener consecuencias desastrosas para los inversores. La acción de hoy envía un mensaje claro a las instituciones financieras de que deben tomar esto en serio. su obligación de proteger dichos datos".
Morgan Stanley acordó pagar una multa de $35 millones sin admitir su culpabilidad ni negar los hallazgos de la SEC.
Deja una respuesta