SEC谴责圣路易斯松懈的网络安全政策顾问公司

美国证券交易委员会说，似乎没有客户受到伤害。

证券交易委员会周二对总部位于圣路易斯的投资顾问进行了谴责并处以罚款，原因是该公司没有适当的网络安全政策和程序来阻止10万个人的个人身份信息（PII）的泄露，其中包括数千名该公司的客户。

R.T.不承认或否认SEC的调查结果。琼斯资本股票管理公司同意支付75,000美元的罚金，以了结违反联邦证券法要求RIA采用合理设计以保护客户记录和信息的书面政策和程序的指控。 

SEC调查发现R.T.琼斯资本股权管理公司在近四年的时间里没有采取任何书面政策和程序来确保PII的安全性和机密性，并防止其受到预期的威胁或未经授权的访问，因此违反了该“保障规则”。

R.T.的谴责和罚款琼斯资本 SEC发布几天后 9月15日 顾问和经纪交易商会就其网络安全准备情况回答一系列问题，因为该机构将很快开始进行第二轮与网络相关的考试。

OCIE发布了 风险提示 提供有关考试部门第二轮网络考试重点领域的更多信息，该机构表示，这将涉及“更多测试，以评估公司程序和控制措施的实施情况。”

SEC执法部门资产负责人Marshall Sprung表示：“由于我们看到越来越多的金融公司遭受网络攻击，因此即使在这种情况下，对客户没有明显的财务伤害，也必须执行保障规则，这一点很重要。”管理单位在一份声明中。 “公司必须采取书面政策来保护其客户的私人信息，并且他们需要预见潜在的网络安全事件并制定明确的程序，而不是等到发生违规事件时才作出反应。”

根据SEC反对R.T Jones提出的解决行政程序的命令，该公司于2009年9月至2013年7月在其第三方托管的Web服务器上存储了客户和其他人的敏感PII。

该服务器在2013年7月遭到一位未知黑客的攻击，该黑客获得了对该服务器上数据的访问和复制权限，从而使超过100,000个人（包括数千名R.T.琼斯的客户容易被盗。

该公司“完全失败”，没有采取合理设计以保护客户信息的书面政策和程序。 例如，SEC指出R.T.琼斯未能进行定期的风险评估，部署防火墙，对存储在其服务器上的PII进行加密或维护针对网络安全事件的响应计划。

在R.T.之后琼斯发现了该违规行为，该公司立即聘请了多家网络安全咨询公司来确认此次攻击，并将其追溯到中国，并确定了范围。

事件发生后不久，R.T。琼斯向可能会破坏其个人身份信息的每个人提供了违规通知，并通过第三方提供商提供了免费的身份盗窃监控。

迄今为止，美国证券交易委员会表示，该公司尚未收到任何迹象表明客户因网络攻击而遭受财务伤害。

SEC的命令找到了R.T.琼斯违反了1933年《证券法》第S-P条第30（a）条的规定。 

SEC的投资者教育与宣传办公室 星期二出版 新的《投资者警报》，“身份盗窃，数据泄露和您的投资账户”，如果投资者成为身份盗用或数据泄露的受害者，这将为投资者提供有关其投资帐户的步骤。  

- 查看 真正的网络安全风险来自何处 在ThinkAdvisor上。