Aseguradora Premera Blue Cross pagará multa de 10MDD por brecha de datos

Acorde a reportes de expertos en seguridad informática, Premera Blue Cross, la compañía aseguradora más importante del pacífico, acordó pagar alrededor de 10 millones de dólares en 30 estados luego de que se reveló un incidente de brecha de datos que comprometió la información de más de 10 millones de personas en E.U.

La compañía llegó a un acuerdo con la fiscalía general de Washington y se presentó después de que Permera pagara más de 70 millones de dólares para resolver una demanda colectiva presentada por los usuarios afectados por el incidente.

Los demandantes afirman que un grupo de expertos en seguridad informática había advertido a la compañía sobre las serias vulnerabilidades de seguridad en sus sistemas y sobre su deficiente política de lanzamiento de actualizaciones. En la demanda se acusa a la empresa de no cumplir con sus obligaciones en materia de protección de datos según lo establecido en la Ley Federal de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).

La fiscalía general de Washington afirma que la compañía era consciente de sus fallas de seguridad; “el personal de seguridad informática interno de la compañía lo advirtió en múltiples ocasiones, al parecer Premera decidió no dar importancia a los consejos de sus propios expertos”, agregó Bob Ferguson, fiscal general de Washington.

La brecha de datos permaneció desde el mes de mayo de 2014 hasta su detección, en marzo de 2015. Acorde a los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) los hackers lograron acceder a información confidencial de los clientes de Premera, como historial clínico, detalles bancarios, números de seguridad social, entre otros. En total fueron afectados 1 millón 400 mil clientes de la compañía, principalmente habitantes de la Costa Oeste.

Premera acordó pagar 5.4 millones de dólares al estado de Washington; el resto de la compensación se repartirá entre los otros estados implicados. Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), la compañía también se comprometió a actualizar sus políticas de protección de datos, además deberá presentar informes periódicos ante las autoridades correspondientes.

El acuerdo aún requiere la aprobación de los jueces de otros estados, pues exigen que la compañía brinde dos años de servicios de monitoreo de crédito y protección contra fraudes de identidad a los usuarios afectados.