Gouverneur Josh Green, MD | COMMUNIQUÉ DE PRESSE : L’ÉTAT D’HAWAII ANNONCE UN RÈGLEMENT MULTI-ÉTATS DE 49,5 MILLIONS DE DOLLARS AVEC LA SOCIÉTÉ DE LOGICIELS BLACKBAUD POUR VIOLATION DE DONNÉES

HHEUREUX Procureur général Anne E. Lopez et Hawai‘i La directrice exécutive du Bureau de protection des consommateurs, Mana Moriarty, a annoncé aujourd’hui qu’Hawaï‘Avec 49 autres procureurs généraux, j’ai conclu un accord avec la société de logiciels Blackbaud pour ses pratiques déficientes en matière de sécurité des données et sa réponse à un événement de ransomware survenu en 2020 qui a exposé les informations personnelles de millions de consommateurs à travers les États-Unis.

Aux termes du règlement, Blackbaud a accepté de revoir ses pratiques en matière de sécurité des données et de notification des violations et de verser 49,5 millions de dollars aux États. Hawaï‘je recevrai 420 086 $ du règlement.

Blackbaud fournit des logiciels à diverses organisations à but non lucratif, notamment des organisations caritatives, des établissements d’enseignement supérieur, des écoles primaires et secondaires, des organismes de santé, des organisations religieuses et des organisations culturelles. Les clients de Blackbaud utilisent le logiciel de Blackbaud pour se connecter avec les donateurs et gérer les données sur leurs électeurs, y compris les coordonnées et les informations démographiques, les numéros de sécurité sociale, les numéros de permis de conduire, les informations financières, les informations sur l’emploi et la richesse, l’historique des dons et les informations de santé protégées. Ce type d’informations hautement sensibles a été exposé lors de la violation de données de 2020, qui a eu un impact plus que 13 000 clients Blackbaud et leurs consommateurs respectifs.

Le règlement d’aujourd’hui résout les allégations des procureurs généraux selon lesquelles Blackbaud aurait violé les lois de l’État sur la protection des consommateurs, les lois sur la notification des violations et la HIPAA en ne mettant pas en œuvre une sécurité raisonnable des données et en ne corrigeant pas les failles de sécurité connues, ce qui a permis à des personnes non autorisées d’accéder au réseau de Blackbaud, puis en omettant de le faire. fournir à ses clients des informations opportunes, complètes ou exactes concernant la violation, comme l’exige la loi. À la suite des actions de Blackbaud, la notification aux consommateurs dont les informations personnelles ont été exposées a été considérablement retardée, voire n’a jamais eu lieu, dans la mesure où Blackbaud a minimisé l’incident et a laissé croire à ses clients que la notification n’était pas nécessaire.

Dans le cadre du règlement, Blackbaud a accepté de renforcer ses pratiques en matière de sécurité des données et de notification des violations, notamment :

• Interdiction des fausses déclarations liées au traitement, au stockage et à la protection des informations personnelles ; la probabilité que les informations personnelles affectées par un incident de sécurité puissent faire l’objet d’une divulgation ultérieure ou d’une utilisation abusive ; et les exigences de notification des violations en vertu de la loi de l’État et de la HIPAA.
• Mise en œuvre et maintenance de plans de réponse aux incidents et aux violations pour se préparer et répondre de manière plus appropriée aux futurs incidents et violations de sécurité.
• Dispositions de notification de violation qui obligent Blackbaud à fournir une assistance appropriée à ses clients et à aider les clients à se conformer aux exigences de notification applicables en cas de violation.
• Rapports d’incidents de sécurité au PDG et au conseil d’administration, formation améliorée des employés, ressources et soutien appropriés pour la cybersécurité.
• Protections et contrôles des informations personnelles nécessitant un cryptage total des bases de données et une surveillance du Dark Web.
• Exigences de sécurité spécifiques en ce qui concerne la segmentation du réseau, la gestion des correctifs, la détection des intrusions, les pare-feu, les contrôles d’accès, la journalisation et la surveillance, ainsi que les tests d’intrusion.
• Évaluations par des tiers du respect par Blackbaud du règlement pour Sept années.

L’Indiana et le Vermont ont codirigé l’enquête multiétatique, assistés par le comité exécutif composé de l’Alabama, de l’Arizona, de la Floride, de l’Illinois et de New York, et rejoints par l’Alaska, l’Arkansas, le Colorado, le Connecticut, le Delaware, le district de Columbia, la Géorgie et Hawaï.‘i, Idaho, Iowa, Kansas, Kentucky, Louisiane, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, Nouveau-Mexique, Caroline du Nord, Dakota du Nord, Ohio, Oklahoma , Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Texas, Utah, Virginie, Washington, Virginie occidentale, Wisconsin et Wyoming.

# # #

Personne-ressource pour les médias :

William Nhieu

chargée de communication

Ministère du Commerce et de la Consommation

[email protected]

Bureau : (808) 586-7582

Dave Jour

Assistant spécial du procureur général

(808) 586-1284

E-mail: [email protected]

La toile: