Credit Karma Inc. gần đây đã công bố một cơ sở tiêu dùng gồm hơn 50 triệu người dùng. Các dịch vụ của nó được sử dụng bởi khoảng một trong năm cư dân của Hoa Kỳ và công ty đã phát hành hơn một tỷ báo cáo tín dụng miễn phí. Để nhận được các báo cáo tín dụng miễn phí này, một người sử dụng phải nhập thông tin cá nhân, bao gồm số An Sinh Xã Hội. Bởi vì nó thu thập thông tin cá nhân để xác định điểm số, Credit Karma nên duy trì tối đa quyền riêng tư, tuỳ tiện và các biện pháp an ninh thông tin nhạy cảm của khách hàng.

Các biện pháp bảo mật

Credit Karma sử dụng mã hóa 128-bit để bảo vệ dữ liệu nhạy cảm và truy cập thông tin tài khoản cá nhân vào cuối của công ty là chỉ đọc. Máy chủ của nó được bảo vệ bởi cơ quan an ninh. Trang web của nó sử dụng một mạng lưới an toàn, và nó duy trì tường lửa và các biện pháp an ninh phòng ngừa khác. Người dùng sẽ tự động đăng xuất sau năm phút không hoạt động hoặc khi người dùng đóng trang web trên máy tính để bàn. Người dùng thiết bị di động phải nhập lại mật mã khi mở lại ứng dụng. Cuối cùng, người dùng mới phải trả lời chính xác nhiều câu hỏi về bảo mật liên quan đến lịch sử tài chính của cô trước khi mở tài khoản.

Credit Karma không yêu cầu người dùng nhập thông tin thanh toán. Vì lý do này, không bắt buộc phải bảo đảm hoặc duy trì cơ sở dữ liệu thông tin thẻ tín dụng được mật mã. Công ty có giới hạn người dùng có nguy cơ bằng cách giảm thiểu số lượng email gửi. Người phát ngôn của Credit Karma, Christina Ra, nói rằng đó là một "thực tiễn cốt lõi cho rất, rất ít email." Phương pháp an ninh bổ sung này là thuận lợi, vì người dùng ít có khả năng bị lừa gạt hơn.

Dữ liệu Vi phạm

Năm 2014, Credit Karma giải quyết các cáo buộc do Ủy ban Thương mại Liên bang (FTC) đưa ra. FTC tuyên bố rằng Credit Karma không đảm bảo ứng dụng di động của họ và để lại những thông tin tiêu dùng nhạy cảm không có bảo đảm từ tháng 7 năm 2012 đến tháng 1 năm 2013. Credit Karma sử dụng gia công phần mềm trong quá trình phát triển ứng dụng di động của mình và các nhà phát triển trong nhà không nhận thấy rằng mã đã bị tắt trong quá trình thử nghiệm vẫn còn trong sản phẩm cuối cùng. Credit Karma chỉ phát hiện ra lỗi bảo mật sau khi người dùng nhận thấy khả năng đột nhập vào ứng dụng và thông báo cho công ty về lỗ hổng tấn công người-ở-giữa. Một tháng sau khi giải quyết vấn đề iOS, Credit Karma đã phát hành phiên bản Android của ứng dụng. Nó đã được trích dẫn vì không thực hiện đánh giá bảo mật đầy đủ hoặc thử nghiệm các ứng dụng cho các lỗ hổng được xác định trước đó, như các ứng dụng Android nhân đôi thất bại bảo mật tương tự.

Vị trí chính thức của tổ chức liên quan đến yêu cầu bồi thường là không hề mất dữ liệu nhạy cảm, vấn đề được giới hạn trong chương trình di động của nó và vấn đề này đã được giải quyết.Theo kết quả của việc giải quyết, công ty đã thiết lập một loạt các chương trình an ninh và sẽ trải qua một đánh giá an ninh độc lập hai năm một lần. Giải quyết cũng yêu cầu minh bạch về bảo mật bằng cách cấm nó không được trình bày sai sự thật về mức độ riêng tư trong sản phẩm của mình.

Chính sách bảo mật

Trang web của Per Credit Karma, tất cả thông tin cá nhân thu thập được sẽ không được bán cho bên thứ ba. Ngoài ra, không có thông tin về điểm tín dụng nào được chia sẻ với bên ngoài bất kỳ bên ngoài người dùng. Tuy nhiên, điều khoản sử dụng của Credit Karma mâu thuẫn với một số thông tin này. Đối với người mới bắt đầu, Credit Karma có quyền truy cập, sử dụng, bảo quản, chuyển giao và tiết lộ thông tin để đáp ứng các yêu cầu của chính phủ và duy trì các điều khoản sử dụng. Ngoài ra, các quyền được bảo lưu để bảo vệ sự an toàn, quyền, tài sản hoặc tính bảo mật của bất kỳ bên thứ ba nào cũng như phát hiện, ngăn chặn hoặc giải quyết các gian lận, bảo mật hoặc các vấn đề kỹ thuật. Mọi truy cập, sử dụng hoặc chuyển thông tin cá nhân có thể được thực hiện mà không cần thông báo cho người sử dụng Credit Karma.

Ngay cả khi có sự bảo lưu thông tin do công ty tiết lộ, chính sách riêng của Credit Karma được TRUSTe chứng nhận. Các tiêu chuẩn chứng nhận của TRUSTe phân tích các tính năng trực tuyến của công ty, thực tiễn quản lý dữ liệu và các khuôn khổ quy định hiện hành trong việc thiết lập các tiêu chuẩn bảo mật để bảo vệ người tiêu dùng. Chứng nhận khẳng định rằng không có thông tin cá nhân được bán hoặc chia sẻ với bên thứ ba và bất kỳ thông tin nào được chia sẻ với các đối tác được gửi tới người tiêu dùng để được chấp thuận rõ ràng. Do đó, có một số điểm không nhất quán liên quan đến những gì Credit Karma cho rằng nó có thể và không thể làm gì với thông tin cá nhân của người tiêu dùng.

Điểm tín dụng FAKO

Credit Karma không cung cấp cho người tiêu dùng điểm tín dụng thực tế của FICO. Thay vào đó, nó trả về một điểm FAKO, là một điểm số tín dụng ước tính. Credit Karma thu thập thông tin cá nhân và sử dụng nó để ước lượng điểm tín dụng bằng cách áp dụng các thuật toán. Mặc dù việc xác định điểm số của FAKO không nhất thiết phản ánh an ninh hay an toàn của công ty nhưng nó nêu rõ vấn đề minh bạch, vì công ty không nêu rõ rằng nó không cung cấp các báo cáo tín dụng thực sự của FICO.

Dòng dưới cùng

Credit Karma là một tổ chức xác thực cung cấp các báo cáo tín dụng được ước tính miễn phí. Nó đã có các vấn đề an ninh trước liên quan đến việc bảo vệ thông tin nhạy cảm của khách hàng. Ngoài ra, có nhiều sai lệch giữa văn bản được xuất bản trên trang web của công ty và điều khoản sử dụng của công ty. Vì lý do này, người tiêu dùng nên thận trọng khi xem xét các dịch vụ của Credit Karma.