AG Nessel anuncia un acuerdo multiestatal de $49,5 millones con Blackbaud por violación de datos que afecta a miles de organizaciones sin fines de lucro y millones de consumidores

LANSING – La fiscal general de Michigan, Dana Nessel, anunció que Michigan, junto con otros 49 fiscales generales, llegó a un acuerdo con la empresa de software Blackbaud por sus prácticas deficientes de seguridad de datos y su respuesta a un evento de ransomware de 2020 que expuso la información personal de millones de consumidores en todo Estados Unidos. Estados. Según el acuerdo, Blackbaud acordó revisar sus prácticas de seguridad de datos y notificación de violaciones y realizar un pago de 49,5 millones de dólares a los estados. Michigan recibirá $1,150,595 del acuerdo.

Blackbaud proporciona software a varias organizaciones sin fines de lucro, incluidas organizaciones benéficas, instituciones de educación superior, escuelas K-12, organizaciones de atención médica, organizaciones religiosas y organizaciones culturales. Los clientes de Blackbaud utilizan su software para conectarse con donantes y administrar datos sobre sus electores, incluida información demográfica y de contacto, números de Seguro Social, números de licencia de conducir, información financiera, información laboral y patrimonial, historial de donaciones e información de salud protegida. Este tipo de información altamente confidencial quedó expuesta durante la violación de datos de 2020, que afectó a más de 13.000 clientes de Blackbaud y sus respectivos electores consumidores.

“Las empresas que tienen acceso a nuestros datos tienen la obligación de proporcionar medidas de seguridad capaces de resistir ciberataques que puedan exponer la información más personal de los consumidores”, dijo Nessel. “Este acuerdo impone nuevas regulaciones a Blackbaud que protegerán mejor los datos de sus clientes y garantizarán que se notifique a los clientes sobre futuras infracciones de manera oportuna. Los consumidores deben tomar precauciones para proteger su información personaly este acuerdo financiero le recordará a Blackbaud que priorizar las ganancias sobre la seguridad de los datos de los clientes puede ser una forma costosa de hacer negocios”.

Este acuerdo resuelve las acusaciones de los fiscales generales de que Blackbaud violó las leyes estatales de protección al consumidor, las leyes de notificación de infracciones y la HIPAA al no implementar una seguridad de datos razonable y no remediar las brechas de seguridad conocidas, que permitieron que personas no autorizadas obtuvieran acceso a la red de Blackbaud. Luego, Blackbaud no proporcionó a sus clientes información oportuna, completa o precisa sobre la infracción, como exige la ley. Como resultado de las acciones de Blackbaud, la notificación a los consumidores cuya información personal fue expuesta se retrasó significativamente o nunca se produjo en la medida en que Blackbaud minimizó el incidente e hizo creer a sus clientes que la notificación no era necesaria.

Según el acuerdo, Blackbaud acordó fortalecer sus prácticas de seguridad de datos y notificación de violaciones en el futuro, que incluyen:

• Prohibición de tergiversaciones relacionadas con el procesamiento, almacenamiento y salvaguardia de información personal; la probabilidad de que la información personal afectada por un incidente de seguridad pueda estar sujeta a una mayor divulgación o uso indebido; e incumplir los requisitos de notificación según la ley estatal y HIPAA.
• Implementación y mantenimiento de planes de respuesta a incidentes e infracciones para prepararse y responder de manera más adecuada a futuros incidentes e infracciones de seguridad.
• Disposiciones de notificación de incumplimiento que requieren que Blackbaud brinde asistencia adecuada a sus clientes y respalde el cumplimiento de los clientes con los requisitos de notificación aplicables en caso de incumplimiento.
• Informes de incidentes de seguridad al director ejecutivo y a la junta directiva, capacitación mejorada de los empleados y recursos y soporte adecuados para la ciberseguridad.
• Protección y controles de información personal que requieren cifrado total de la base de datos y monitoreo de la web oscura.
• Requisitos de seguridad específicos con respecto a la segmentación de la red, gestión de parches, detección de intrusiones, firewalls, controles de acceso, registro y monitoreo, y pruebas de penetración.
• Evaluaciones de terceros sobre el cumplimiento del acuerdo por parte de Blackbaud durante 7 años.

AG Nessel alienta a los consumidores de Michigan a tomar medidas para proteger su información. Para obtener más información, lea el informe del Procurador General. Violaciones de datos de alerta al consumidor, qué hacer a continuación.

Su conexión con la protección del consumidor está a solo un clic o una llamada telefónica de distancia. El Departamento proporciona una biblioteca de alertas al consumidor, que cubren una amplia gama de temasy se puede revisar en el sitio web del Departamento.

Para presentar una queja ante el Procurador General u obtener información adicional, comuníquese con:

Equipo de Protección al Consumidor
Apartado postal 30213
Lansing, MI 48909
517-335-7599
Fax: 517-241-3771
Número gratuito: 877-765-8388
Formulario de queja en línea

Indiana y Vermont codirigieron la investigación multiestatal, con la asistencia del Comité Ejecutivo formado por Alabama, Arizona, Florida, Illinois y Nueva York, y al que se unieron Alaska, Arkansas, Colorado, Connecticut, Delaware, el Distrito de Columbia, Georgia y Hawaii. , Idaho, Iowa, Kansas, Kentucky, Luisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, Nueva Jersey, Nuevo México, Carolina del Norte, Dakota del Norte, Ohio, Oklahoma, Oregón, Pensilvania, Rhode Island, Carolina del Sur, Dakota del Sur, Tennessee, Texas, Utah, Virginia, Washington, Virginia Occidental, Wisconsin y Wyoming.

###