Kredit Karma Inc. meddelade nyligen en konsumentbas av över 50 miljoner användare. Dess tjänster används av ungefär en av vart femte invånare i USA, och företaget har emitterat över en miljard gratis kreditupplysningar. För att få dessa gratis kreditrapporter måste en användare skriva in personlig information, inklusive ett socialt säkerhetsnummer. Eftersom det samlar in personlig information för att bestämma poängen, borde Credit Karma behålla största sekretess, diskretion och säkerhetsåtgärder över sina kunders känsliga uppgifter.

Säkerhetsåtgärder

Credit Karma använder 128-bitars kryptering för att säkra känslig data, och åtkomst till enskild kontoinformation på företagets slut är skrivskyddad. Servrarna är fysiskt säkrade av säkerhetspersonal. Dess webbplats använder ett säkert nätverk, och det underhåller brandväggar och andra förebyggande säkerhetsåtgärder. Användare loggas automatiskt efter fem minuter av inaktivitet, eller när en användare stänger skrivbordets webbplats. Användare av mobila enheter måste skriva in ett lösenord igen när programmet öppnas igen. Slutligen måste en ny användare svara på flera säkerhetsfrågor om hennes ekonomiska historia innan han öppnar ett konto.

Kredit Karma kräver inte att användarna anger betalningsinformation. Av denna anledning är det inte nödvändigt att säkra eller behålla en krypterad kreditkortsinformationsdatabas. Företaget har begränsad användares exponering för risk genom att minimera antalet e-postmeddelanden som skickas. Credit Karma talskvinna Christina Ra uppgav att det är en "kärnpraxis till mycket, mycket sällan e-post." Den här säkerhetsåtgärden är gynnsam, eftersom användare är mindre benägna att fånga sig i en phishing-bluff.

Uppgiftsbrott

År 2014 fastställde Credit Karma avgifter som gjorts av Federal Trade Commission (FTC). FTC hävdade att Credit Karma misslyckades med att säkra sin mobilapplikation och lämnade känslig konsumentinformation utan säkerhet från juli 2012 till januari 2013. Kredit Karma utnyttjade outsourcing under utvecklingen av sin mobila applikation och dess inbyggda utvecklare misslyckades att märka de specifika linjerna kod som hade inaktiverats under testet var kvar i slutprodukten. Kredit Karma upptäckte bara säkerhetsfelet efter att en användare upptäckte möjligheten att bryta sig in i ansökan och informerade företaget om man-i-mitten attack sårbarheten. En månad efter att ha adresserat iOS-problemet släppte Credit Karma Android-versionen av programmet. Det citerades att inte utföra adekvata säkerhetsrapporter eller testa applikationen för tidigare identifierade sårbarheter, eftersom Android-applikationen duplicerade samma säkerhetsfel.

Organisationens officiella ställning angående fordran var att ingen förlust av känsliga uppgifter rapporterades. Frågan var begränsad till sitt mobila program och frågan har sedan länge lösts.Som ett resultat av uppgörelsen etablerade företaget en serie säkerhetsprogram och kommer att genomgå en tvåårig oberoende säkerhetsbedömning. Avvecklingen kräver också säkerhetsinsynlighet genom att förbjuda att den inte förvränger nivån på integriteten i sina produkter.

Sekretesspolicy

Per Credit Karmas hemsida, all personlig information som samlas in säljs inte till tredje part. Dessutom delas ingen kreditpoänginformation med någon extern part bort från användaren. Kredit Karmas användarvillkor motsäger emellertid vissa av denna information. Till att börja med förbehåller Credit Karma rätten att få tillgång till, använda, bevara, överföra och avslöja information för att uppfylla myndighetsförfrågningar och upprätthålla användarvillkoren. Dessutom är rättigheterna reserverade för att skydda tredje parts säkerhet, rättigheter, egendom eller säkerhet, samt upptäcka, förhindra eller ta itu med bedrägeri, säkerhet eller tekniska problem. Eventuell åtkomst, användning eller överföring av personuppgifter kan utföras utan föregående meddelande till Credit Karma-användaren.

Även med de potentiella upplysningsreservationer som företaget behållit, är Credit Karmas privata politik certifierad av TRUSTe. TRUSTes certifieringsstandarder analyserar företagets onlinefunktioner, datahanteringspraxis och tillämpliga regelverk för att fastställa integritetsstandarder som skyddar konsumenterna. I certifieringen anges att ingen personlig information säljs eller delas med tredje part, och all information som delas med partners lämnas till konsumenten för uttryckligt samtycke. Därför finns det vissa inkonsekvenser vad gäller vad Karma säger det kan och kan inte göra med konsumentens personliga information.

FAKO-poäng

Credit Karma ger inte konsumenten sina faktiska FICO-kreditpoäng. Istället returnerar det ett FAKO-poäng, vilket är en beräknad kreditpoäng. Kredit Karma samlar in personlig information och använder den för att uppskatta en kreditpoäng genom att tillämpa algoritmer. Fastän bestämningen av ett FAKO-poäng inte nödvändigtvis speglar företagets säkerhet eller säkerhet, är det fråga om öppenhet, eftersom företaget inte tydligt anger att det inte ger riktiga FICO-kreditrapporter.

Bottom Line

Credit Karma är en autentisk organisation som tillhandahåller kostnadsberättigade kreditrapporter. Det har haft tidigare säkerhetsfrågor i samband med skydd av kundernas känsliga uppgifter. Dessutom finns det flera skillnader mellan text som publiceras på företagets hemsida och företagets användarvillkor. Av den anledningen bör konsumenterna närma sig när man överväger Credit Karmas tjänster.