FTC neemt actie tegen hosting bedrijf GoDaddy

De FTC heeft reden om aan te nemen dat de genoemde bedrijven de Federal Trade Commission Act hebben overtreden. Hoewel GoDaddy de aantijgingen in de klacht niet toegeeft of ontkent, erkennen ze voor de doeleinden van deze actie wel de feiten die nodig zijn om jurisdictie vast te stellen.

Het besluit en bevel, aangeduid met DOCKET NO. C-202-3133, legt een reeks verplichtingen op aan GoDaddy met betrekking tot hun informatiebeveiligingspraktijken.

Kernpunten van het besluit en bevel:

• Verbod op misleidende voorstellingen: GoDaddy mag geen misleidende voorstellingen doen over de mate waarin zij de beveiliging, vertrouwelijkheid, integriteit of beschikbaarheid van hun Hosting Services of Gedekte Informatie beschermen. Dit omvat ook beweringen over het gebruik van beveiligingstechnologie of lidmaatschap van privacy- of beveiligingsprogramma's.
• Verplicht informatiebeveiligingsprogramma: Binnen 90 dagen na de ingangsdatum van het bevel moet GoDaddy een alomvattend informatiebeveiligingsprogramma opzetten, implementeren en onderhouden ter bescherming van Hosting Services en Gedekte Informatie. Dit programma moet schriftelijk worden vastgelegd en ten minste elke 12 maanden worden gepresenteerd aan de raad van bestuur of een relevante commissie.
• Risicobeoordeling en Safeguards: GoDaddy is verplicht om interne en externe risico's voor de beveiliging van Hosting Services en Gedekte Informatie te beoordelen en te documenteren, minstens één keer per 12 maanden en na een "Covered Incident". Op basis hiervan moeten safeguards worden ontworpen, geïmplementeerd en gedocumenteerd, rekening houdend met de gevoeligheid van de informatie en de waarschijnlijkheid van ongeautoriseerde toegang.
• Specifieke beveiligingsmaatregelen: Binnen 90 dagen na de uitvaardigingsdatum moeten specifieke beveiligingsmaatregelen worden geïmplementeerd, waaronder gecentraliseerde inventarissen van systeemcomponenten, het gebruik van geautomatiseerde tools voor realtime analyse van gebeurtenissen (zoals een SIEM), en het bijhouden van systeemauditlogs. Bovendien moeten alle logins van medewerkers, aannemers en gelieerde derden naar beheerde SSH-verbindingen worden geauthenticeerd met behulp van methoden zoals certificaten of openbare/private sleutelparen, tenzij gelijkwaardige beveiliging kan worden aangetoond.
• Aanvullende beveiligingsmaatregelen (binnen 180 dagen): Binnen 180 dagen moeten verdere maatregelen worden genomen, zoals het loskoppelen van verouderde hardwareactiva van de Hosting Service-omgeving, het gebruik van technische maatregelen om afwijkende wijzigingen in kritieke besturingssysteem- en applicatiebestanden te detecteren en te voorkomen, en het vereisen van ten minste één multi-factor authenticatiemethode voor alle medewerkers en personeel van aannemers en derden voor toegang tot Hosting Service-ondersteunende tools of activa. Deze multi-factor authenticatiemethoden mogen geen telefonische oproep- of sms-gebaseerde authenticatiemethoden omvatten en moeten bestand zijn tegen phishing-aanvallen.
• Onafhankelijke beoordelingen: GoDaddy moet initiële en tweejaarlijkse beoordelingen van hun informatiebeveiligingsprogramma laten uitvoeren door een gekwalificeerde, objectieve, onafhankelijke derde partij. Deze beoordelingen moeten de effectiviteit van de implementatie en het onderhoud van de beveiligingsmaatregelen vaststellen.
• Meldingsplicht "Covered Incidents": Binnen 10 dagen na kennisgeving aan een Amerikaanse federale, staats- of lokale overheidsinstantie van een "Covered Incident" (elk incident gerelateerd aan Hosting Services dat resulteert in het ongeautoriseerd toegankelijk maken of blootstellen van informatie van een individuele consument), moet GoDaddy een rapport indienen bij de FTC.
• Recordkeeping: GoDaddy is verplicht om bepaalde administratie te voeren en deze gedurende vijf jaar te bewaren, waaronder financiële gegevens, personeelsdossiers, klachten van consumenten over informatiebeveiliging en kopieën van marketingmateriaal en voorstellingen over privacy en beveiliging.

Het bevel treedt in werking op de datum van publicatie op de website van de FTC en blijft 20 jaar van kracht.