Le Michigan rejoint des accords pour résoudre les erreurs de sécurité des données avec ACI Worldwide et Inmediata

LANÇAGE – Le procureur général du Michigan, Dana Nessel, a annoncé aujourd’hui deux règlements impliquant les sociétés de technologie financière et de santé ACI Worldwide et Inmediata. ACI Worldwide est une société de traitement des paiements à grande échelle, Inmediata est un centre d’échange de soins de santé qui facilite les transactions financières et cliniques entre les prestataires de soins de santé et les assureurs.

« Nous devons compter sur des organisations comme celles-ci pour sécuriser nos données financières et personnelles selon des normes raisonnables et robustes », a déclaré Nessel. “Je suis heureux de me joindre à mes collègues pour protéger les consommateurs et demander des comptes aux entreprises lorsqu’elles violent cette confiance.”

Règlement mondial ACI

Le Michigan a rejoint une coalition de 48 États, le District de Columbia et Porto Rico pour annoncer un règlement de 10 millions de dollars avec le processeur de paiement ACI Worldwide suite à une erreur de test survenue en 2021 qui a conduit à une tentative de retrait non autorisé de 2,3 milliards de dollars des comptes des titulaires de prêts hypothécaires. Le Michigan recevra 246 258,97 $ du règlement. Un règlement d’un recours collectif privé offre une compensation aux personnes touchées par l’erreur de test. Les résidents concernés du Michigan qui souhaitent soumettre des formulaires de réclamation doivent le faire avant le 13 novembre, et plusLes informations sur le règlement du recours collectif sont disponibles ici.

ACI Worldwide est un processeur de paiement pour Nationstar Mortgage, connu publiquement sous le nom de M. Cooper. Le 23 avril 2021, ACI testait sa plateforme Speedpay. En raison de défauts importants dans les procédures de confidentialité et de sécurité des données d’ACI et dans son infrastructure technique liée à la plateforme Speedpay, les données en direct des consommateurs de M. Cooper ont été saisies dans le système. Cela a conduit ACI à tenter par erreur de retirer les versements hypothécaires de centaines de milliers de clients de M. Cooper à une date non autorisée ou prévue. L’erreur a touché 477 000 clients, dont certains ont été contraints de payer des frais de découvert ou de fonds insuffisants.

Les régulateurs des États, notamment le Département des assurances et des services financiers du Michigan, ont conclu un accord distinct avec ACI pour un montant supplémentaire de 10 millions de dollars. L’accord des régulateurs ordonne également à ACI de prendre des mesures pour éviter tout incident futur, notamment en exigeant que l’entreprise utilise des données créées artificiellement plutôt que des données réelles des consommateurs lors des tests de systèmes ou de logiciels et qu’elle sépare les travaux de test ou de développement de ses systèmes de paiement grand public.

Outre le Michigan, le règlement a été rejoint par les procureurs généraux de l’Alabama, de l’Alaska, de l’Arizona, de l’Arkansas, de la Californie, du Colorado, du Connecticut, du Delaware, de la Floride, de la Géorgie, d’Hawaï, de l’Idaho, de l’Illinois, de l’Indiana, de l’Iowa, du Kansas, du Kentucky, de la Louisiane et du Maine. , Maryland, Massachusetts, Minnesota, Mississippi, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New York, Caroline du Nord, Dakota du Nord, Ohio, Oklahoma, Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Texas , Utah, Vermont, Virginie, Washington, Wisconsin, Wyoming, District de Columbia et Porto Rico.

Règlement immédiat

AG Nessel a également annoncé que le Michigan, ainsi que 32 autres procureurs généraux des États, avaient conclu un accord avec Inmediata, un centre d’échange de soins de santé qui facilite les transactions entre les prestataires de soins de santé et les assureurs à travers les États-Unis. L’accord est une réponse à un problème de codage qui a exposé les informations des patients sur environ 1,5 million de consommateurs depuis près de trois ans.

Le 15 janvier 2019, le Bureau des droits civils du ministère américain de la Santé et des Services sociaux a alerté Inmediata que les informations personnelles conservées par Inmediata étaient disponibles en ligne et avaient été indexées par les moteurs de recherche, permettant potentiellement à toute personne disposant d’informations sensibles sur les patients d’être consultées et téléchargées. une connexion Internet.

Bien qu’Inmediata ait été alertée de la violation le 15 janvier 2019, la société a retardé de plus de trois mois la notification aux consommateurs concernés, puis a envoyé des notifications mal adressées et peu claires.

Le règlement résout les allégations des procureurs généraux selon lesquelles Inmediata aurait violé les lois de l’État sur la protection des consommateurs, les lois sur la notification des violations et la HIPAA en ne mettant pas en œuvre une sécurité raisonnable des données.

Aux termes du règlement, Inmediata a accepté de verser 1,4 million de dollars aux États. Le Michigan recevra 217 049 $ du règlement. Inmediata a également accepté de revoir à l’avenir ses pratiques en matière de sécurité des données et de notification des violations, notamment :

• mise en œuvre d’un programme complet de sécurité de l’information avec des exigences de sécurité spécifiques, y compris la révision du code et les contrôles d’exploration ;
• élaboration d’un plan de réponse aux incidents avec des politiques et procédures spécifiques concernant les lettres de notification aux consommateurs ; et
• évaluations annuelles de sécurité par des tiers pendant cinq ans.

L’Indiana a dirigé l’enquête multiétatique Inmediata, assistée par le comité exécutif composé du Connecticut, du Michigan et du Tennessee, et rejoint par l’Alabama, l’Arizona, l’Arkansas, le Colorado, le Delaware, la Géorgie, l’Iowa, le Kansas, le Kentucky, la Louisiane, le Maryland, le Massachusetts, le Minnesota, Mississippi, Montana, Nebraska, New Hampshire, Caroline du Nord, Ohio, Oklahoma, Oregon, Pennsylvanie, Porto Rico, Rhode Island, Caroline du Sud, Utah, Washington, Virginie occidentale et Wisconsin.

###