Notificación de Incidente de Data de Avanti Markets

PREGUNTAS FRECUENTES (FAQ) SOBRE INCIDENTE DE DATA

Estimado Apreciado Cliente,

Avanti Markets profundamente valora las relaciones que tenemos con las personas que utilizan quioscos apoyados por Avanti Markets. Este aviso es para hacerles conscientes de un incidente que puede haber resultado en el acceso no autorizado o la adquisición de su información personal y/o datos de la tarjeta de pago y para brindarle información sobre los pasos que puede tomar para protegerse y minimizar la posibilidad de mal uso de su información. Le pedimos disculpa por cualquier inconveniente que esto pueda causarle y le aseguramos que estamos trabajando diligentemente para resolver este incidente y asegurarnos de que no vuelva a ocurrir.

¿QUÉ OCURRIÓ?

El 4 de julio de 2017 descubrimos un sofisticado ataque de malware que afectó a los quioscos en algunos Avanti Markets. Conforme a nuestra investigación hasta el momento, y aunque aún no hemos confirmado la causa principal de la intrusión, parece que los atacantes utilizaron el malware para obtener acceso no autorizado a la información personal de los clientes de algunos quioscos. Debido a que no todos nuestros quioscos están configurados o utilizados de la misma manera, la información personal en algunos quioscos puede haber sido adversamente afectada, mientras que otros quioscos quizás no se han visto afectados.

¿MI INFORMACIÓN FUE ACCEDIDA?

Actualmente estamos llevando a cabo una extensa investigación forense de tecnología informática (IT) para determinar el alcance del ataque, incluyendo qué quioscos se vieron afectados. Hemos determinado en este punto que el ataque no fue exitoso en todos los quioscos y muchos quioscos no se han visto adversamente afectados. Además, según nuestra investigación en este momento, parece que este malware sólo estaba activo a partir del 2 de julio de 2017. Por lo tanto, si no utilizó un quiosco entre el 2 de julio de 2017 y el 4 de julio de 2017, probablemente no fue afectado por este ataque.

¿QUÉ INFORMACIÓN FUE COMPROMETIDA?

Como saben, los quioscos no capturan ciertos elementos de data de clientes (tales como número de seguro social, fecha de nacimiento o número de identificación federal o estatal). Como consecuencia, estos elementos de información personal no fueron comprometidos.

Sin embargo, para los clientes que usaron una tarjeta de pago para completar una compra en un quiosco infectado, el malware puede haber comprometido el nombre y apellido del tarjetahabiente, el número de la tarjeta de crédito/débito y la fecha de expiración. Para ser precavidos, nuestro aviso original aconsejó a los clientes que usaron su Tarjeta de Mercado (Market Card) para hacer el pago que sus nombres y direcciones de correo electrónico pueden haber sido comprometidos, así como su información biométrica si utilizaban la funcionalidad de verificación biométrica del quiosco. Estamos felices de reportar que podemos confirmar que todos los lectores de huellas dactilares de quioscos suministrados por Avanti incluyen encriptación de extremo a extremo (end-to-end encryption) en dichos datos biométricos y, como tal, estos datos biométricos no estarían sujetos a este incidente ya que están cifrados.

¿LA DATA BIOMÉTRICA FUE COMPROMETIDA?

No. Para ser precavidos, nuestro aviso original aconsejó a los clientes que utilizaron su Tarjeta de Mercado (Market Card) y la funcionalidad de verificación biométrica del quiosco pudieron haber tenido sus datos biométricos comprometidos. Estamos felices de reportar que ahora podemos confirmar que todos los lectores de huellas dactilares de quioscos suministrados por Avanti incluyen encriptación de extremo a extremo (end-to-end encryption) en dichos datos biométricos y, como tal, estos datos biométricos no estarían sujetos a este incidente, ya que están cifrados.

¿QUÉ ESTAMOS HACIENDO?

Hemos estado trabajando sin parar para atender este incidente, incluyendo tomar los siguientes pasos.

  • Inmediatamente al descubrir que fuimos víctimas de un ataque de malware, iniciamos una investigación para determinar el alcance de este incidente e intentar identificar a los afectados.
  • Trabajamos con nuestro equipo interno de respuesta y tomamos medidas para asegurar nuestros sistemas de información, incluyendo el cambio de contraseñas y otras medidas relacionadas.
  • Contratamos una firma de investigación forense reconocida a nivel nacional y un asesor legal externo para ayudar.
  • Estamos notificando a la Oficina Federal de Investigación (FBI) y otras agencias de orden público.
  • Hemos cerrado el procesamiento de pagos en algunos lugares y estamos trabajando con nuestros operadores para eliminar cualquier malware del ataque de los sistemas impactados y tomar medidas para minimizar sustancialmente el riesgo de un compromiso a data en el futuro.
  • Estamos desarrollando un conjunto de preguntas frecuentes (FAQ) para ayudar a las personas afectadas a recopilar información adicional sobre el incidente y los pasos adicionales que pueden tomar para proteger su información personal e identidad. Planeamos actualizar estas preguntas frecuentes cuando descubramos más información sobre la naturaleza y alcance del ataque.
  • Hemos puesto a disposición servicios de monitoreo de crédito sin costo alguno para aquellas personas cuya información personal ha sido comprometida. Específicamente, nos hemos asociado con Equifax® para ofrecer su producto de protección contra robo de identidad de Credit WatchTM Silver durante un año sin costo alguno para usted. Si elige aprovechar este producto, el producto le notificará de cualquier cambio en su información de crédito, hasta $25,000 de cobertura de seguro de robo de identidad y acceso a su informe de crédito. Para inscribirse, primero debe llamar al 800-224-8040 para obtener un código de autorización y luego siga las instrucciones de inscripción que se encuentran aquí. Debe completar el proceso de inscripción antes del 8 de julio de 2018.
  • Estamos trabajando en la creación de un centro de llamadas que estará disponible para responder a las preguntas que pueda tener sobre el incidente.
  • Nosotros tratamos toda la información personal de manera confidencial y somos proactivos en el manejo cuidadoso de dicha información. Seguimos evaluando y modificando nuestras políticas y procedimientos de privacidad y seguridad de datos para evitar que ocurran situaciones similares. Por ejemplo, estamos en medio de implementar una solución de cifrado de extremo a extremo (end to end encryption) para todos nuestros quioscos, y estamos trabajando en acelerar esa implementación. El robo de datos e incidentes similares son difíciles de prevenir en todos los casos, sin embargo, estaremos revisando nuestros sistemas y haciendo mejoras donde podamos minimizar las posibilidades de que esto suceda nuevamente.

LO QUE USTED PUEDE HACER

Aunque haya utilizado su tarjeta de pago en un quiosco, no significa que se verá afectado por este incidente. Sin embargo, para ser precavidos, recomendamos que se manatenga vigilante y considere tomar uno o más de los siguientes pasos para evitar el robo de identidad, obtener información adicional y proteger su información personal:

  1. Comuníquese con las agencias nacionales de informes de crédito tan pronto posible para:

 

  • Alerta de Fraude: Añada una alerta de fraude a su archivo de crédito en las tres agencias nacionales de informes de crédito: Equifax, Experian y TransUnion. Esta declaración alerta a los acreedores de la posible actividad fraudulenta en su informe, así como solicita que se pongan en contacto con usted antes de establecer cualquier cuenta a su nombre. Una vez que la alerta de fraude se añade a su informe de crédito, todos los acreedores deben ponerse en contacto con usted antes de establecer cualquier cuenta a su nombre. Sólo tiene que ponerse en contacto con una de las tres agencias que se incluyen a continuación; su solicitud será compartida con las otras dos agencias. Para colocar una alerta de fraude de 90 días en su archivo de crédito, ingrese al Centro de Miembros de Equifax y haga clic en la pestaña de alertas de fraude, visite www.fraudalerts.equifax.com o llame a la línea de fraudes automática al 1-877-478-7625. Siga las instrucciones simples. Esta alerta de fraude permanecerá en su archivo de crédito durante 90 días.

 

  • Bloqueo de Seguridad (Security Freeze): Coloque un “bloqueo de seguridad” en su cuenta de crédito. Esto significa que su cuenta de crédito no puede ser compartida con posibles acreedores. Un bloqueo de seguridad puede ayudar a prevenir el robo de identidad de una nueva cuenta. Si desea solicitar un bloqueo de seguridad en su cuenta, debe escribir por correo certificado u overnight mail (vea las direcciones a continuación) a cada una de las tres agencias de informes de crédito, o a través del método electrónico o de Internet que las agencias han hecho disponibles. Las agencias de informe de crédito cobran una tarifa de $5 para colocar o eliminar una congelación de seguridad, a menos que brinde evidencia de que es víctima de robo de identidad, en cuyo caso no hay tarifa. Una copia de su querella de policía o un informe de investigación o una queja escrita de la FTC documentando el robo de identidad debe ser incluida para evitar la tarifa. En su solicitud, usted también debe incluir (la documentación tanto para el cónyuge como para la víctima debe ser presentada al solicitar el informe de crédito del cónyuge): (i) una copia de la querella de policía o del número de caso que documenta el robo de identidad, si usted es un víctima de robo de identidad; (ii) su nombre completo (incluyendo su inicial del segundo nombre, así como Jr., Sr., II, III, etc.), dirección, número de Seguro Social y fecha de nacimiento; (iii) si se ha mudado en los últimos 5 años, las direcciones donde ha vivido durante los últimos 5 años; (iv) evidencia de la dirección actual, como una factura de utilidades o factura telefónica; (v) una fotocopia de una tarjeta de identificación emitida por el gobierno (licencia estatal de conducir o tarjeta de identificación, identificación militar, etc.); y si es aplicable (vi) pago por cheque, giro postal o tarjeta de crédito (Visa, Master Card, American Express o Discover solamente).

 

Equifax

P.O. Box 740256

Atlanta, GA 30374

(800) 525-6285

www.equifax.com

Experian

P.O. Box 9554

Allen, TX  75013

(888) 397-3742

www.experian.com/consumer

TransUnion

P.O. Box 2000

Chester, PA  19022

(800) 888-4213

www.transunion.com

 

  • Informe de Crédito Gratis. Reciba una copia gratuita de su informe de crédito visitando com.

 

  • Vigile facturas, estados de cuenta y listas de correo. Si aún no lo está haciendo, preste atención a todas las facturas y cargos por tarjeta de crédito que reciba por artículos que no contrató ni compró. Revise todos sus estados de cuenta bancaria con frecuencia para cheques, compras o deducciones no hechas por usted. Tenga en cuenta que incluso si no encuentra actividad sospechosa inicialmente, debe seguir revisando esta información periódicamente, ya que los ladrones de identidad a veces aguanta la información personal robada antes de usarla. Elimine su nombre de las listas de correo de ofertas de crédito pre-aprobadas por aproximadamente seis meses.

 

  1. Comuníquese con la Comisión Federal de Comercio (FTC), visitando gov, www.consumer.gov/idtheft o llamando al (877) 438-4338. Si sospecha o sabe que es víctima de un robo de identidad, puede informar al Departamento de Fraude de la FTC, quien recopilará toda la información y la pondrá a disposición de las agencias policiales. La información de contacto para la FTC es:

 

Federal Trade Commission

Consumer Response Center

600 Pennsylvania Avenue

NW Washington, DC 20580

 

  1. Si cree que es víctima de un robo de identidad, debe reportarlo inmediatamente a la policía y/o el Procurador General (Attorney General) de su estado.

 

  1. Para residentes de Maryland: La información de contacto de la Oficina del Procurador General de Maryland es: Maryland Office of the Attorney General, 200 St. Paul Place, Baltimore, MD 21202; Teléfono: (888) 743-0023; sitio del web: http://www.oag.state.md.us.

 

  1. Para Residentes de North Carolina: La información de contacto de la Oficina del Procurador General de North Carolina es: North Carolina Office of the Attorney General, 9001 Mail Service Center, Raleigh, NC 27699; Teléfono: (919) 716-6400; com.

 

  1. Para residentes de Puerto Rico: El número total de individuos afectados es actualmente desconocido.

 

  1. Para los residentes de Rhode Island: La información de contacto para la Oficina del Procurador General de Rhode Island es: Rhode Island Office of Attorney General, 150 South Main Street, Providence, RI 02903; Teléfono: (401) 274-4400; Sitio web: http://www.riag.ri.gov. El número total de individuos afectados es actualmente desconocido.

 

  1. Información Adicional para Residentes de Nuevo México: Usted tiene derechos bajo la Ley Federal de Reporte de Crédito Justo (FCRA). Estos incluyen, entre otros, el derecho a saber lo que está en su archivo; disputar información incompleta o inexacta; y que las agencias de información de los consumidores corrijan o eliminen información inexacta, incompleta o no verificable. Para obtener más información sobre la FCRA, visite https://www.consumer.ftc.gov/articles/pdf-0096-free-credit-reporting-act.pdf o http://www.ftc.gov. Además, los consumidores de Nuevo México pueden obtener un bloqueo de seguridad en su informe de crédito para proteger su privacidad y garantizar que el crédito no se otorga a su nombre sin su conocimiento. Usted puede presentar una declaración de remoción para eliminar la información colocada en su informe de crédito como resultado de ser víctima de un robo de identidad. Usted tiene el derecho de colocar un bloqueo de seguridad en su informe de crédito o presentar una declaración de remoción de acuerdo con la Ley de Reporte de Crédito Justo y Seguridad de Identidad. Para obtener más información sobre los consumidores de Nuevo México que obtienen un bloque de seguridad, acceda a http://consumersunion.org/pdf/security/securityNM.pdf

PARA MAS INFORMACIÓN

Si tiene preguntas o inquietudes, puede ponerse en contacto con nosotros llamando al 800-224-8040 o enviando un correo electrónico a securityincidentinfo@AvantiMarkets.com. Nuevamente, le pedimos disculpas por esta situación y cualquier inconveniente que pueda causarle.

Atentamente,

John Reilly

Presidente

Avanti Markets

 

PREGUNTAS FRECUENTES (FAQ) SOBRE INCIDENTE DE DATA [INSERT HYPERLINK TO SPANISH FAQ]