Уведомление об утечке данных

<<Individual Name>>:

Мы обращаемся к вам в связи с тем, что, как мы выяснили, событие, связанное с безопасностью данных, могло привести к ограниченному несанкционированному доступу или раскрытию определенной идентифицирующей информации, находящейся в нашем распоряжении и управляемой одним из наших поставщиков. На сегодняшний день нам не известно о каких-либо фактах или попытках неправомерного использования информации в связи с этим инцидентом. Компания HealthEquity, Inc. (HealthEquity) является хранителем HSA (Health Savings Accounts [Медицинские накопительные счета]) и уполномоченным сторонним администратором планов FSA (Flexible Spending Account [Гибкий расходный счет])/HRA Health Reimbursement Arrangement [Соглашение о возмещении медицинских расходов]), связанных с <<Covered Entity Name>>, в которой вы, возможно, работаете или работали в прошлом. Инцидент, связанный с безопасностью данных, привел к несанкционированному доступу или раскрытию информации о некоторых лицах, включая вас.


Что произошло?


После получения оповещения 25 марта 2024 года компании HealthEquity стало известно о системной аномалии, потребовавшей обширного технического расследования и в конечном итоге приведшей к экспертизе данных, продолжавшейся до 10 июня 2024 года. В ходе этой работы мы обнаружили несколько попыток несанкционированного доступа к защищенной медицинской информации и/или персонально идентифицируемой информации, хранящейся в неструктурированном хранилище данных за пределами наших основных систем, а также потенциальное раскрытие этой информации. 26 июня 2024 года после проверки данных мы, к сожалению, обнаружили, что была затронута некоторая ваша персональная информация.


Какая информация могла быть затронута?


Затронутые данные в основном состояли из информации о регистрации счетов и льгот, которыми мы управляем. Данные могут включать информацию одной или нескольких следующих категорий: имя, фамилия, адрес, номер телефона, идентификатор сотрудника, работодатель, номер социального страхования, номер медицинской карты, номер участника плана медицинского страхования, информация об иждивенцах (только для общей контактной информации), тип услуг, диагнозы, данные о рецептах, информация о платежной карте (но не номер платежной карты или информация о дебетовой карте компании HealthEquity). Не все категории данных каждого человека были затронуты.


Чем мы занимаемся.


После обнаружения несанкционированных действий мы немедленно начали расследование и привлекли сторонних экспертов для определения характера и масштабов инцидента. В ходе расследования мы выяснили, что пользовательские счета одного из поставщиков, имевшие доступ к онлайн-хранилищу данных, были взломаны, и из-за этого неуполномоченное лицо смогло получить доступ к ограниченному объему данных, хранящихся в хранилище за пределами наших основных систем. В результате расследования мы приняли незамедлительные меры, включая отключение всех потенциально взломанных счетов поставщика и прекращение всех активных сессий; блокировку всех IP-адресов, связанных с деятельностью угрожающих субъектов; и глобальный сброс пароля для пострадавшего поставщика. Кроме того, мы активизировали усилия по обеспечению безопасности и мониторингу, усилили внутренний контроль и повысили уровень безопасности.


Что вы можете сделать.


Ввиду воздействия, которое это может оказать на вас и ваших иждивенцев, HealthEquity организовала бесплатные услуги по мониторингу кредитной истории, страхованию и восстановлению в течение двух лет через Equifax. Используйте свой уникальный код активации <Activation Code> чтобы зарегистрироваться онлайн http://www.equifax.com/activate. У вас есть время до 31 декабря 2024 г., чтобы активировать эту услугу.

В справочном руководстве содержится информация об общих мерах, которые вы можете предпринять для контроля и защиты своей персональной информации. Мы рекомендуем вам тщательно проверять финансовые ведомости, кредитные отчеты и другие документы, чтобы убедиться, что все действия по счету соответствуют действительности.


Получение дополнительной информации


При наличии вопросов или для получения дополнительной информации обратитесь к прилагаемому справочному руководству или позвоните по бесплатному телефону 888-244-3079. Этот центр обслуживания работает с 9:00 утра до 9:00 вечера по восточному времени с понедельника по пятницу, за исключением некоторых американских праздников.

Мы искренне сожалеем, что этот инцидент произошел. Компания HealthEquity серьезно относится к безопасности персональной информации, и мы будем продолжать усердно работать над защитой доверенной нам информации.

С уважением,


[Подписывающее лицо]

[Должность]

Справочное руководство Просмотрите ваши выписки по счету


Внимательно изучайте выписки, которые вам присылает компания HealthEquity, чтобы убедиться в том, что действия по вашему счету соответствуют действительности. Незамедлительно сообщайте о любых сомнительных расходах.  

Подтвердите персональную и контактную информацию на портале компании HealthEquity

Войдите на портал компании HealthEquity и подтвердите достоверность информации в вашем персональном профиле и вашей контактной информации.

Закажите бесплатный кредитный отчет


Для заказа бесплатного годового кредитного отчета посетите веб-сайт www.annualcreditreport.com, позвоните по бесплатному телефону (877) 322-8228 или заполните форму запроса годового кредитного отчета на веб-сайте Федеральной торговой комиссии США («ФТК») www.ftc.gov и отправьте ее по адресу: Annual Credit Report Request Service, P.O. Box 105281, Atlanta, GA 30348-5281. Три кредитных бюро предоставляют бесплатные годовые кредитные отчеты только через веб-сайт, по бесплатному телефонному номеру или через форму запроса.

Получив свой кредитный отчет, внимательно просмотрите его. Проверьте наличие счетов, которые вы не открывали. В разделе «Запросы» найдите имена кредиторов, у которых вы не запрашивали кредит. Некоторые компании выставляют счета не под своими торговыми или коммерческими названиями; кредитное бюро сможет определить, так ли это. Просмотрите раздел «Персональная информация» на предмет неточностей в информации (например, домашний адрес и номер социального страхования).

При обнаружении чего-либо непонятного позвоните в кредитное бюро по телефону, указанному в отчете. Ошибки могут быть предупреждающим признаком возможной кражи персональных данных. Вы должны как можно скорее уведомить кредитные бюро о любых неточностях в вашем отчете, будь то ошибка или мошенничество, чтобы информация могла быть расследована и исправлена, если выяснится, что она ошибочна. При наличии счетов или платежей, на которые вы не давали разрешения, немедленно сообщите об этом в соответствующее кредитное бюро по телефону и в письменном виде. Об информации, которую невозможно объяснить, также следует сообщить в местное отделение полиции или в офис шерифа, поскольку она может свидетельствовать о преступной деятельности.





Обратитесь в Федеральную торговую комиссию США

При обнаружении несанкционированных операций по любому из ваших финансовых счетов незамедлительно сообщите об этом в соответствующую компанию по обслуживанию платежных карт или финансовое учреждение. В случае обнаружения инцидентов, связанных с кражей персональных данных или мошенничеством, незамедлительно сообщите об этом в местные правоохранительные органы, генеральному прокурору штата и в ФТК.

Вы можете обратиться в ФТК для получения дополнительной информации о том, как защитить себя от кражи персональных данных, воспользовавшись приведенной ниже контактной информацией:

Federal Trade Commission

Consumer Response Center

600 Pennsylvania Avenue, NW

Washington, DC 20580

1-877-IDTHEFT (438-4338)

www.ftc.gov/idtheft



Разместите предупреждение о мошенничестве в вашем кредитном досье

Чтобы защититься от возможной кражи персональных данных, подумайте о размещении предупреждения о мошенничестве в вашем кредитном досье. Предупреждение о мошенничестве помогает защититься от возможности открытия лицом, укравшим персональные данные, новых кредитных счетов на ваше имя. Когда кредитор проверяет кредитную историю человека, обратившегося за кредитом, он получает уведомление о том, что заявитель может быть жертвой кражи персональных данных. Предупреждение уведомляет кредитора о необходимости принять меры по проверке личности заявителя. Вы можете разместить предупреждение о мошенничестве в своем кредитном отчете, позвонив по любому из бесплатных номеров, указанных ниже. Вы свяжетесь с автоматизированной телефонной системой, которая позволит отметить ваше досье предупреждением о мошенничестве во всех трех кредитных бюро.

Equifax



Experian



TransUnion 

P.O. Box 105069

Atlanta, Georgia


P.O. Box 2002

Allen, Texas 75013


P.O. Box 2000

Chester, PA 19016


800-525-6285



888-397-3742



800-680- 7289

www.equifax.com



www.experian.com



www.transunion.com


Замораживание кредита

Вы имеете право бесплатно запросить у агентства по отчетности потребителей замораживание кредита, чтобы на ваше имя не могли быть открыты новые кредиты без использования PIN-кода, который выдается вам при инициировании замораживания. Замораживание кредита призвано предотвратить доступ потенциальных кредиторов к вашему кредитному отчету без вашего согласия. При размещении информации о замораживании кредита потенциальные кредиторы и другие третьи лица не смогут получить доступ к вашему кредитному отчету, пока вы временно не отмените замораживание. Поэтому использование замораживания кредита может отсрочить вашу возможность получить кредит.

В отличие от предупреждения о мошенничестве вы должны отдельно разместить информацию о замораживании кредита в своем кредитном досье в каждом кредитном бюро. Для размещения информации о замораживании кредита в вашем кредитном отчете вы должны связаться с агентством по предоставлению кредитных отчетов по телефону, почте или с помощью защищенных электронных средств и предоставить надлежащие документы, удостоверяющие вашу личность. В запросе на замораживание кредита должна содержаться следующая информация (обратите внимание, что если вы запрашиваете кредитный отчет для своего (своей) супруга/супруги), то данная информация должна быть предоставлена и для него/для нее): (1) полное имя со средним инициалом и любыми суффиксами; (2) номер социального страхования; (3) дата рождения; (4) текущий адрес и все предыдущие адреса за последние пять лет; и (5) любой соответствующий отчет о происшествии или жалоба в правоохранительные органы или Регистр автотранспорта. К запросу также необходимо приложить копию удостоверения личности государственного образца и копию последнего счета за коммунальные услуги, выписку из банковского счета или страхового полиса. Важно, чтобы текст каждой копии был разборчивым, содержал ваше имя и текущий почтовый адрес, а также дату выдачи.

Ниже приведена контактная информация трех агентств по отчетности потребителей:


Equifax



Experian



TransUnion 

P.O. Box 105069

Atlanta, Georgia


P.O. Box 2002

Allen, Texas 75013


P.O. Box 2000

Chester, PA 19016


800-525-6285



888-397-3742



800-680- 7289

www.equifax.com



www.experian.com



www.transunion.com


После подачи вами запроса агентство по предоставлению кредитной отчетности должно будет разместить информацию о замораживании кредита не позднее чем через 1 рабочий день после получения запроса по телефону или защищенным электронным средствам связи и не позднее чем через 3 рабочих дня после получения запроса по почте. Не позднее чем через пять рабочих дней после размещения информации о замораживании кредита агентство по предоставлению кредитной отчетности вышлет вам подтверждение и информацию о том, как вы можете удалить информацию о замораживании кредита в будущем.

Для жителей округа Колумбия

Вы можете обратиться в офис генерального прокурора округа Колумбия, чтобы получить информацию о мерах, которые необходимо предпринять, чтобы избежать кражи персональных данных:

D.C. Attorney General’s Office, Office of Consumer Protection, 400 6th Street, NW, Washington, DC 20001, 1-202-442-9828, www.oag.dc.gov.



Для жителей штата Айова

Вы можете обратиться в правоохранительные органы или в офис генерального прокурора штата Айова, чтобы сообщить о предполагаемых инцидентах, связанных с кражей персональных данных. С офисом генерального прокурора штата Айова можно связаться по адресу:

Iowa Attorney General’s Office, Director of Consumer Protection Division, 1305 E. Walnut Street, Des Moines, IA 50319, 1-515-281-5926, www.iowattorneygeneral.gov.


Для жителей штата Мэриленд

Вы также можете получить информацию о том, как предотвратить и избежать кражи персональных данных, в офисе генерального прокурора штата Мэриленд:

Maryland Office of the Attorney General, Consumer Protection Division, 200 St. Paul Place, Baltimore, MD 21202, 1-888-743-0023, www.marylandattorneygeneral.gov.



Для жителей штата Нью-Мексико

Потребители в штате Нью-Мексико имеют право получить замораживание кредита или подать заявление об удалении.

Вы можете разместить информацию о замораживании кредита в своем кредитном отчете, чтобы защитить свою конфиденциальность и убедиться, что кредит не выдан на ваше имя без вашего ведома. Вы можете подать заявление об удалении, чтобы удалить информацию, размещенную в вашем кредитном отчете в результате того, что вы стали жертвой кражи персональных данных. Вы имеете право разместить информацию о замораживании кредита в вашем кредитном отчете или подать заявление об удалении в соответствии с Законом о справедливой кредитной отчетности и безопасности персональных данных.

Замораживание кредита запрещает агентству по отчетности потребителей раскрывать какую-либо информацию в вашем кредитном отчете без вашего прямого разрешения или одобрения.

Замораживание кредита предназначено для предотвращения одобрения кредитов, займов и услуг на ваше имя без вашего согласия. При размещении информации о замораживании кредита в вашем кредитном отчете вам будет предоставлен персональный идентификационный номер, пароль или аналогичное устройство, которое вы сможете использовать, если захотите удалить информацию о замораживании в вашем кредитном отчете или временно разрешить передачу вашего кредитного отчета определенному лицу или лицам или на определенный период времени после того, как замораживание будет введено в действие. Для удаления информации о замораживании или предоставления разрешения на временную передачу вашего кредитного отчета вы должны связаться с агентством по отчетности потребителей и предоставить всю следующую информацию:

(1) уникальный персональный идентификационный номер, пароль или аналогичное устройство, предоставленное агентством по отчетности потребителей;

(2) надлежащее удостоверение личности, подтверждающее вашу личность; и

(3) информацию о третьем лице или лицах, которые должны получить кредитный отчет, или о периоде времени, в течение которого кредитный отчет может быть предоставлен пользователям кредитного отчета.

Агентство по отчетности потребителей, получившее от потребителя запрос на временную отмену замораживания в кредитном отчете, должно выполнить его не позднее чем через три рабочих дня после получения запроса. Начиная с 1 сентября 2008 г., агентство по отчетности потребителей должно выполнить запрос в течение пятнадцати минут с момента получения запроса защищенным электронным способом или по телефону.

Замораживание кредита применяется не во всех случаях, например, когда у вас есть существующие отношения по счету и копия вашего кредитного отчета запрашивается вашим существующим кредитором или его агентами для определенных видов проверки счета, сбора платежей, борьбы с мошенничеством или аналогичной деятельности; для использования при установлении или корректировке страховой ставки или претензии или андеррайтинге страховки; для определенных государственных целей; и для целей предварительной проверки, как определено в федеральном Законе о справедливой кредитной отчетности.

Если вы активно ищете новый кредит, заем, счет на оплату коммунальных услуг, телефона или страховки, вы должны понимать, что процедуры, связанные с отменой замораживания кредита, могут замедлить рассмотрение ваших заявок на получение кредита. Вам следует заранее спланировать и отменить замораживание, – либо полностью, если вы совершаете покупки, либо специально для определенного кредитора, заблаговременно предупредив его о том, что вы подаете заявку на новый кредит, чтобы отмена вступила в силу. Вы должны связаться с агентством по отчетности потребителей и попросить его отменить замораживание не позднее чем за три рабочих дня до подачи заявки. Начиная с 1 сентября 2008 года, если вы обращаетесь в агентство по отчетности потребителей с помощью защищенного электронного способа или по телефону, агентство по отчетности потребителей должно отменить замораживание в течение пятнадцати минут. Вы имеете право подать гражданский иск против агентства по отчетности потребителей, которое нарушает ваши права в соответствии с Законом о справедливой кредитной отчетности и безопасности персональных данных.


Для жителей штата Нью-Йорк

Вы также можете получить информацию о мерах реагирования на нарушения безопасности и о предотвращении и защите от кражи персональных данных в офисе генерального прокурора штата Нью-Йорк:

Office of the Attorney General, The Capitol, Albany, NY 12224-0341, 1-800-771-7755, www.ag.ny.gov.



Для жителей штата Северная Каролина

Вы также можете получить информацию о том, как предотвратить и избежать кражи персональных данных, в офисе генерального прокурора штата Северная Каролина:

North Carolina Attorney General’s Office, Consumer Protection Division, 9001 Mail Service Center, Raleigh, NC 27699-9001, 1-919-716-6000, www.ncdoj.gov.


Для жителей штата Орегон

Законы штатов предписывают вам сообщать о предполагаемой краже персональных данных в правоохранительные органы, а также в Федеральную торговую комиссию. Контактная информация Департамента юстиции штата Орегон представлена ниже:

Oregon Department of Justice, 1162 Court Street NE, Salem, OR 97301, 1-877-877-9392, www.doj.state.or.us.


Для жителей штата Род-Айленд

Вы имеете право подать или получить полицейский отчет, связанный с этим инцидентом. Вы также можете получить информацию о том, как предотвратить и избежать кражи персональных данных, в офисе генерального прокурора штата Род-Айленд:

Office of the Attorney General, 150 South Main Street, Providence, RI 02903, 1-401-274-4400, www.raig.ri.gov.