Kredit Karma Inc. baru-baru ini mengumumkan basis konsumen lebih dari 50 juta pengguna. Layanannya digunakan sekitar satu dari lima penduduk Amerika Serikat, dan perusahaan tersebut telah menerbitkan lebih dari satu miliar laporan kredit gratis. Untuk menerima laporan kredit gratis ini, pengguna harus memasukkan informasi pribadi, termasuk nomor Jaminan Sosial. Karena mengumpulkan informasi pribadi untuk menentukan skor, Credit Karma harus menjaga kerahasiaan, kebijaksanaan dan keamanan sepenuhnya atas informasi sensitif pelanggannya.

Tindakan Keamanan

Credit Karma menggunakan enkripsi 128-bit untuk mengamankan data sensitif, dan akses ke informasi akun individual pada akhir perusahaan hanya bisa dibaca. Servernya secara fisik diamankan oleh petugas keamanan. Situsnya menggunakan jaringan aman, dan memelihara firewall dan tindakan pengamanan lainnya. Pengguna secara otomatis logout setelah lima menit tidak aktif, atau saat pengguna menutup situs web desktop. Pengguna perangkat seluler harus memasukkan kembali kode sandi setelah membuka kembali aplikasi. Akhirnya, pengguna baru harus benar menjawab beberapa pertanyaan keamanan terkait riwayat keuangannya sebelum membuka akun.

Kredit Karma tidak mengharuskan pengguna untuk memasukkan informasi pembayaran. Untuk alasan ini, tidak diperlukan untuk mengamankan atau memelihara database informasi kartu kredit terenkripsi. Perusahaan memiliki risiko terkena risiko yang terbatas dengan meminimalkan jumlah email yang dikirimnya. Juru bicara Karma Kina Christina Ra menyatakan bahwa ini adalah "praktik inti untuk email yang sangat jarang." Tindakan keamanan tambahan ini menguntungkan, karena pengguna cenderung tidak terjebak dalam penipuan phishing.

Pelanggaran Data

Pada tahun 2014, Credit Karma menyelesaikan tuntutan yang diajukan oleh Federal Trade Commission (FTC). FTC mengklaim bahwa Kredit Karma gagal mengamankan aplikasi mobile-nya dan membiarkan informasi konsumen sensitif tanpa jaminan mulai Juli 2012 sampai Januari 2013. Kredit Karma memanfaatkan outsourcing selama pengembangan aplikasi mobile-nya, dan pengembang internalnya tidak memperhatikan bahwa jalur khusus dari kode yang telah dinonaktifkan selama pengujian tetap ada pada produk akhir. Credit Karma hanya menemukan kegagalan keamanan setelah pengguna melihat kemampuan untuk masuk ke aplikasi dan menginformasikan perusahaan kerentanan serangan man-in-the-middle. Satu bulan setelah membahas masalah iOS, Credit Karma merilis versi Android dari aplikasi tersebut. Itu dikutip karena tidak melakukan tinjauan keamanan yang memadai atau menguji aplikasi untuk kerentanan yang telah diidentifikasi sebelumnya, karena aplikasi Android menggandakan kegagalan keamanan yang sama.

Posisi resmi organisasi mengenai klaim tersebut adalah karena tidak ada data sensitif yang hilang, masalahnya terbatas pada program mobile-nya dan masalah tersebut telah dipecahkan.Sebagai hasil dari penyelesaian tersebut, perusahaan tersebut membentuk serangkaian program keamanan dan akan menjalani penilaian keamanan independen dua tahunan. Penyelesaian ini juga memerlukan transparansi keamanan dengan melarangnya untuk salah mengartikan tingkat privasi produknya.

Kebijakan Privasi

Situs Per Credit Karma, semua informasi pribadi yang dikumpulkan tidak dijual ke pihak ketiga. Selain itu, tidak ada informasi nilai kredit yang dibagikan dengan pihak eksternal selain pengguna. Namun, penggunaan istilah Credit Karma bertentangan dengan beberapa informasi ini. Sebagai permulaan, Credit Karma berhak mengakses, menggunakan, melestarikan, mentransfer dan mengungkapkan informasi untuk memenuhi permintaan pemerintah dan menjunjung tinggi persyaratan penggunaannya. Selain itu, hak dilindungi untuk melindungi keselamatan, hak, properti, atau keamanan pihak ketiga manapun, serta mendeteksi, mencegah, atau mengatasi masalah kecurangan, keamanan atau teknis. Setiap akses, penggunaan atau pengalihan informasi pribadi dapat dilakukan tanpa pemberitahuan kepada pengguna Karma Kredit.

Bahkan dengan reservasi keterbukaan informasi potensial yang dipegang oleh perusahaan, kebijakan pribadi Karma oleh Credit Certified oleh TRUSTe. Standar sertifikasi TRUSTe menganalisa fitur online perusahaan, praktik pengelolaan data dan kerangka peraturan yang berlaku dalam menetapkan standar privasi yang melindungi konsumen. Sertifikasi menyatakan bahwa tidak ada informasi pribadi yang dijual atau dibagi dengan pihak ketiga, dan informasi apa pun yang dibagikan kepada mitra diajukan ke konsumen untuk mendapatkan persetujuan eksplisit. Oleh karena itu, ada beberapa ketidakkonsistenan mengenai apa yang Karma Klaim dapat dan tidak dapat dilakukan dengan informasi pribadi konsumen.

Skor FAKO

Kredit Karma tidak memberikan konsumen dengan nilai kredit FICO yang sebenarnya. Sebaliknya, ia mengembalikan skor FAKO, yang merupakan perkiraan nilai kredit. Credit Karma mengumpulkan informasi pribadi dan menggunakannya untuk memperkirakan nilai kredit dengan menerapkan algoritma. Sementara penentuan skor FAKO tidak mencerminkan keamanan atau keamanan perusahaan, namun hal itu menimbulkan masalah transparansi, karena perusahaan tersebut tidak secara jelas menyatakan bahwa hal itu tidak memberikan laporan kredit FICO yang benar.

The Bottom Line

Credit Karma adalah organisasi otentik yang menyediakan laporan kredit taksiran gratis. Ini memiliki masalah keamanan sebelumnya yang berkaitan dengan perlindungan informasi sensitif pelanggan. Selain itu, ada beberapa perbedaan antara teks yang dipublikasikan di situs web perusahaan dan persyaratan penggunaan perusahaan. Untuk alasan ini, konsumen harus mendekati dengan hati-hati saat mempertimbangkan layanan Credit Karma.