Zoom moet zijn best gaan doen om zijn platform beter te beveiligen, vooral op het gebied van privacy. Dit stelt de Amerikaanse toezichthouder Federal Trade Commission (FTC) in een schikkingsvoorstel.
In het schikkingsvoorstel met Zoom geeft de Amerikaanse consumentenwaakhond aan dat Zoom een stevig pakket aan beveiligingsmaatregelen moet implementeren om de veiligheid van zijn eindgebruikers te verbeteren. Zoom werd er namelijk van beschuldigd dat het een aantal misleidende en oneerlijke praktijken erop nahield die de veiligheid van zijn eindgebruikers ondermijnden.
Fouten in security
Zo bleef het bedrijf beschikken over de encryptiesleutels waarmee het toegang kon krijgen tot vergaderingen op het platform. Daarnaast gaf Zoom vergaderingen een lagere versleuteling dan het klanten beloofde. Ook werden opgeslagen meetings niet meteen versleuteld, maar pas na 60 dagen. Pas daarna werden ze naar een versleutelde storagelaag overgebracht. Verder installeerde Zoom zonder medeweten van gebruikers software die de beveiliging van Apple Safari omzeilde.
Opgelegde maatregelen
In overleg met de toezichthouder heeft de videoconferencing- en collaborationplatformspecialist beloofd om een belangrijk securityprogramma te implementeren om de privacy en veiligheid van zijn eindgebruikers te garanderen.
Zoom moet nu onder meer jaarlijks zijn dienst aan een securityriskonderzoek onderwerpen en de resultaten hiervan uitgebreid documenteren. Ook moet de specialist een vulnerability-programma opzetten, multi-factor authenticatie implementeren en iedere software-update op kwetsbaarheden checken en dat de updates de securitytoepassingen van derde partijen niet hinderen.
Daarnaast komen er eisen voor hoe Zoom persoonlijke data verzamelt, gebruikt, bewaart en naar buiten brengt. Ook mag Zoom geen verkeerde informatie meer geven over hoe eindgebruikers hun persoonlijke gegevens kunnen beheren op het gebied van privacy en security.
Review
Tot slot moet Zoom tweejaarlijks zijn securitymaatregelen laten onderzoeken door een onafhankelijke derde partij. Deze partij moet door de FTC worden goedgekeurd en moet aan de FTC rapporteren in het geval van gevonden datalekken.
Mocht het Zoom bij deze maatregelen in gebreke blijven, dan zijn boetes tot wellicht 43.280 dollar per overtreding van de schikking mogelijk.