Генеральний прокурор Lisa Madigan і генеральні прокурори 31 штату та округу Колумбія оголосили про досягнення мирової угоди з Nationwide Mutual Insurance Company та її дочірньою компанією, Allied Property & Casualty Insurance Company (далі - Nationwide). Компанія виплатить відшкодування споживачам, які постраждали через витік конфіденційної інформації, який стався у жовтні 2012 року.

Витік даних, ймовірно, був спричинений тим, що компанія Nationwide не застосовувала оновлення налаштувань безпеки. Порушення призвело до того, що у 1,27 млн споживачів було викрадено або розкрито особисту інформацію, зокрема, дані про соціальне страхування, водійські права, кредитний рейтинг та інші особисті дані.

Значна частина персональної інформації, розкритої внаслідок порушення прав доступу, належала споживачам, які ніколи не були застраховані у Nationwide. Компанія збирала особисті дані потенційних клієнтів, щоб надавати заявникам інформацію про страхування та зберігати цю особисту інформацію, навіть якщо споживачі не купуватимуть страхові поліси у Nationwide. Угода, досягнута між прокуратурою і компанією, вимагає більш прозорої практики збору даних. Відтак, Nationwide відтепер зобов'язана повідомляти клієнтам, що їхня особиста інформація буде збережена, навіть якщо вони не стануть її клієнтами.

«Люди мають право знати, як їхню конфіденційну персональну інформацію використовують та зберігають у компанії», - вважає Madigan. «Відповідно до досягнутої угоди, ми вимагаємо, аби Nationwide інформувала споживачів про те, як зберігатиметься їхня інформація, а також вимагаємо від компанії запроваджувати більш ефективні заходи безпеки».

Угода також вимагає від компанії провести низку заходів, зокрема, оновити її налаштування безпеки та гарантувати своєчасне застосування патчів та інших оновлень, які стосуються безпеки. Компанію також зобов'язали найняти працівника, який би відповідав за моніторинг та управління оновленням програмного забезпечення та відповідних додатків. Такий співробітник також має стежити за працівниками, відповідальними за оцінку та координацію обслуговування, керування та застосування всіх патчів безпеки та за оновленням необхідних програм.

Крім того, Nationwide повинна вжити заходів протягом наступних трьох років, аби посилити захист персональних даних її клієнтів, зокрема:

• здійснити оновлення своїх процедур та політики, пов'язаної з обслуговуванням та зберіганням персональних даних споживачів;
• провести регулярний аналіз патчів та оновлень, що застосовуються у системах, які використовують для підтримки особистої інформації споживачів (PII);
• використовувати системні інструменти для моніторингу загального стану та безпеки систем, які застосовують для підтримки ІРІ;
• проводити внутрішній аналіз практики управління патчами, а також запрошувати сторонніх, незалежних фахівців для проведення щорічного аудиту дій, які здійснює Nationwide у плані використання та обслуговування ІРІ.

Відповідно до угоди, Nationwide виплатить $5,5 млн штатам, які були перелічені в угоді. Штат Іллінойс отримає понад $280 тис.

Відшкодування також отримають Alaska, Arizona, Arkansas, Connecticut, Florida, Hawaii, Indiana, Iowa, Ken­tuc­­ky, Louisiana, Maine, Maryland, Massachusetts, Mississippi, Missouri, Montana, Nebraska, Nevada, New Jersey, New Mexico, New York, North Carolina, North Dakota, Oregon, Pennsylvania, Rhode Island, South Dakota, Tennessee, Texas, Vermont, Washington та округ Columbia.

Над угодою працювали заступник Генерального прокурора Yangsu Kim та Matthew Van Hise від Madigan's Consumer Fraud Bureau.