New York Eyaleti Finansal Hizmetler Departmanı (NYDFS), PayPal Inc.’e eyaletin sıkı siber güvenlik düzenlemelerini ihlal etmesi nedeniyle 2 milyon dolar ceza verdi.
Ceza, hassas müşteri verilerini işleyen finansal kuruluşların hesap verebilirliğini sağlamada önemli bir adıma işaret ediyor.
NYDFS tarafından yürütülen bir araştırma, PayPal’ın kritik siber güvenlik işlevlerini denetlemek için nitelikli personel görevlendirmediğini ve siber güvenlik risklerini azaltmak için yeterli eğitimi sağlamadığını ortaya çıkardı.
Bu kesintiler, korumasız bırakılan ve siber saldırılara karşı savunmasız bırakılan Sosyal Güvenlik Numaraları (SSN’ler) dahil olmak üzere hassas müşteri bilgilerinin açığa çıkmasına neden oldu.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
NYDFS Müfettişi Adrienne A. Harris, uyumluluğun önemini vurgulayarak şunları söyledi: “New York’un ülke lideri siber güvenlik düzenlemesi, tüketici verilerinin korunması ve finansal kurumların dayanıklılığının güçlendirilmesi için kritik bir standart belirliyor.
Nitelikli siber güvenlik personeli, potansiyel veri ihlallerine karşı ilk savunma hattıdır. Siber güvenlik politikalarının doğru eğitimi ve uygulanması, hassas verilerin korunması ve risklerin azaltılması açısından hayati öneme sahiptir.”
PayPal’a 2 Milyon Dolar Ceza
Küresel bir fintech devi olan PayPal, IRS Form 1099-K’lerin daha fazla müşteri için kullanılabilirliğini genişletmek amacıyla veri akışlarında sistematik değişiklikler yaptıktan sonra verilerin açığa çıkması sorunuyla karşı karşıya kaldı.
Ancak şirketin görevlendirilen ekipleri PayPal sistemleri ve uygulama geliştirme protokolleri konusunda gerekli uzmanlığa ve eğitime sahip değildi.
Sonuç olarak, uygulama süreci sırasında önemli prosedürler gözden kaçırıldı ve bu durum, siber suçluların Form 1099-K dosyalarına yetkisiz erişim elde etmek için bu durumu istismar ettiği çalışan kimlik bilgilerinin erişilebilirliğine yol açtı.
Soruşturma ayrıca PayPal’ın erişim kontrolleri, kimlik yönetimi ve müşteri verilerinin korunmasına yönelik yeterli yazılı politikayı sürdürmekte başarısız olduğunu da ortaya çıkardı.
Şirket, yetkisiz erişim risklerini azaltabilecek çok faktörlü kimlik doğrulama, CAPTCHA veya hız sınırlama mekanizmaları gibi temel önlemleri uygulamadı.
O tarihten bu yana PayPal, bu siber güvenlik eksikliklerini gidermek için düzeltici önlemler aldı ve bildirildiğine göre uygulamalarını geliştirdi.
Ancak ceza, tüketici verilerinin korunmasında proaktif siber güvenlik önlemlerinin ve düzenleyici standartlara bağlılığın öneminin altını çiziyor.
Mart 2017’den bu yana yürürlükte olan NYDFS Siber Güvenlik Yönetmeliği, Kasım 2023 itibarıyla geçerli olacak değişikliklerle finansal kurumlar için bir referans noktası olmaya devam ediyor.
2 milyon dolarlık para cezası, gelişen dijital tehditler karşısında sağlam siber güvenlik çerçevelerine öncelik verilmesine yönelik kritik ihtiyacın bir hatırlatıcısı olarak hizmet ediyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri