Shannon Stapleton | Reuters
Morgan Stanley acordó pagar una multa de 6,5 millones de dólares a una coalición de seis estados por comprometer los datos personales de millones de clientes durante el desmantelamiento ordenadores en el gigante de los servicios financieros, dijo el jueves el fiscal general de Nueva York.
Morgan Stanley, como parte del acuerdo, acordó adoptar disposiciones «que protejan mejor la información personal de sus consumidores en el futuro», New York AG leticia james‘, dijo la oficina.
El acuerdo se produce más de tres años después de que Morgan Stanley notificara a los fiscales generales de los estados sobre dos incidentes relacionados con la seguridad de los datos.
En el primer incidente, que involucró el cierre de dos centros de datos de la empresa en 2016, Morgan Stanley contrató a un proveedor para eliminar datos de las computadoras que iban a ser desmanteladas, pero luego se enteró de que el proveedor subcontrató ciertos servicios a un proveedor no autorizado, según al acuerdo.
Algunas computadoras terminaron siendo subastadas «aún conteniendo información personal de los consumidores, incluidos datos pertenecientes a 1,1 millones de neoyorquinos», según la oficina de James.
«En un segundo incidente, Morgan Stanley descubrió durante un proceso de desmantelamiento que faltaban 42 servidores, todos los cuales potencialmente contenían información de clientes no cifrada», dijo la oficina de James en un comunicado. «Durante este proceso, la empresa se enteró de que los dispositivos locales que estaban siendo desmantelados pueden haber contenido datos no cifrados debido a una falla del fabricante en el software de cifrado».
Una investigación encontró que Morgan Stanley no mantuvo controles adecuados para los proveedores y el inventario de hardware.
«Si se hubieran implementado estos controles, ambos eventos de seguridad de datos podrían haberse evitado», dijo la oficina de James.
James, en un comunicado, dijo: «Nadie debería subastar su información personal sin su conocimiento porque una empresa no tomó medidas básicas para borrarla antes de vender sus computadoras viejas».
Nueva York recibirá 1,66 millones de dólares en el acuerdo y el resto de la multa se dividirá entre los otros estados: Connecticut, Florida, Indiana, Nueva Jersey y Vermont.
Un portavoz de Morgan Stanley, en una declaración a CNBC, dijo: «Hemos notificado previamente a todos los clientes potencialmente afectados sobre estos asuntos, que ocurrieron hace varios años, y nos complace haber resuelto esta investigación relacionada».
Desde que se descubrieron los incidentes, la empresa no ha detectado acceso no autorizado o uso indebido de la información del cliente y ha realizado cambios significativos en la forma en que maneja la destrucción de datos y los proveedores.