Résumé

  • La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.
  • Qui avait le contrôle pratique sur les attributs d'identité exposés, la réparation des consommateurs, la dépendance des agences en matière de preuve d'identité, les preuves de règlement, la minimisation des données et la preuve que la vérification basée sur les connaissances ne continuerait pas à traiter les faits compromis comme des secrets?
  • Le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés.
  • Les consommateurs, les prêteurs, les propriétaires, les employeurs, les petites entreprises, les agences publiques, les tribunaux, les régulateurs et les acheteurs de services d'identité avaient besoin de preuves que le redressement répondait au risque de vérification continu plutôt qu'à une date d'annonce unique.
  • L'article maintient les allégations, les déclarations de l'entreprise, les dossiers réglementaires, les conclusions techniques, la position judiciaire et les inconnues résiduelles séparés afin que la responsabilité soit fondée sur des preuves plutôt que sur la force narrative.

La violation a survécu à la date d'annonce

La violation a survécu à la date d'annonce est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est ftc.gov (https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. L'article ne répète pas l'analyse complète de la fenêtre de correctif des couvertures précédentes. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme cwiki.apache.org (https://cwiki.apache.org/confluence/display/WW/S2-045) et mass.gov (https://www.mass.gov/news/ag-healey-secures-18-million-from-equifax-following-2017-data-breach), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Les faits compromis ne pouvaient pas rester des secrets de vérification

Les faits compromis ne pouvaient pas rester des secrets de vérification est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est ftc.gov (https://www.ftc.gov/news-events/news/press-releases/2019/07/equifax-pay-least-575-million-part-settlement-ftc-cfpb-states-related-2017-data-breach). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. Il se concentre sur l'après-vie des données exposées dans la preuve d'identité, le support consommateur et la dépendance institutionnelle. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme nvd.nist.gov (https://nvd.nist.gov/vuln/detail/CVE-2017-5638) et equifaxbreachsettlement.com (https://www.equifaxbreachsettlement.com/), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Les agences publiques ont dû revoir leur dépendance

Les agences publiques ont dû revoir leur dépendance est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est consumerfinance.gov (https://www.consumerfinance.gov/enforcement/actions/equifax-inc-data-breach/). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. Les dossiers de règlement sont traités comme des preuves de réparation, pas comme une mesure complète du préjudice. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme sec.gov (https://www.sec.gov/Archives/edgar/data/33185/000003318518000006/efx-20171231x10k.htm) et ftc.gov (https://www.ftc.gov/business-guidance/blog/2019/07/equifax-data-breach-settlement-what-you-need-know), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Les consommateurs ont supporté des années de travail de correction

Les consommateurs ont supporté des années de travail de correction est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est oversight.house.gov (https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. La vérification basée sur les connaissances est examinée comme un problème de politique après les grandes violations. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme sec.gov (https://www.sec.gov/intelligence team/press-releases/2018-40) et nist.gov (https://www.nist.gov/cyberframework), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Les avantages du règlement faisaient partie de la continuité

Les avantages du règlement faisaient partie de la continuité est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est gao.gov (https://www.gao.gov/products/gao-18-559). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. L'article ne répète pas l'analyse complète de la fenêtre de correctif des couvertures précédentes. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme justice.gov (https://www.justice.gov/opa/pr/chinese-military-personnel-charged-computer-fraud-economic-espionage-and-wire-fraud) et csrc.nist.gov (https://csrc.nist.gov/pubs/sp/800/40/r4/final), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

La responsabilité des correctifs n'était que le premier chapitre

La responsabilité des correctifs n'était que le premier chapitre est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est cwiki.apache.org (https://cwiki.apache.org/confluence/display/WW/S2-045). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. Il se concentre sur l'après-vie des données exposées dans la preuve d'identité, le support consommateur et la dépendance institutionnelle. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme ag.ny.gov (https://ag.ny.gov/press-release/2019/ag-james-announces-175-million-settlement-equifax-over-data-breach) et ftc.gov (https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

La minimisation des données a eu de l'importance après la divulgation

La minimisation des données a eu de l'importance après la divulgation est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est nvd.nist.gov (https://nvd.nist.gov/vuln/detail/CVE-2017-5638). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. Les dossiers de règlement sont traités comme des preuves de réparation, pas comme une mesure complète du préjudice. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme mass.gov (https://www.mass.gov/news/ag-healey-secures-18-million-from-equifax-following-2017-data-breach) et ftc.gov (https://www.ftc.gov/news-events/news/press-releases/2019/07/equifax-pay-least-575-million-part-settlement-ftc-cfpb-states-related-2017-data-breach), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Les petites organisations ont hérité du travail de fraude

Les petites organisations ont hérité du travail de fraude est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est sec.gov (https://www.sec.gov/Archives/edgar/data/33185/000003318518000006/efx-20171231x10k.htm). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. La vérification basée sur les connaissances est examinée comme un problème de politique après les grandes violations. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme equifaxbreachsettlement.com (https://www.equifaxbreachsettlement.com/) et consumerfinance.gov (https://www.consumerfinance.gov/enforcement/actions/equifax-inc-data-breach/), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Les preuves du conseil devaient couvrir la longue traîne

Les preuves du conseil devaient couvrir la longue traîne est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est sec.gov (https://www.sec.gov/intelligence team/press-releases/2018-40). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. L'article ne répète pas l'analyse complète de la fenêtre de correctif des couvertures précédentes. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme ftc.gov (https://www.ftc.gov/business-guidance/blog/2019/07/equifax-data-breach-settlement-what-you-need-know) et oversight.house.gov (https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Les futurs systèmes d'identité doivent être conçus en tenant compte des violations

Les futurs systèmes d'identité doivent être conçus en tenant compte des violations est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est justice.gov (https://www.justice.gov/opa/pr/chinese-military-personnel-charged-computer-fraud-economic-espionage-and-wire-fraud). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. Il se concentre sur l'après-vie des données exposées dans la preuve d'identité, le support consommateur et la dépendance institutionnelle. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme nist.gov (https://www.nist.gov/cyberframework) et gao.gov (https://www.gao.gov/products/gao-18-559), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Des inconnues subsistent autour du préjudice cumulatif

Des inconnues subsistent autour du préjudice cumulatif est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est ag.ny.gov (https://ag.ny.gov/press-release/2019/ag-james-announces-175-million-settlement-equifax-over-data-breach). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. Les dossiers de règlement sont traités comme des preuves de réparation, pas comme une mesure complète du préjudice. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme csrc.nist.gov (https://csrc.nist.gov/pubs/sp/800/40/r4/final) et cwiki.apache.org (https://cwiki.apache.org/confluence/display/WW/S2-045), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Le fichier de responsabilité est un registre de réparation

Le fichier de responsabilité est un registre de réparation est le bon point de départ car le problème de responsabilité est que les attributs d'identité volés continuent d'affecter les personnes et les institutions longtemps après la fermeture d'une fenêtre de correctif, en particulier lorsque les systèmes de vérification continuent de se fier à des faits qui ne sont plus privés. La violation d'Equifax en 2017 a exposé des données d'identité à l'échelle de la population et a laissé une longue traîne de réparation, de dépendance des agences, d'administration des règlements et de questions de preuve d'identité.

La question de responsabilité publique n'est donc pas de savoir si l'organisation a vécu un incident difficile; c'est de savoir si les personnes en dehors de la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui contrôlait ce changement et quels risques restaient ouverts.

Pour Equifax, Inc., la surface de contrôle pratique comprenait la violation d'Equifax, la vérification d'identité, la preuve basée sur les connaissances, la réparation des consommateurs, les obligations de règlement, la dépendance des agences publiques, la minimisation des données et la responsabilité à longue traîne. Ces mots nomment différentes équipes et différentes tâches de preuve.

Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des souvenirs institutionnels séparés.

Une source limite pour cette section est mass.gov (https://www.mass.gov/news/ag-healey-secures-18-million-from-equifax-following-2017-data-breach). Elle est utile pour le dossier public sur les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne, mais elle ne peut pas à elle seule répondre à toutes les questions de contrôle interne, donc cet article la traite comme une preuve pour l'affirmation qu'elle peut réellement soutenir.

La limite importe autant que le fait. La vérification basée sur les connaissances est examinée comme un problème de politique après les grandes violations. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une divulgation de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que le dossier prouve, voici ce qu'il suggère, et voici ce qui reste non prouvé.

La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, comme ftc.gov (https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement) et nvd.nist.gov (https://nvd.nist.gov/vuln/detail/CVE-2017-5638), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats de test et les dépendances restantes. C'est la différence entre la récupération réputationnelle et la récupération responsable.

Dossier de preuves pour le lecteur

Cet article utilise les sources publiques suivantes comme dossier de lecture pour le dossier de responsabilité à longue traîne de la vérification d'identité d'Equifax. Chaque source est traitée avec des limites: les déclarations de l'entreprise prouvent ce que l'entreprise a dit ou rapporté, les dossiers judiciaires prouvent la position juridique, les dossiers réglementaires prouvent une action ou une allégation officielle, les publications techniques prouvent les mécanismes observés dans leur périmètre, et les documents de normes fournissent des références de contrôle plutôt que des conclusions rétroactives.

Ce dossier de preuves est délibérément plus large qu'un simple avis de violation car les conséquences de la violation d'Equifax, les retombées de la vérification d'identité, les obligations de règlement et le dossier de responsabilité à longue traîne ont affecté plus d'un public. Le dossier public doit soutenir les clients qui ont besoin d'actions pratiques, les gestionnaires qui ont besoin d'un plan de réparation, les régulateurs qui ont besoin de périmètre, et les lecteurs qui ont besoin de savoir quelles affirmations restent incertaines.

Questions d'examen du conseil

Le dossier d'examen devrait nommer le propriétaire pratique de chaque décision, la date à laquelle la décision a été prise, les preuves utilisées et le public qui en dépendait. Sans cette structure, le même incident peut être raconté plus tard comme une panne technique, un litige juridique, un problème de service client ou un problème financier sans base stable pour décider quel récit est complet.

Un dossier de responsabilité utile préserve également l'incertitude. Il devrait dire ce qui est connu des déclarations de l'entreprise, ce qui est connu des dossiers gouvernementaux ou judiciaires, ce qui est connu des intervenants externes en cas d'incident, et ce qui reste déduit. Cette séparation protège les lecteurs d'une fausse précision et protège l'organisation en ne traitant pas la confiance précoce comme une preuve.

Le contrôle important n'est pas une réponse héroïque après les faits. C'est la capacité de montrer, alors que l'événement est encore en mouvement, quelles preuves changeraient une décision. Si un avis client, un rapport de conseil, une réclamation d'assurance ou une mise à jour réglementaire serait différent après une révision de journal supplémentaire, cette dépendance devrait être visible dans le dossier.

Pour ce cas spécifique, un examen du conseil devrait demander qui avait le contrôle pratique sur les attributs d'identité exposés, la réparation des consommateurs, la dépendance des agences en matière de preuve d'identité, les preuves de règlement, la minimisation des données et la preuve que la vérification basée sur les connaissances ne continuerait pas à traiter les faits compromis comme des secrets. La réponse ne devrait pas être un récit seul.

Elle devrait inclure des preuves datées, des propriétaires nommés, les publics affectés, les engagements envers les clients et une liste de faits que l'organisation ne pouvait toujours pas prouver lorsque le dossier public a été constitué.