Menkul Kıymetler ve Borsa Komisyonu, para cezası Morgan Stanley Smith Barney (MSSB), müşterilerinin kişisel tanımlayıcı bilgilerini (PII) beş yıllık bir süre boyunca korumadığı için. SEC, Morgan Stanley’nin yalnızca müşterilerinin hizmet dışı bırakılacak sabit disklerdeki kişisel verilerini yok etmekle kalmadığını, aynı zamanda bunun için vasıfsız şirketler tuttuğunu iddia ediyor.
SEC, Morgan Stanley’nin 2015 yılına kadar uzanan müşterilerinin kişisel bilgilerini içeren depolama cihazlarını düzgün bir şekilde elden çıkarmadığını keşfetti. Komisyon ayrıca birkaç durumda Morgan Stanley’nin hiçbir deneyimi veya uzmanlığı olmayan bir “taşıma ve depolama şirketi” ile sözleşme yaptığını da öğrendi. Milyonlarca müşterisinin kişisel bilgilerini içeren binlerce HDD’yi ve sunucuyu kullanımdan kaldırmak için veri imha hizmetlerinde”. Sürücüleri ve sunucuyu yok etmek yerine, şirket onları bir İnternet müzayedesinde satan üçüncü bir tarafa sattı.
Tipik olarak, hassas verilerle uğraşan şirketler, Marvell’s LiquidSecurity, kendi kendini şifreleyen sürücüler (SED) gibi donanım güvenlik modülleri (HSM’ler) kullanır veya en azından verileri yazılım aracılığıyla şifreler. Bir SED’nin hizmet dışı bırakılması, yalnızca şifreleme anahtarının sürücüden silinmesini gerektirdiğinden hızlı ve kolay bir işlemdir. Morgan Stanley, SED’leri kullanmadı ve sunucuları bu tür bir yeteneği desteklemesine rağmen sunucularındaki verileri şifrelemedi. Genellikle, şifrelenmemiş verilere sahip bir sunucunun hizmet dışı bırakılması, tüm verilerin silinmesini ve çoğu durumda depolama cihazlarının fiziksel olarak imha edilmesini içeren kurtarılmasının imkansız hale getirilmesini gerektirir. Ancak MSSB’nin müteahhitleri bunu yapmadı ve MSSB çalışmalarını gerektiği gibi izlemedi.
Son olarak, Morgan Stanley, tümü varsayımsal olarak şifrelenmemiş müşteri PII ve tüketici raporu bilgilerini depolayan 42 sunucunun, hareket eden şirket tarafından esasen kaybolduğunu veya çalındığını tespit etti.
SEC’in İcra Birimi Direktörü Gurbir S. Grewal, “Müşteriler, kişisel bilgilerini korunacağı anlayışı ve beklentisiyle finans uzmanlarına emanet ediyor ve MSSB bunu yaparken çok yetersiz kaldı” dedi. “Doğru şekilde korunmadığı takdirde, bu hassas bilgiler yanlış ellere geçebilir ve yatırımcılar için feci sonuçlara yol açabilir. Bugünkü eylem, finansal kurumlara bu tür verileri koruma yükümlülüklerini ciddiye almaları gerektiği konusunda açık bir mesaj gönderiyor.”
Morgan Stanley, suçunu kabul etmeden veya SEC’in bulgularını reddetmeden 35 milyon dolar para cezası ödemeyi kabul etti.