A PayPal kiberbiztonsági hiányosságai miatt kétmillió dolláros bírságot kapott a New York-i állami hatóságoktól. A vizsgálatok súlyos hiányosságokat tártak fel a vállalat egyik kártyás fizetési platformjának védelmi rendszerében. Az eset rávilágít arra, hogy a fintech cégeknek milyen magas követelményeknek kell megfelelniük a folyamatosan szigorodó szabályozási környezetben.
A PayPal, a világ egyik legnagyobb online fizetési szolgáltatója kétmillió dolláros kártérítés megfizetésére kényszerült, miután a New York-i pénzügyi hatóságok (NYDFS) több szabályozási hiányosságot tártak fel. A bírság alapját az adta, hogy a vállalat nem biztosította megfelelően egyik kártyás fizetési platformja adatvédelmét.
A nyomozás szerint a PayPal tulajdonában lévő TIO Networks rendszereiben súlyos biztonsági problémák jelentkeztek, amelyek révén ügyféladatok kerülhettek veszélybe. TIO Networks egy olyan platform, amely számlafizetési szolgáltatásokat nyújtott alacsony jövedelmű ügyfelek számára. Az NYDFS jelentése szerint a platformon nemcsak a kiberbiztonsági ellenőrzések voltak elégtelenek, hanem a szabályozói megfelelésre vonatkozó előírások betartásában is jelentős hiányosságokat találtak.
A vizsgálatok rámutattak, hogy a TIO Networks rendszereiben több mint 1,6 millió ügyfél személyes és pénzügyi adatai kerültek veszélybe. Bár a PayPal 2017-ben vásárolta fel a TIO Networks-öt, az integráció előtt nem végezte el a szükséges mélységű kiberbiztonsági átvilágítást. A probléma súlyosságát jelzi, hogy a hatóságok 2018-ban elrendelték a platform felfüggesztését.
Szigorodó szabályozási környezet
A PayPal esete jól mutatja, hogy a fintech szektorban működő cégeknek egyre szigorúbb adatvédelmi és kiberbiztonsági követelményeknek kell megfelelniük. A New York-i hatóságok az ügy kapcsán hangsúlyozták, hogy a digitális szolgáltatók felelőssége nem ér véget az akvizícióval; a meglévő rendszerek szabályozói és technológiai megfelelését folyamatosan biztosítani kell.
A fintech cégek számára a kiberbiztonság és az ügyféladatok védelme nem csupán technológiai kihívás, hanem üzleti felelősség is. Az ilyen bírságok súlyosan érinthetik a vállalatok reputációját, ezért elengedhetetlen a proaktív megfelelés.
További lépések a PayPal számára
A PayPal az eset nyomán több új belső folyamatot vezetett be, és komoly forrásokat különített el a kiberbiztonsági rendszerek fejlesztésére. A vállalat közleményben jelezte elkötelezettségét a legmagasabb szintű ügyféladat-védelem biztosítása iránt. A New York-i hatóságok pozitívan értékelték ezeket a lépéseket, de felhívták a figyelmet arra, hogy a szabályok betartásának folyamatos ellenőrzése elengedhetetlen.
Az eset emlékeztető minden fintech vállalat számára, hogy az adatvédelem és a kiberbiztonság nemcsak jogi követelmény, hanem üzleti alapelv is, amely elengedhetetlen az ügyfelek bizalmának megőrzéséhez.
(Forrás: Finextra)
(Címlapkép: PayPal)