首页 监管动态 正文

OneMain 因违反 DFS 的网络安全条例而向纽约州支付 425 万美元的罚款

扫码手机浏览

OneMain Financial Group LLC 将因违反 DFS 的网络安全条例而向纽约州支付 425 万美元的罚款。OneMain 未能有效管理第三方服务提供商风险、管理访问权限和维护正式的应用程序安全开发方法,显着增加了公司对网络安全事件的脆弱性。该部门的调查发现,除其他事项外,OneMain 未能有效管理用户对信息系统的...

OneMain Financial Group LLC 将因违反 DFS 的网络安全条例而向纽约州支付 425 万美元的罚款。OneMain 未能有效管理第三方服务提供商风险、管理访问权限和维护正式的应用程序安全开发方法,显着增加了公司对网络安全事件的脆弱性。

该部门的调查发现,除其他事项外,OneMain 未能有效管理用户对信息系统的访问权限,这些信息系统提供对客户非公开信息的访问权限。例如,OneMain 允许本地管理用户共享帐户,从而损害识别恶意行为者的能力,并且还允许这些帐户在用户入职时使用 OneMain 提供的默认密码,从而增加未经授权访问的风险。

该部门的调查进一步发现,OneMain 的应用程序安全政策缺乏解决公司软件开发生命周期所有阶段的正式方法。相反,OneMain 使用了其内部开发的非正规项目管理框架,该框架未能解决某些关键的软件开发生命周期阶段,其结果是增加了对网络安全事件的脆弱性。

此外,OneMain 没有及时对某些高风险和中等风险的供应商进行尽职调查,尽管存在第三方供应商管理政策要求每个供应商都经过评估以确定供应商的风险评级和适当的尽职调查水平OneMain 应该对供应商执行。即使在供应商对非公开信息处理不当和网络安全控制不力引发的多起网络安全事件发生后,OneMain 也未能适当调整多家供应商的风险评分。作为和解的一部分,OneMain 已同意采取进一步的重大补救措施。

DFS 的网络安全条例于 2017 年 3 月生效,它已成为其他监管机构的典范,包括美国联邦贸易委员会、多个州、全国保险专员协会 (NAIC) 和 CSBS 非银行模式数据安全法。


阅读全文

相关推荐

  • 暂无相关文章