Credit Karma Inc. heeft onlangs een consumentenbestand van meer dan 50 miljoen gebruikers aangekondigd. Haar diensten worden door ongeveer één op de vijf inwoners van de Verenigde Staten gebruikt en het bedrijf heeft meer dan een miljard gratis kredietrapporten uitgegeven. Om deze gratis kredietrapporten te ontvangen, moet een gebruiker persoonlijke informatie invoeren, inclusief een sofinummer. Omdat het persoonlijke gegevens verzamelt om de score te bepalen, moet Credit Karma de grootst mogelijke privacy-, discretie- en beveiligingsmaatregelen handhaven ten opzichte van de gevoelige informatie van haar klanten.

Beveiligingsmaatregelen

Credit Karma gebruikt 128-bits codering om gevoelige gegevens te beveiligen en toegang tot individuele accountinformatie aan het einde van het bedrijf is alleen-lezen. Zijn servers worden fysiek beveiligd door beveiligingspersoneel. De website maakt gebruik van een beveiligd netwerk en onderhoudt firewalls en andere preventieve beveiligingsmaatregelen. Gebruikers worden automatisch uitgelogd na vijf minuten inactiviteit of wanneer een gebruiker de desktopwebsite sluit. Gebruikers van mobiele apparaten moeten opnieuw een wachtwoord invoeren bij het opnieuw openen van de applicatie. Ten slotte moet een nieuwe gebruiker meerdere beveiligingsvragen over haar financiële geschiedenis correct beantwoorden voorafgaand aan het openen van een account.

Credit Karma vereist niet dat gebruikers betalingsinformatie invoeren. Om deze reden is het niet verplicht om een ​​gecodeerde creditcardinformatiedatabase te beveiligen of te onderhouden. Het bedrijf heeft de blootstelling van gebruikers aan het risico beperkt door het aantal e-mails dat wordt verzonden te minimaliseren. Credit Karma-woordvoerster Christina Ra verklaarde dat het een "kernpraktijk is om heel, heel zelden e-mail te sturen". Deze extra beveiligingsmaatregel is gunstig, omdat gebruikers minder snel worden betrapt op phishing.

Gegevensverstoring

In 2014 heeft Credit Karma de aanklachten afgewikkeld die zijn veroorzaakt door de Federal Trade Commission (FTC). De FTC beweerde dat Credit Karma haar mobiele applicatie niet veilig kon stellen en gevoelige informatie van consumenten onbeveiligd kon achterlaten tussen juli 2012 en januari 2013. Credit Karma gebruikte outsourcing tijdens de ontwikkeling van haar mobiele applicatie en de interne ontwikkelaars zagen geen specifieke lijnen van code die tijdens het testen was uitgeschakeld, bleef in het eindproduct. Credit Karma ontdekte pas de beveiligingsstoring nadat een gebruiker de mogelijkheid had gemerkt om in te breken in de applicatie en het bedrijf op de hoogte bracht van de man-in-the-middle-aanvalskwetsbaarheid. Een maand na het adresseren van het iOS-probleem bracht Credit Karma de Android-versie van de applicatie uit. Het werd aangehaald vanwege het niet uitvoeren van adequate beveiligingsbeoordelingen of het testen van de toepassing op eerder geïdentificeerde kwetsbaarheden, omdat de Android-applicatie dezelfde beveiligingsfout dupliceerde.

De officiële positie van de organisatie met betrekking tot de claim was dat geen verlies van gevoelige gegevens werd gemeld, het probleem was beperkt tot het mobiele programma en het probleem is sindsdien opgelost.Als gevolg van de schikking heeft het bedrijf een reeks beveiligingsprogramma's opgesteld en zal het een tweejaarlijkse onafhankelijke veiligheidsbeoordeling ondergaan. De schikking vereist ook veiligheidstransparantie door te verbieden dat deze het niveau van privacy in haar producten verkeerd voorstelt.

Privacybeleid

Per Credit Karma-website wordt alle verzamelde persoonlijke informatie niet verkocht aan derden. Bovendien wordt geen kredietscore-informatie gedeeld met externe partijen behalve de gebruiker. De gebruiksvoorwaarden van Credit Karma zijn echter in tegenspraak met sommige van deze informatie. Om te beginnen behoudt Credit Karma het recht op toegang tot, gebruik, bewaren, overbrengen en vrijgeven van informatie om overheidsverzoeken te vervullen en de gebruiksvoorwaarden te handhaven. Bovendien zijn de rechten voorbehouden om de veiligheid, rechten, eigendom of beveiliging van een derde partij te beschermen, evenals om fraude, beveiligingsproblemen of technische problemen op te sporen, te voorkomen of aan te pakken. Elke toegang tot, gebruik of overdracht van persoonlijke informatie kan worden uitgevoerd zonder kennisgeving aan de Credit Karma-gebruiker.

Zelfs met de potentiële reserveringen voor informatieverschaffing die door het bedrijf worden bewaard, is het privébeleid van Credit Karma gecertificeerd door TRUSTe. De certificeringsnormen van TRUSTe analyseren de online functies, gegevensbeheerpraktijken en toepasselijke regelgevingskaders van bedrijven bij het opstellen van privacystandaarden die consumenten beschermen. De certificering stelt dat er geen persoonlijke informatie wordt verkocht of gedeeld met derden en dat alle informatie die met partners wordt gedeeld, aan de consument wordt voorgelegd voor uitdrukkelijke toestemming. Daarom zijn er enkele inconsistenties met betrekking tot wat Credit Karma verklaart dat het kan en niet kan doen met de persoonlijke informatie van een consument.

FAKO-score

Credit Karma biedt een consument geen actuele FICO-kredietscore. In plaats daarvan wordt een FAKO-score geretourneerd, wat een geschatte credit score is. Credit Karma verzamelt persoonlijke gegevens en gebruikt deze om een ​​kredietscore te schatten door algoritmen toe te passen. Hoewel de vaststelling van een FAKO-score niet noodzakelijk de veiligheid of veiligheid van het bedrijf weerspiegelt, roept dit de transparantie op, omdat het bedrijf niet duidelijk aangeeft dat het geen echte FICO-kredietrapporten verstrekt.

De bottom line

Credit Karma is een authentieke organisatie die gratis geschatte kredietrapporten verstrekt. Het heeft eerdere beveiligingsproblemen gehad met betrekking tot de bescherming van gevoelige informatie van klanten. Bovendien zijn er meerdere verschillen tussen tekst die op de website van het bedrijf is gepubliceerd en de gebruiksvoorwaarden van het bedrijf. Om deze reden moeten consumenten voorzichtig omgaan met de diensten van Credit Karma.