크레딧 카르마 (Credit Karma Inc.)는 최근 5 천만명 이상의 사용자를 기반으로 한 소비자 기반을 발표했다. 이 서비스는 미국 거주자 5 명당 약 1 명이 사용하며, 회사는 10 억 건 이상의 무료 신용 보고서를 발행했습니다. 이러한 무료 신용 보고서를 받으려면 사용자는 사회 보장 번호를 포함한 개인 정보를 입력해야합니다. Credit Karma는 점수를 결정하기 위해 개인 정보를 수집하기 때문에 고객의 민감한 정보에 대해 최대한의 개인 정보 보호, 재량권 및 보안 조치를 유지해야합니다.

보안 대책

신용 Karma는 중요한 데이터를 보호하기 위해 128 비트 암호화를 사용하며 회사의 개인 계정 정보에 대한 액세스는 읽기 전용입니다. 서버는 보안 담당자가 물리적으로 안전하게 보호합니다. 웹 사이트는 보안 네트워크를 사용하며 방화벽 및 기타 예방적인 보안 조치를 유지합니다. 사용자는 5 분 동안 사용하지 않거나 사용자가 데스크톱 웹 사이트를 닫으면 자동으로 로그 아웃됩니다. 모바일 장치 사용자는 응용 프로그램을 다시 열 때 암호를 다시 입력해야합니다. 마지막으로 새 사용자는 계정을 열기 전에 재무 기록과 관련된 여러 가지 보안 질문에 올바르게 대답해야합니다.

Credit Karma는 사용자가 지불 정보를 입력 할 것을 요구하지 않습니다. 이러한 이유로 암호화 된 신용 카드 정보 데이터베이스를 확보하거나 유지할 필요가 없습니다. 회사는 보내는 전자 메일의 수를 최소화하여 위험에 대한 사용자의 노출을 제한했습니다. 신용 카르마 대변인 크리스티나 라 (Christina Ra)는 "매우 드물게 이메일을 보내는 것은 핵심 관행"이라고 밝혔다. 사용자가 피싱 사기에 걸릴 가능성이 적기 때문에 이러한 보안 조치가 추가로 유리합니다.

데이터 유출

2014 년 Credit Karma는 FTC (Federal Trade Commission)에서 제기 한 혐의를 해결했습니다. FTC는 Credit Karma가 모바일 애플리케이션을 확보하지 못하고 2012 년 7 월부터 2013 년 1 월까지 민감한 소비자 정보를 안전하지 못하게했습니다. Credit Karma는 모바일 애플리케이션 개발 중에 아웃소싱을 활용했으며 내부 개발자는 테스트 중에 비활성화 된 코드는 최종 제품에 남아있었습니다. Credit Karma는 사용자가 응용 프로그램에 침입 할 수있는 기능을 알아 차리고 중간자 공격 취약성을 회사에 알린 후에 만 ​​보안 오류를 발견했습니다. iOS 문제를 해결 한 지 한 달 후, Credit Karma는 Android 버전의 애플리케이션을 출시했습니다. 안드로이드 애플리케이션이 동일한 보안 장애를 복제했기 때문에 적절한 보안 검토를 수행하지 않았거나 이전에 확인 된 취약성에 대한 애플리케이션을 테스트하지 않았기 때문에 인용되었다. 이 주장에 관한 조직의 공식 입장은 민감한 데이터의 손실이보고되지 않았고, 모바일 프로그램에만 국한되어 문제가 해결되었다는 것이 었습니다.합의 결과로이 회사는 일련의 보안 프로그램을 수립하고 2 년마다 독립적 인 보안 평가를 받게됩니다. 또한 결제는 제품의 개인 정보 보호 수준을 잘못 표시하는 것을 금지함으로써 보안 투명성을 요구합니다.

개인 정보 보호 정책

크레디트 카르마의 웹 사이트에 수집 된 모든 개인 정보는 제 3 자에게 판매되지 않습니다. 또한 신용 점수 정보는 사용자 외의 외부 당사자와 공유되지 않습니다. 그러나 Credit Karma의 이용 약관은이 정보 중 일부와 모순됩니다. 우선, Credit Karma는 정부 요청을 이행하고 사용 약관을 준수하기 위해 정보에 액세스하고, 사용하고, 보존하고, 전송하고 공개 할 권리를 보유합니다. 또한 권리는 제 3 자의 안전, 권리, 재산 또는 보안을 보호하고 사기, 보안 또는 기술적 문제를 탐지, 방지 또는 해결할 권한이 있습니다. 개인 정보의 액세스, 사용 또는 전송은 신용 카르마 사용자에게 사전 통지없이 수행 될 수 있습니다.

회사가 보유하고있는 잠재적 인 정보 공개 예약에도 불구하고 Credit Karma의 사설 정책은 TRUSTe의 인증을 받았습니다. TRUSTe의 인증 표준은 소비자를 보호하는 개인 정보 보호 표준을 수립 할 때 회사의 온라인 기능, 데이터 관리 관행 및 해당 규제 프레임 워크를 분석합니다. 이 인증에서는 어떠한 개인 정보도 제 3 자에게 판매되거나 공유되지 않으며 파트너와 공유되는 모든 정보는 명시 적 동의를 위해 소비자에게 제출됨을 명시합니다. 따라서 소비자가 자신의 개인 정보로 할 수있는 것과 할 수없는 것에 대해 신용 카르마가 말하는 것과 일치하지 않는 부분이 있습니다.

FAKO 점수

Credit Karma는 소비자에게 실제 FICO 신용 점수를 제공하지 않습니다. 대신, 추정 된 신용 점수 인 FAKO 점수를 반환합니다. Credit Karma는 개인 정보를 수집하여 알고리즘을 적용하여 신용 점수를 추정합니다. FAKO 점수는 회사의 보안 또는 안전성을 반영하지는 않지만 진정한 FICO 신용 보고서를 제공하지 않는다는 명확한 진술이 없으므로 투명성 문제가 제기됩니다.

결론 :

크레딧 카르마는 무료로 추정되는 신용 보고서를 제공하는 진정한 단체입니다. 고객의 민감한 정보를 보호하는 것과 관련하여 이전의 보안 문제가있었습니다. 또한 회사 웹 사이트에 게시 된 텍스트와 회사의 이용 약관 간에는 여러 가지 불일치가 있습니다. 이러한 이유로 소비자는 Credit Karma의 서비스를 고려할 때주의해서 접근해야합니다.