Credit Karma Inc. annoncerede for nylig en forbrugerbase på over 50 millioner brugere. Dens tjenester bruges af ca. en ud af hver fem indbyggere i USA, og selskabet har udstedt over en milliard gratis kreditrapporter. For at modtage disse gratis kreditrapporter skal en bruger indtaste personlige oplysninger, herunder et socialt sikkerhedsnummer. Fordi det samler personlige oplysninger for at bestemme scoren, bør Credit Karma opretholde det yderste privatliv, skøn og sikkerhedsforanstaltninger over sine kunders følsomme oplysninger.

Sikkerhedsforanstaltninger

Credit Karma bruger 128-bit kryptering til at sikre følsomme data, og adgang til individuelle kontooplysninger på virksomhedens ende er skrivebeskyttet. Dens servere er fysisk sikret af sikkerhedspersonale. Dets hjemmeside bruger et sikkert netværk, og det opretholder firewalls og andre forebyggende sikkerhedsforanstaltninger. Brugere logges automatisk ud efter fem minutters inaktivitet, eller når en bruger lukker skrivebordets hjemmeside. Brugerne af mobilenheder skal genindtaste en adgangskode, når programmet genåbnes. Endelig skal en ny bruger svare på flere sikkerhedsspørgsmål vedrørende hendes økonomiske historie, før han åbner en konto.

Kredit Karma kræver ikke, at brugerne indtaster betalingsoplysninger. Af denne grund er det ikke nødvendigt at sikre eller vedligeholde en krypteret kreditkortinformationsdatabase. Virksomheden har begrænset brugerrisiko for risici ved at minimere antallet af e-mails, den sender. Credit Karma talskvinde Christina Ra udtalte, at det er en "kernepraksis til meget, meget sjældent e-mail." Denne ekstra sikkerhedsforanstaltning er gunstig, da brugere er mindre tilbøjelige til at blive fanget i en phishing-fidus.

Databrænkelse

I 2014 afviklede Credit Karma afgifter fra Federal Trade Commission (FTC). FTC hævdede, at Credit Karma ikke kunne sikre sin mobilapplikation og venstre følsomme forbrugeroplysninger usikrede fra juli 2012 til januar 2013. Credit Karma udnyttede outsourcing under udviklingen af ​​sin mobile applikation, og dens interne udviklere undlod at bemærke de specifikke linjer af kode, der var blevet deaktiveret under testen, forblev i slutproduktet. Credit Karma opdagede kun sikkerhedsfejlen, efter at en bruger havde bemærket muligheden for at bryde ind i applikationen og informerede virksomheden om sårbarheden mellem menneske og midterangreb. En måned efter at have adresseret iOS-problemet, udgav Credit Karma Android-versionen af ​​applikationen. Det blev citeret for ikke at udføre tilstrækkelige sikkerhedsvurderinger eller afprøvning af ansøgningen om tidligere identificerede sårbarheder, da Android-applikationen duplicerede det samme sikkerhedsfejl.

Organisationens officielle holdning til kravet var, at der ikke blev rapporteret noget tab af følsomme data, problemet var begrænset til dets mobilprogram, og problemet er siden blevet løst.Som et resultat af afviklingen etablerede virksomheden en række sikkerhedsprogrammer og vil gennemgå en toårig uafhængig sikkerhedsvurdering. Afviklingen kræver også sikkerhedsgennemsigtighed ved at forbyde den at vildledende fortrolighedsniveauet i sine produkter.

Privatlivspolitik

Per Credit Karmas hjemmeside, alle personlige oplysninger, der indsamles, sælges ikke til tredjepart. Derudover deles ingen kredit score oplysninger med en ekstern parti bortset fra brugeren. Kredit Karmas brugsvilkår modsiger imidlertid nogle af disse oplysninger. Til at begynde med forbeholder Credit Karma sig ret til at få adgang til, bruge, bevare, overføre og offentliggøre oplysninger for at opfylde regeringsanmodninger og opretholde brugsbetingelserne. Derudover er rettighederne forbeholdt beskyttelse af tredjeparts sikkerhed, rettigheder, ejendom eller sikkerhed samt opdage, forhindre eller imødegå svig, sikkerhed eller tekniske problemer. Enhver adgang, brug eller overførsel af personlige oplysninger kan udføres uden varsel til Credit Karma-brugeren.

Selv med de potentielle oplysningsreservationer, som virksomheden har tilbageholdt, er Credit Karmas private politik certificeret af TRUSTe. TRUSTes certificeringsstandarder analyserer virksomhedens onlinefunktioner, databehandlingspraksis og gældende lovgivningsmæssige rammer for etablering af privatlivsnormer, der beskytter forbrugerne. Certificeringen fastslår, at der ikke sælges eller deles personlige oplysninger med tredjeparter, og enhver information, der deles med partnere, sendes til forbrugeren med udtrykkelig samtykke. Derfor er der nogle uoverensstemmelser med hensyn til, hvad Credit Karma siger, det kan og ikke kan gøre med en forbrugers personlige oplysninger.

FAKO Score

Credit Karma giver ikke forbrugeren sin faktiske FICO kredit score. I stedet returnerer den en FAKO score, hvilket er en anslået kredit score. Credit Karma indsamler personlige oplysninger og bruger den til at estimere en kredit score ved at anvende algoritmer. Selvom bestemmelsen af ​​en FAKO-score ikke nødvendigvis afspejler virksomhedens sikkerhed eller sikkerhed, rejser det spørgsmålet om gennemsigtighed, da selskabet ikke klart angiver, at det ikke giver ægte FICO-kreditrapporter.

Bottom Line

Credit Karma er en autentisk organisation, der giver gratis estimerede kreditrapporter. Det har haft tidligere sikkerhedsspørgsmål vedrørende beskyttelse af kundernes følsomme oplysninger. Derudover er der flere uoverensstemmelser mellem tekst udgivet på selskabets hjemmeside og virksomhedens brugsbetingelser. Af denne grund bør forbrugerne nærme sig forsigtighed, når de overvejer Credit Karmas tjenester.