Credit Karma Inc. baru-baru ini mengumumkan pangkalan pengguna lebih daripada 50 juta pengguna. Perkhidmatannya digunakan oleh kira-kira satu dalam setiap lima penduduk di Amerika Syarikat, dan syarikat itu telah mengeluarkan lebih dari satu bilion laporan kredit percuma. Untuk menerima laporan kredit percuma ini, pengguna mesti memasukkan maklumat peribadi, termasuk nombor Keselamatan Sosial. Kerana ia mengumpul maklumat peribadi untuk menentukan skor, Credit Karma harus mengekalkan privasi, budi bicara dan langkah-langkah keselamatan sepenuhnya atas maklumat sensitif pelanggan.

Langkah Keselamatan

Kredit Karma menggunakan penyulitan 128-bit untuk mendapatkan data sensitif, dan akses kepada maklumat akaun individu di hujung syarikat hanya baca-baca. Pelayannya dijamin secara fizikal oleh kakitangan keselamatan. Laman webnya menggunakan rangkaian yang selamat, dan ia mengekalkan firewall dan langkah-langkah keselamatan pencegahan yang lain. Pengguna secara automatik dilog keluar selepas lima minit tidak aktif, atau apabila pengguna menutup laman web desktop. Pengguna peranti mudah alih mesti memasukkan semula kod laluan selepas pembukaan semula aplikasi. Akhir sekali, pengguna baru mesti menjawab dengan betul banyak soalan keselamatan mengenai sejarah kewangannya sebelum membuka akaun.

Kredit Karma tidak memerlukan pengguna memasukkan maklumat pembayaran. Atas sebab ini, tidak diperlukan untuk mengamankan atau mengekalkan pangkalan data maklumat kad kredit yang disulitkan. Syarikat ini mempunyai pendedahan pengguna terhad kepada risiko dengan meminimumkan bilangan e-mel yang dihantar. Jurucakap kredit Karma Christina Ra menyatakan bahawa ia adalah "amalan teras kepada sangat, sangat jarang e-mel." Langkah keselamatan tambahan ini adalah baik, kerana pengguna kurang mungkin ditangkap dalam penipuan phishing.

Pelanggaran Data

Pada tahun 2014, Credit Karma menyelesaikan tuduhan yang dibawa oleh Suruhanjaya Perdagangan Persekutuan (FTC). FTC mendakwa bahawa Kredit Karma gagal mengamankan aplikasi mudah alihnya dan membiarkan maklumat pengguna sensitif yang tidak terjamin dari Julai 2012 hingga Januari 2013. Kredit Karma menggunakan penyumberan luar semasa pembangunan aplikasi mudah alihnya, dan pemaju dalamannya gagal melihat garis tertentu kod yang telah dilumpuhkan semasa ujian kekal dalam produk akhir. Kredit Karma hanya menemui kegagalan keselamatan selepas pengguna menyedari keupayaan untuk memecah masuk ke aplikasi itu dan memaklumkan kepada syarikat tentang kerentanan serangan orang tengah. Sebulan selepas menangani isu iOS, Credit Karma mengeluarkan versi aplikasi Android. Ia digelar kerana tidak melakukan pemeriksaan keselamatan yang secukupnya atau menguji permohonan untuk kelemahan terdahulu yang diketahui, kerana aplikasi Android menduplikasi kegagalan keselamatan yang sama.

Kedudukan rasmi organisasi mengenai tuntutan itu adalah bahawa tidak ada kehilangan data sensitif dilaporkan, masalahnya terhad kepada program mudah alihnya dan masalah itu telah diselesaikan.Hasil daripada penyelesaian, syarikat itu menubuhkan satu siri program keselamatan dan akan menjalani penilaian keselamatan bebas dwitahunan. Penyelesaian ini juga memerlukan ketelusan keselamatan dengan melarangnya daripada salah menafsirkan tahap privasi dalam produknya.

Dasar Privasi

Per laman web Per Kredit Karma, semua maklumat peribadi yang dikumpulkan tidak dijual kepada pihak ketiga. Di samping itu, tiada maklumat skor kredit dikongsi dengan mana-mana pihak luar selain dari pengguna. Bagaimanapun, penggunaan istilah Credit Karma bertentangan dengan beberapa maklumat ini. Sebagai permulaan, Credit Karma berhak untuk mengakses, menggunakan, memelihara, memindahkan dan mendedahkan maklumat untuk memenuhi permintaan kerajaan dan menegakkan syarat penggunaannya. Di samping itu, hak-hak terpelihara untuk melindungi keselamatan, hak, harta atau keselamatan mana-mana pihak ketiga, serta mengesan, mencegah, atau menangani isu penipuan, keselamatan atau teknikal. Sebarang akses, penggunaan atau pemindahan maklumat peribadi boleh dilakukan tanpa memberi notis kepada pengguna Kredit Karma.

Walaupun dengan ketetapan pendedahan maklumat yang berpotensi disimpan oleh syarikat, dasar peribadi Credit Karma disahkan oleh TRUSTe. Piawaian pensijilan TRUSTe menganalisis ciri dalam talian syarikat, amalan pengurusan data dan rangka kerja pengawalseliaan yang berkaitan dalam mewujudkan piawaian privasi yang melindungi pengguna. Pensijilan menyatakan bahawa tiada maklumat peribadi dijual atau dikongsi dengan pihak ketiga, dan apa-apa maklumat yang dikongsi dengan rakan kongsi dikemukakan kepada pengguna untuk mendapatkan persetujuan yang jelas. Oleh itu, terdapat beberapa ketidakkonsistenan mengenai apa yang dikatakan Credit Karma yang boleh dan tidak boleh dilakukan dengan maklumat peribadi pengguna.

Skor FAKO

Kredit Karma tidak menyediakan pengguna dengan skor kredit FICO sebenarnya. Sebaliknya, ia mengembalikan skor FAKO, yang merupakan skor kredit dianggarkan. Kredit Karma mengumpul maklumat peribadi dan menggunakannya untuk menganggarkan skor kredit dengan menggunakan algoritma. Walaupun penentuan skor FAKO tidak semestinya mencerminkan keselamatan atau keselamatan syarikat, ia menimbulkan persoalan ketelusan, kerana syarikat itu tidak menyatakan dengan jelas bahawa ia tidak memberikan laporan kredit FICO yang benar.

The Bottom Line

Credit Karma adalah sebuah organisasi yang otentik yang menyediakan laporan kredit anggaran percuma. Ia mempunyai isu keselamatan yang berkaitan dengan perlindungan maklumat sensitif pelanggan. Di samping itu, terdapat pelbagai percanggahan antara teks yang diterbitkan di laman web syarikat dan syarat penggunaan syarikat. Atas sebab ini, pengguna perlu berhati-hati apabila mempertimbangkan perkhidmatan Kredit Karma.