El 6 de julio de 2022 se nos notificó que una parte no autorizada había accedido el 15 de junio de 2022 a datos de clientes almacenados por uno de nuestros subcontratistas. La información incluía nombres y direcciones de clientes, números de cuenta de Colorado Springs Utilities y, en la mayoría de los casos, números de teléfono y/o direcciones de correo electrónico.
No se comprometieron datos financieros sensibles, como números de la seguridad social, información de cuentas bancarias o números de tarjetas de crédito. A pesar de la naturaleza limitada de la información liberada, nos pareció importante notificar a los clientes afectados cuya información estaba en el archivo accedido. En los próximos días se enviará por correo una carta a los afectados.
¿Se considera esto una violación de datos?
Una violación de datos es la pérdida de información delicada, privada o confidencial y suele ser un suceso que requiere notificación de acuerdo con la ley. Debido a la limitada información a la que se accedió, esto no se define como una "violación de datos". Hemos optado por notificar proactivamente a los clientes la divulgación de información limitada en aras de la transparencia.
¿Cuántas cuentas había en el fichero al que se accedió?
Aproximadamente 200.000.
¿Qué ocurre si esta parte no autorizada me llama o me envía un correo electrónico?
No llamamos ni enviamos correos electrónicos a los clientes para pedirles información. Si recibe una comunicación de este tipo, no responda y llame a nuestro Centro de Atención al Cliente al (719) 448-4800.
También puede consultar otros consejos para evitar estafas y fraudes en esta página web.
¿Cómo saben que no se ha divulgado más información?
Hemos recibido el archivo al que se ha accedido y hemos podido revisar y evaluar todo su contenido. El subcontratista que sufrió el incidente no tuvo acceso a información financiera confidencial, como números de la seguridad social o de tarjetas de crédito.
¿Qué se puede hacer con la información a la que se accedió?
Hay poco que pueda hacerse con la información a la que se ha accedido por sí sola. La amenaza más probable vendría del actor no autorizado que intenta utilizar el correo electrónico o el número de teléfono para ponerse en contacto con los titulares de cuentas solicitando información sensible - haciéndose pasar por Colorado Springs Utilities, por ejemplo. Por eso recordamos a nuestros clientes que no llamamos pidiendo información como tarjetas de crédito, números de pago o de la seguridad social.
¿Qué sistemas se vieron afectados en este incidente?
Nuestros sistemas no se vieron afectados por este incidente. La revelación de información quedó aislada en el sistema de un subcontratista.
¿Qué ha hecho el proveedor para proteger mi información?
El subcontratista ya ha implantado mejoras en el sistema para proteger los datos que le confiamos. Han abordado los requisitos de la política para gestionar nuestros datos según lo acordado de forma segura.
¿Quién era el subcontratista?
Por motivos de seguridad, no facilitamos esta información.
¿Cómo se mantiene la seguridad de la información cuando se recurre a contratistas que disponen de nuestros datos?
Sólo proporcionamos el conjunto mínimo de información necesaria para que un contratista lleve a cabo las tareas que se le asignan y limitamos el uso de dicha información únicamente a las funciones permitidas en el contrato. Todos los contratos que incluyen la necesidad de que nuestra organización proporcione datos confidenciales a una parte externa deben incluir requisitos de seguridad específicos, como restricciones de uso, intensidad/uso del cifrado, restricciones de cuentas de usuario, requisitos de certificación de prácticas de seguridad por parte de terceros, requisitos de almacenamiento y destrucción de datos, etc.
¿Qué hace Colorado Springs Utilities para proteger mi información?
Contamos con una sólida política de ciberseguridad y mejores prácticas de seguridad para ayudar a prevenir la pérdida de datos y/o el acceso no autorizado. No divulgamos información sobre usted, excepto cuando sea necesario, para realizar nuestras operaciones comerciales de servicios públicos, a veces con la ayuda de proveedores o socios comerciales, o según lo permita la ley. Para obtener más información,puede consultar nuestra declaración de privacidad en nuestro sitio web.
