Credit Karma Inc. anunciou recentemente uma base de consumidores de mais de 50 milhões de usuários. Seus serviços são usados ​​por cerca de um em cada cinco residentes dos Estados Unidos, e a empresa emitiu mais de um bilhão de relatórios de crédito gratuitos. Para receber esses relatórios de crédito gratuitos, um usuário deve inserir informações pessoais, incluindo um número de Segurança Social. Como coleta informações pessoais para determinar a pontuação, o Credit Karma deve manter a máxima privacidade, discrição e medidas de segurança em relação às informações confidenciais de seus clientes.

Medidas de segurança

Credit Karma usa criptografia de 128 bits para proteger dados confidenciais e o acesso a informações individuais da conta no final da empresa é somente leitura. Seus servidores estão fisicamente protegidos pelo pessoal de segurança. Seu site utiliza uma rede segura, e mantém firewalls e outras medidas preventivas de segurança. Os usuários são automaticamente desconectados após cinco minutos de inatividade ou quando um usuário fecha o site da área de trabalho. Os usuários de dispositivos móveis devem inserir novamente uma senha ao reabrir o aplicativo. Finalmente, um novo usuário deve responder corretamente várias questões de segurança sobre seu histórico financeiro antes de abrir uma conta.

Credit Karma não exige que os usuários inserem informações de pagamento. Por esse motivo, não é necessário proteger ou manter um banco de dados criptografado de informações de cartão de crédito. A empresa tem uma exposição limitada do usuário ao risco, minimizando o número de e-mails que envia. A porta-voz da Karma, Christina Ra, afirmou que é uma "prática central para muito, muito raramente o email". Esta medida de segurança adicionada é favorável, uma vez que os usuários são menos propensos a serem capturados em uma fraude de phishing.

Violação de dados

Em 2014, o Credit Karma liquidou as tarifas cobradas pela Federal Trade Commission (FTC). O FTC afirmou que o Credit Karma não conseguiu garantir a sua aplicação móvel e deixou as informações sensíveis do consumidor sem garantia de julho de 2012 a janeiro de 2013. O Credit Karma utilizou a terceirização durante o desenvolvimento de sua aplicação móvel e seus desenvolvedores internos não perceberam que linhas específicas de O código que havia sido desativado durante o teste permaneceu no produto final. O Karma de crédito só descobriu a falha de segurança depois que um usuário notou a capacidade de entrar no aplicativo e informou a empresa da vulnerabilidade de ataque do homem-em-meio. Um mês depois de abordar a questão iOS, o Credit Karma lançou a versão Android do aplicativo. Foi citado por não realizar avaliações de segurança adequadas ou testar o aplicativo para vulnerabilidades previamente identificadas, pois o aplicativo Android duplicou a mesma falha de segurança.

A posição oficial da organização em relação à reivindicação foi que nenhuma perda de dados confidenciais foi relatada, a questão foi limitada ao seu programa móvel e a questão já foi resolvida.Como resultado da liquidação, a empresa estabeleceu uma série de programas de segurança e passará por uma avaliação de segurança independente bienal. O acordo também exige transparência de segurança ao proibi-lo de falsificar o nível de privacidade em seus produtos.

Política de privacidade

Por site do crédito Karma, todas as informações pessoais coletadas não são vendidas a terceiros. Além disso, nenhuma informação de pontuação de crédito é compartilhada com qualquer parte externa além do usuário. No entanto, os termos de uso do Credit Karma contradizem algumas dessas informações. Para começar, o Credit Karma reserva-se o direito de acessar, usar, preservar, transferir e divulgar informações para atender solicitações governamentais e manter seus termos de uso. Além disso, os direitos são reservados para proteger a segurança, direitos, propriedade ou segurança de terceiros, bem como detectar, prevenir ou resolver problemas de fraude, segurança ou técnica. Qualquer acesso, uso ou transferência de informações pessoais pode ser realizado sem aviso prévio ao usuário do Credit Karma.

Mesmo com as potenciais reservas de divulgação de informações retidos pela empresa, a política privada da Credit Karma é certificada pela TRUSTe. Os padrões de certificação da TRUSTe analisam os recursos on-line de uma empresa, práticas de gerenciamento de dados e quadros regulatórios aplicáveis ​​no estabelecimento de padrões de privacidade que protegem os consumidores. A certificação declara que nenhuma informação pessoal é vendida ou compartilhada com terceiros, e qualquer informação compartilhada com parceiros é submetida ao consumidor para consentimento explícito. Portanto, existem algumas inconsistências sobre o que o Credit Karma afirma que pode e não pode fazer com as informações pessoais de um consumidor.

FAKO Score

Credit Karma não fornece um consumidor com a pontuação de crédito real da FICO. Em vez disso, ele retorna uma pontuação FAKO, que é uma pontuação de crédito estimada. Credit Karma coleta informações pessoais e usa-a para estimar uma pontuação de crédito aplicando algoritmos. Embora a determinação de um escore FAKO não reflita necessariamente a segurança ou a segurança da empresa, levanta a questão da transparência, já que a empresa não afirma claramente que não fornece relatórios de crédito FICO verdadeiros.

A linha inferior

Credit Karma é uma organização autêntica que fornece relatórios de crédito estimados gratuitamente. Ele teve problemas de segurança anteriores relacionados à proteção das informações confidenciais dos clientes. Além disso, existem múltiplas discrepâncias entre o texto publicado no site da empresa e os termos de uso da empresa. Por esse motivo, os consumidores devem abordar com cautela ao considerar os serviços do Credit Karma.