Kreditt Karma Inc. annonserte nylig en forbrukerbase på over 50 millioner brukere. Dens tjenester brukes av om lag en av de fem innbyggerne i USA, og selskapet har utstedt over en milliard gratis kredittrapporter. For å motta disse gratis kredittrapporter må en bruker legge inn personlig informasjon, inkludert et personnummer. Fordi det samler personlig informasjon for å bestemme poengsummen, bør Credit Karma opprettholde det ytterste personvern, skjønn og sikkerhetstiltak over sine kunders sensitive informasjon.

Sikkerhetsforanstaltninger

Kreditt Karma bruker 128-bits kryptering for å sikre sensitive data, og tilgang til individuell kontoinformasjon på selskapets slutt er skrivebeskyttet. Dens servere er fysisk sikret av sikkerhetspersonell. Nettstedet bruker et sikkert nettverk, og det opprettholder brannmurer og andre forebyggende sikkerhetsforanstaltninger. Brukerne logges automatisk ut etter fem minutter med inaktivitet, eller når en bruker lukker skrivebordets nettside. Brukerne av mobilenhet må på nytt oppgi et passord ved gjenåpning av programmet. Endelig må en ny bruker svare på flere sikkerhetsspørsmål angående hennes økonomiske historie før han åpner en konto.

Kreditt Karma krever ikke at brukerne oppgir betalingsinformasjon. Av denne grunn er det ikke nødvendig å sikre eller vedlikeholde en kryptert kredittkortinformasjonsdatabase. Selskapet har begrenset brukers eksponering for risiko ved å minimere antall e-poster det sender. Credit Karma taleskvinne Christina Ra uttalte at det er en "kjernepraksis til veldig, svært sjelden e-post." Dette ekstra sikkerhetstiltaket er gunstig, da brukere er mindre sannsynlig å bli fanget i en phishing-svindel.

Datautbrudd

I 2014 avgikk Credit Karma kostnader fra Federal Trade Commission (FTC). FTC hevdet at Credit Karma ikke klarte å sikre sin mobilapplikasjon og forbrukerinformasjon uten sikkerhet fra juli 2012 til januar 2013. Credit Karma utnyttet outsourcing under utviklingen av mobilapplikasjonen, og dets interne utviklere klarte ikke å legge merke til at bestemte linjer av Koden som ble deaktivert under testen, var fortsatt i sluttproduktet. Kreditt Karma oppdaget bare sikkerhetssviktet etter at en bruker la merke til evnen til å bryte inn i søknaden og informerte selskapet om sårbarheten for mann-i-midten-angrep. En måned etter å ha adressert iOS-problemet, ga Credit Karma ut Android-versjonen av programmet. Det ble sitert for ikke å utføre tilstrekkelige sikkerhetsvurderinger eller testing av søknaden om tidligere identifiserte sikkerhetsproblemer, da Android-applikasjonen dupliserte samme sikkerhetssvikt.

Organisasjonens offisielle stilling til kravet var at det ikke var rapportert om tap av sensitive data, problemet var begrenset til mobilprogrammet, og problemet har siden blitt løst.Som et resultat av oppgjøret etablerte selskapet en serie sikkerhetsprogrammer og vil gjennomgå en toårig uavhengig sikkerhetsvurdering. Oppgjøret krever også sikkerhetsgjennomgang ved å forby at den ikke feiler personvernsnivået i sine produkter.

Personvernpolitikk

Per Credit Karmas nettsted, all personlig informasjon som samles inn, blir ikke solgt til tredjepart. I tillegg er ingen kredittpoenginformasjon delt med en ekstern parti bortsett fra brukeren. Imidlertid motsiger Credit Karmas bruksvilkår noen av denne informasjonen. For det første forbeholder Credit Karma seg retten til å få tilgang til, bruke, bevare, overføre og avsløre informasjon for å oppfylle myndighetsforespørsler og opprettholde bruksvilkårene. I tillegg er rettighetene forbeholdt for å beskytte sikkerhet, rettigheter, eiendom eller sikkerhet for tredjepart, samt oppdage, hindre eller motvirke svindel, sikkerhets- eller tekniske problemer. Eventuell tilgang, bruk eller overføring av personlig informasjon kan utføres uten varsel til Credit Karma-brukeren.

Selv om de potensielle informasjonsprosessene forbeholdes av selskapet, er Credit Karmas privatpolicy sertifisert av TRUSTe. TRUSTes sertifiseringsstandarder analyserer selskapets elektroniske funksjoner, datahåndteringspraksis og gjeldende regelverksrammer for å etablere personvernstandarder som beskytter forbrukerne. Sertifiseringen sier at ingen personlig informasjon selges eller deles med tredjeparter, og all informasjon som deles med partnere, sendes til forbrukeren for eksplisitt samtykke. Derfor er det noen uoverensstemmelser om hva Credit Karma sier det kan og ikke kan gjøre med forbrukerens personlige opplysninger.

FAKO Score

Credit Karma gir ikke forbrukeren sin faktiske FICO kreditt score. I stedet returnerer den en FAKO-poengsum, som er en estimert kreditt score. Kreditt Karma samler inn personlig informasjon og bruker den til å anslå en kreditt score ved å bruke algoritmer. Selv om fastsettelsen av en FAKO-poengsum ikke nødvendigvis reflekterer sikkerheten eller sikkerheten til selskapet, reiser det spørsmålet om åpenhet, da selskapet ikke klart sier at det ikke gir ekte FICO-kredittrapporter.

Bunnlinjen

Credit Karma er en autentisk organisasjon som gir kostnadsberettigede kredittrapporter. Det har hatt tidligere sikkerhetsspørsmål knyttet til beskyttelse av kundens sensitive informasjon. I tillegg er det flere uoverensstemmelser mellom tekst publisert på selskapets nettside og selskapets bruksvilkår. Av denne grunn bør forbrukerne nærme seg forsiktighet når man vurderer Credit Karmas tjenester.