Credit Karma Inc.は最近、5000万人を超えるユーザーの消費者基盤を発表しました。そのサービスは、米国の住民5人に1人に1人が使用されており、同社は10億以上の無料の信用報告書を発行しています。これらの無料のクレジットレポートを受け取るには、ユーザーは社会保障番号を含む個人情報を入力する必要があります。 Credit Karmaはスコアを決定するために個人情報を収集するため、顧客の機密情報に対して最大のプライバシー、裁量、セキュリティ対策を維持する必要があります。

<！ - 1 - >

セキュリティ対策

クレジットカルマは128ビット暗号化を使用して機密データを保護し、会社側の個人アカウント情報へのアクセスは読み取り専用です。そのサーバーはセキュリティ担当者によって物理的に保護されています。そのウェブサイトは安全なネットワークを利用しており、ファイアウォールやその他の予防的セキュリティ対策を維持しています。ユーザーは、5分間何も操作しなくても、ユーザーがデスクトップのWebサイトを閉じると自動的にログアウトされます。モバイルデバイスのユーザーは、アプリケーションを再開するときにパスコードを再入力する必要があります。最後に、新しいユーザーは、アカウントを開く前に、財務履歴に関する複数のセキュリティに関する質問に正しく回答する必要があります。

<！ - 2 - >

クレジットカルマでは、ユーザーが支払い情報を入力する必要はありません。このため、暗号化されたクレジットカード情報データベースを確保または維持する必要はありません。同社は、送信する電子メールの数を最小限に抑えることによって、リスクへのユーザーエクスポージャーを制限しています。クレジットカルマの広報担当者、クリスティーナ・ラーは、「非常にまれに電子メールを送信するのはコア・プラクティス」と述べている。この追加されたセキュリティ対策は、ユーザーがフィッシング詐欺に巻き込まれる可能性が低いため、有利です。

<！ - 3 - >

データ侵害

クレジットカルマは2014年、連邦取引委員会（FTC）によってもたらされた費用を和解しました。 FTCは、クレジットカルマがモバイルアプリケーションを確保できず、2012年7月から2013年1月に機密消費者情報を機密保護しないままにしたと主張している。クレマカルマはモバイルアプリケーションの開発中にアウトソーシングを利用した。テスト中に無効になっていたコードは、最終製品に残りました。 Credit Karmaは、ユーザーがアプリケーションに侵入する可能性があることに気づき、中間者の攻撃の脆弱性を会社に通知した後でのみ、セキュリティの失敗を発見しました。 iOSの問題に対処した1か月後、Credit KarmaはAndroidバージョンのアプリケーションをリリースした。 Androidアプリケーションが同じセキュリティ障害を重複させたため、適切なセキュリティレビューを実施していないか、以前に特定された脆弱性のためにアプリケーションをテストしたことが挙げられます。

この主張に関する組織の公式的な立場は、機密データの損失は報告されておらず、問題はモバイルプログラムに限定されており、問題は解決されているということでした。和解の結果、同社は一連のセキュリティプログラムを確立し、2年ごとの独立したセキュリティ評価を受ける予定です。和解には、製品のプライバシーレベルを誤って伝えないようにすることによって、セキュリティの透明性が求められます。

プライバシーポリシー

クレジットカルマのウェブサイトで収集されたすべての個人情報は第三者に販売されません。さらに、クレジットスコア情報は、ユーザー以外の外部パーティーと共有されません。しかし、Credit Karmaの利用規約は、この情報の一部と矛盾しています。まず、Credit Karmaは政府の要求を満たすために情報にアクセス、使用、保存、転送、開示する権利を留保し、その使用条件を維持します。さらに、権利は、第三者の安全、権利、財産またはセキュリティを保護するとともに、詐欺、セキュリティまたは技術的問題を検出、防止、または対処するために確保されています。個人情報のアクセス、使用または譲渡は、クレジットカルマユーザーに通知することなく行うことができます。

会社が保有する潜在的な情報開示の予約があっても、Credit KarmaのプライベートポリシーはTRUSTeによって認定されています。 TRUSTeの認証基準は、消費者を保護するプライバシー基準を確立する際に、企業のオンライン機能、データ管理プラクティス、および適用される規制フレームワークを分析します。認定では、第三者との個人情報の販売や共有は行われず、パートナーと共有された情報は明示的な同意のもとに消費者に提出されます。したがって、クレジットカルマが消費者の個人情報でできることとできないことについて何らかの不一致があります。

FAKOスコア

クレジットカルマは消費者に実際のFICOクレジットスコアを提供しません。代わりに、推定信用スコアであるFAKOスコアを返します。クレジットカルマは個人情報を収集し、アルゴリズムを適用してクレジットスコアを推定するために使用します。 FAKOスコアの決定は必ずしも会社の安全性や安全性を反映するものではありませんが、会社が真のFICO信用報告書を提供していないことを明示していないため、透明性の問題が生じます。

ボトムライン

クレジットカルマは、無料の推定クレジットレポートを提供する本物の組織です。顧客の機密情報の保護に関する以前のセキュリティ問題がありました。さらに、同社のウェブサイトに掲載されたテキストと同社の利用規約には、複数の相違があります。このため、消費者はクレジットカルマのサービスを検討する際には慎重にアプローチする必要があります。