La Comisión de Bolsa y Valores multó a Morgan Stanley Smith Barney (MSSB) por no proteger la información de identificación personal (PII) de sus clientes durante un período de cinco años. La SEC afirma que Morgan Stanley no solo no destruyó los datos personales de sus clientes de los discos duros que iban a ser desmantelados, sino que también contrató a empresas no calificadas para hacerlo.
La SEC descubrió que Morgan Stanley no eliminó correctamente los dispositivos de almacenamiento que contenían PII de sus clientes que datan de 2015. La comisión también descubrió que, en varios casos, Morgan Stanley contrató a una «empresa de mudanzas y almacenamiento sin experiencia ni pericia». en servicios de destrucción de datos» para retirar miles de discos duros y servidores que contienen la información personal de millones de sus clientes. En lugar de destruir las unidades y el servidor, la empresa los vendió a un tercero, que los vendió en una subasta por Internet.
Por lo general, las empresas que manejan datos confidenciales utilizan módulos de seguridad de hardware (HSM) como LiquidSecurity de Marvell, unidades de autocifrado (SED) o al menos cifran los datos a través del software. Desactivar una SED es un proceso rápido y fácil, ya que solo requiere borrar la clave de cifrado de la unidad. Morgan Stanley no usó SED y no encriptó datos en sus servidores, a pesar de que este último admitía dicha capacidad. Por lo general, desmantelar un servidor con datos sin cifrar requiere borrar todos los datos y asegurarse de que sea imposible recuperarlos, lo que en muchos casos incluye la destrucción física de los dispositivos de almacenamiento. Sin embargo, los contratistas de MSSB no hicieron eso y MSSB no supervisó adecuadamente su trabajo.
Finalmente, Morgan Stanley descubrió que 42 servidores, todos hipotéticamente almacenando PII de clientes sin cifrar e información de informes de consumidores, fueron esencialmente perdidos o robados por la empresa de mudanzas.
«Los clientes confían su información personal a profesionales financieros con el entendimiento y la expectativa de que estará protegida, y MSSB se quedó muy corto al hacerlo», dijo Gurbir S. Grewal, director de la División de Cumplimiento de la SEC. «Si no se protege adecuadamente, esta información confidencial puede terminar en las manos equivocadas y tener consecuencias desastrosas para los inversores. La acción de hoy envía un mensaje claro a las instituciones financieras de que deben tomarse en serio su obligación de proteger dichos datos».
Morgan Stanley acordó pagar una multa de $35 millones sin admitir su culpabilidad ni negar los hallazgos de la SEC.