Credit Karma Inc. a récemment annoncé une base de consommateurs de plus de 50 millions d'utilisateurs. Ses services sont utilisés par environ un résident sur cinq aux États-Unis, et la société a publié plus d'un milliard de rapports de crédit gratuits. Pour recevoir ces rapports de crédit gratuits, un utilisateur doit entrer des informations personnelles, y compris un numéro de sécurité sociale. Parce qu'il recueille des renseignements personnels pour déterminer le score, Credit Karma devrait maintenir la plus grande confidentialité, la discrétion et les mesures de sécurité sur les informations sensibles de ses clients.

Mesures de sécurité

Credit Karma utilise un cryptage de 128 bits pour sécuriser les données sensibles, et l'accès aux informations de compte individuelles à la fin de l'entreprise est en lecture seule. Ses serveurs sont physiquement sécurisés par le personnel de sécurité. Son site Web utilise un réseau sécurisé, et il maintient des pare-feu et d'autres mesures de sécurité préventives. Les utilisateurs sont automatiquement déconnectés après cinq minutes d'inactivité ou lorsqu'un utilisateur ferme le site Web du bureau. Les utilisateurs d'appareils mobiles doivent entrer à nouveau un code d'accès lors de la réouverture de l'application. Enfin, un nouvel utilisateur doit répondre correctement à plusieurs questions de sécurité concernant son historique financier avant d'ouvrir un compte.

Credit Karma n'exige pas que les utilisateurs saisissent des informations de paiement. Pour cette raison, il n'est pas nécessaire de sécuriser ou de maintenir une base de données d'informations de carte de crédit cryptée. La société a limité l'exposition des utilisateurs au risque en minimisant le nombre d'e-mails qu'elle envoie. La porte-parole du Crédit Karma, Christina Ra, a déclaré que c'était une "pratique de base pour très, très rarement email". Cette mesure de sécurité supplémentaire est favorable, car les utilisateurs sont moins susceptibles d'être pris dans une escroquerie par hameçonnage.

Atteinte aux données

En 2014, Credit Karma a réglé des accusations portées par la Federal Trade Commission (FTC). La FTC a affirmé que Credit Karma n'avait pas sécurisé son application mobile et a laissé les informations sensibles non protégées de juillet 2012 à janvier 2013. Credit Karma a utilisé l'externalisation pendant le développement de son application mobile, et ses développeurs internes n'ont pas remarqué Le code qui avait été désactivé pendant les tests restait dans le produit final. Credit Karma a seulement découvert l'échec de sécurité après qu'un utilisateur a remarqué la possibilité de percer dans l'application et a informé la compagnie de la vulnérabilité d'attaque de l'homme du milieu. Un mois après avoir abordé le problème iOS, Credit Karma a publié la version Android de l'application. Il a été cité pour ne pas avoir effectué des examens de sécurité adéquats ou testé l'application pour des vulnérabilités précédemment identifiées, car l'application Android a reproduit le même problème de sécurité.

La position officielle de l'organisation concernant la réclamation était qu'aucune perte de données sensibles n'avait été signalée, que le problème était limité à son programme mobile et que le problème avait été résolu depuis.À la suite du règlement, la compagnie a établi une série de programmes de sécurité et fera l'objet d'une évaluation de sécurité indépendante biennale. Le règlement exige également la transparence de la sécurité en lui interdisant de déformer le niveau de confidentialité de ses produits.

Politique de confidentialité

Par site Web du crédit Karma, toutes les informations personnelles collectées ne sont pas vendues à des tiers. De plus, aucune information de pointage de crédit n'est partagée avec une partie externe en dehors de l'utilisateur. Cependant, les conditions d'utilisation de Credit Karma contredisent certaines de ces informations. Pour commencer, Credit Karma se réserve le droit d'accéder, d'utiliser, de conserver, de transférer et de divulguer des informations pour répondre aux demandes gouvernementales et respecter ses conditions d'utilisation. En outre, les droits sont réservés pour protéger la sécurité, les droits, la propriété ou la sécurité de tout tiers, ainsi que pour détecter, prévenir ou résoudre les problèmes de fraude, de sécurité ou techniques. Tout accès, utilisation ou transfert de renseignements personnels peut être effectué sans préavis donné à l'utilisateur Credit Karma.

Même avec les réserves potentielles de divulgation d'informations conservées par la société, la politique privée de Credit Karma est certifiée par TRUSTe. Les normes de certification de TRUSTe analysent les fonctionnalités en ligne, les pratiques de gestion des données et les cadres réglementaires applicables d'une entreprise en établissant des normes de confidentialité qui protègent les consommateurs. La certification stipule qu'aucune information personnelle n'est vendue ou partagée avec des tiers, et toute information partagée avec des partenaires est soumise au consommateur pour un consentement explicite. Par conséquent, il existe certaines incohérences concernant ce que Credit Karma déclare pouvoir et ne peut pas faire avec les informations personnelles d'un consommateur.

Score FAKO

Credit Karma ne fournit pas au consommateur son pointage de crédit FICO réel. Au lieu de cela, il renvoie un score FAKO, qui est un score de crédit estimé. Credit Karma recueille des renseignements personnels et l'utilise pour estimer un pointage de crédit en appliquant des algorithmes. Si la détermination d'un score FAKO ne reflète pas nécessairement la sécurité ou la sûreté de l'entreprise, elle soulève la question de la transparence, car la société n'indique pas clairement qu'elle ne fournit pas de véritables rapports de crédit FICO.

The Bottom Line

Crédit Karma est une organisation authentique qui fournit des rapports de crédit estimés gratuits. Il a déjà eu des problèmes de sécurité liés à la protection des informations sensibles des clients. En outre, il existe de multiples divergences entre le texte publié sur le site Web de l'entreprise et les conditions d'utilisation de l'entreprise. Pour cette raison, les consommateurs devraient être prudents lorsqu'ils envisagent les services de Credit Karma.