Aviso de violación de la seguridad de los datos


Para <<Individual Name>>:

Le escribimos porque hemos determinado que un incidente de seguridad de datos puede haber dado lugar a un acceso limitado no autorizado o a la divulgación de cierta información de identificación suya bajo nuestro cuidado administrada por uno de nuestros proveedores. No tenemos conocimiento de ningún uso indebido real o intento de uso indebido de la información a causa de este incidente hasta la fecha. HealthEquity, Inc. (HealthEquity) es el custodio de las cuentas de ahorro para gastos de atención médica (health savings account, HSA) y un administrador externo dirigido de los planes de cuentas de gastos flexibles (flexible spending account, FSA) o cuentas de reembolso de gastos médicos (health reimbursement account, HRA) asociados con <<Covered Entity Name>>, para la cual es posible que usted trabaje o haya trabajado en el pasado. El incidente de seguridad de datos dio lugar a un acceso o a una divulgación no autorizada de la información de algunas personas, incluida la suya.


¿Qué sucedió?


Después de recibir una alerta, el 25 de marzo de 2024, HealthEquity se enteró de una anomalía en los sistemas que requirió una investigación técnica extensa y, en última instancia, dio lugar a análisis forense de datos hasta el 10 de junio de 2024. A través de este trabajo, descubrimos un acceso no autorizado y una posible divulgación de la información médica protegida y/o la información de identificación personal almacenada en un depósito de datos no estructurado fuera de nuestros sistemas centrales. El 26 de junio de 2024, después de haber validado los datos, lamentablemente determinamos que parte de su información personal estuvo involucrada.


¿Qué información puede haber estado involucrada?


Los datos afectados consistieron principalmente en información de inscripción para algunas cuentas y beneficios que administramos. Los datos pueden incluir información en una o más de las siguientes categorías: nombre, apellido, dirección, número de teléfono, identificación de empleado, empleador, número de Seguro Social, número de la tarjeta de salud, número de miembro del plan de salud, información de dependientes (solo información de contacto general), tipo de servicio, diagnósticos, detalles de recetas e información de la tarjeta de pago (pero no el número de la tarjeta de pago ni la información de la tarjeta de débito de HealthEquity). No todas las categorías de datos se vieron afectadas para cada persona.


Lo que estamos haciendo


Tras detectar la actividad no autorizada, inmediatamente iniciamos una investigación y contratamos a expertos externos para determinar la naturaleza y el alcance del incidente. Durante nuestra investigación, determinamos que las cuentas de usuario de un proveedor, que tenían acceso a una ubicación de almacenamiento de datos en línea, se vieron comprometidas y que, debido a esto, una parte no autorizada pudo acceder a una cantidad limitada de datos almacenados en una ubicación de almacenamiento fuera de nuestros sistemas centrales. Como resultado de nuestra investigación, tomamos medidas inmediatas, como desactivar todas las cuentas de proveedores potencialmente comprometidas y finalizar todas las sesiones activas; bloquear todas las direcciones IP asociadas con la actividad del agente de riesgo; e implementar un restablecimiento global de contraseñas para el proveedor afectado. Además, mejoramos nuestros esfuerzos de seguridad y monitoreo, nuestros controles internos y nuestras posturas de seguridad.


Lo que usted puede hacer


Debido al impacto que esto podría tener en usted y sus dependientes, HealthEquity ha coordinado servicios de monitoreo de identidad de crédito, seguro y restauración durante un período de dos años, sin cargo, a través de Equifax. Use su código de activación único <Activation Code> para inscribirse en línea en http://www.equifax.com/activate. Tiene hasta el 31 de diciembre de 2024 para activar estos servicios.

La Guía de referencia incluye información sobre los pasos generales que puede tomar para monitorear y proteger su información personal. Le recomendamos que revise cuidadosamente sus estados financieros, sus informes de crédito y otras cuentas para asegurarse de que toda la actividad sea válida.


Para obtener más información


Si tiene alguna pregunta o desea obtener información adicional, consulte la Guía de referencia adjunta o llame sin cargo al 888-244-3079. El horario de atención del centro de servicios es de lunes a viernes, de 9:00 a. m. a 9:00 p. m., hora del este, excepto algunos feriados de los EE. UU.

Lamentamos sinceramente que este incidente haya ocurrido. HealthEquity toma en serio la seguridad de la información personal, y continuaremos trabajando diligentemente para proteger la información que se nos confía.

Atentamente,


[Signatory]

[Title]


Guía de referencia Revise sus estados de cuenta


Revise cuidadosamente los estados de cuenta enviados por HealthEquity para asegurarse de que la actividad de su cuenta sea correcta. Informe cualquier cargo sospechoso de inmediato. 

Confirme su información personal y de contacto en el portal de HealthEquity

Inicie sesión en el portal de HealthEquity y confirme que su perfil personal y su información de contacto sean correctos.

Solicite un informe de crédito gratuito


Para solicitar su informe de crédito anual de forma gratuita, visite www.annualcreditreport.com, llame sin cargo al (877) 322-8228 o complete el Formulario de solicitud de informe de crédito anual en el sitio web de la Comisión Federal de Comercio (Federal Trade Commission, FTC) de los EE. UU. en www.ftc.gov y envíelo por correo a Annual Credit Report Request Service, P.O. Box 105281, Atlanta, GA 30348-5281. Las tres agencias de informes de crédito proporcionan informes de crédito anuales de forma gratuita solo a través del sitio web, la línea gratuita o el formulario de solicitud.

Al recibir su informe de crédito, revíselo cuidadosamente. Revise que no haya cuentas que no haya abierto. Revise en la sección “consultas” los nombres de los acreedores para detectar que no haya alguno a quien no le haya solicitado un crédito. Algunas compañías facturan con nombres que no son sus nombres comerciales o los nombres de sus tiendas; la agencia de informes de crédito podrá saber si este es el caso. Busque en la sección “información personal” cualquier imprecisión en la información (como la dirección particular y el número de Seguro Social).

Si ve algo que no comprende, llame a la agencia de informes de crédito al número de teléfono que figura en el informe. Los errores pueden ser una señal de advertencia de un posible robo de identidad. Debe notificar a las agencias de informes de crédito sobre cualquier imprecisión en su informe, ya sea debido a un error o fraude, lo antes posible para que la información pueda investigarse y, si se determina que es un error, corregirse. Si hay cuentas o cargos que no autorizó, notifique de inmediato a la agencia de informes de crédito correspondiente por teléfono y por escrito. La información que no pueda explicarse también debe informarse a la policía local o a la oficina del alguacil porque puede ser un indicio de actividad delictiva.




Comuníquese con la Comisión Federal de Comercio de los EE. UU.

Si detecta alguna transacción no autorizada en cualquiera de sus cuentas financieras, notifique de inmediato a la compañía de tarjetas de pago o institución financiera correspondiente. Si detecta algún incidente de robo de identidad o fraude, informe el asunto de inmediato a las autoridades policiales locales, al fiscal general estatal y a la FTC.

Puede comunicarse con la FTC para obtener más información sobre cómo protegerse para no convertirse en una víctima de robo de identidad utilizando la información de contacto que se indica a continuación:

Federal Trade Commission

Consumer Response Center

600 Pennsylvania Avenue, NW

Washington, DC 20580

1-877-IDTHEFT (438-4338)

www.ftc.gov/idtheft


Configure una alerta de fraude en su expediente crediticio

Para protegerse de un posible robo de identidad, considere configurar una alerta de fraude en su expediente crediticio. Una alerta de fraude protege contra la posibilidad de que un ladrón de identidad abra nuevas cuentas de crédito a su nombre. Cuando un otorgante de crédito verifica el historial de crédito de una persona que está solicitando un crédito, el otorgante de crédito recibe un aviso de que el solicitante puede ser una víctima de robo de identidad. La alerta notifica al otorgante del crédito que debe tomar medidas para verificar la identidad del solicitante. Puede aplicar una alerta de fraude en su informe de crédito llamando a cualquiera de los números gratuitos para casos de fraude que se proporcionan a continuación. Se comunicará con un sistema telefónico automatizado que le permitirá marcar su archivo con una alerta de fraude en las tres agencias de informes de crédito.


Equifax



Experian



TransUnion 

P.O. Box 105069

Atlanta, Georgia


P.O. Box 2002

Allen, Texas 75013


P.O. Box 2000

Chester, PA 19016


800-525-6285



888-397-3742



800-680- 7289

www.equifax.com



www.experian.com



www.transunion.com


Congelamientos de seguridad

Tiene derecho a solicitar un congelamiento de crédito a una agencia de informes del consumidor, sin cargo, para que no se pueda solicitar ningún crédito nuevo a su nombre sin el uso de un número PIN emitido al momento de iniciar el congelamiento. Un congelamiento de seguridad está diseñado para evitar que los posibles otorgantes de crédito accedan a su informe de crédito sin su consentimiento. Si aplica un congelamiento de seguridad, los posibles acreedores y otros terceros no podrán obtener acceso a su informe de crédito a menos que levante temporalmente el congelamiento. Por lo tanto, es posible que el uso de un congelamiento de seguridad retrase su capacidad de obtener un crédito.

A diferencia de una alerta de fraude, debe aplicar un congelamiento de seguridad por separado en el expediente crediticio de cada agencia de informes de crédito. Para aplicar un congelamiento de seguridad en su informe de crédito, debe comunicarse con la agencia de informes de crédito por teléfono, correo postal o medios electrónicos seguros y proporcionar una identificación adecuada de su identidad. La siguiente información debe incluirse al solicitar un congelamiento de seguridad (tenga en cuenta que, si solicita un informe de crédito para su cónyuge, su información también debe proporcionarse): (1) nombre completo, con la inicial del segundo nombre y cualquier sufijo; (2) número de Seguro Social; (3) fecha de nacimiento; (4) dirección actual y cualquier dirección anterior de los últimos cinco años; y (5) cualquier informe o queja de incidente aplicable ante una autoridad policial o el Registro de Vehículos Motorizados. La solicitud también debe incluir una copia de una tarjeta de identificación emitida por el gobierno y la copia de una factura de servicios públicos reciente o un estado de cuenta bancario o de seguro. Es esencial que cada copia sea legible, muestre su nombre y dirección postal actual, y la fecha de emisión.

A continuación, encontrará información de contacto relevante para las tres agencias de informes del consumidor:




Equifax



Experian



TransUnion 

P.O. Box 105069

Atlanta, Georgia


P.O. Box 2002

Allen, Texas 75013


P.O. Box 2000

Chester, PA 19016


800-525-6285



888-397-3742



800-680- 7289

www.equifax.com



www.experian.com



www.transunion.com


Una vez que haya enviado su solicitud, la agencia de informes de crédito debe aplicar el congelamiento de seguridad a más tardar 1 día hábil después de haber recibido una solicitud por teléfono o medios electrónicos seguros, y a más tardar 3 días hábiles después de haber recibido una solicitud por correo. A más tardar cinco días hábiles después de haber aplicado el congelamiento de seguridad, la agencia de informes de crédito le enviará la confirmación e información sobre cómo puede eliminar el congelamiento en el futuro.

Para residentes del Distrito de Columbia

Puede comunicarse con la Oficina del Fiscal General del Distrito de Columbia para obtener información sobre las medidas que debe tomar para evitar el robo de identidad:

D.C. Attorney General’s Office, Office of Consumer Protection, 400 6th Street, NW, Washington, DC 20001, 1-202-442-9828, www.oag.dc.gov.

Para residentes de Iowa

Puede comunicarse con las autoridades policiales o con la Oficina del Fiscal General de Iowa para denunciar presuntos incidentes de robo de identidad. Puede comunicarse con la Oficina del Fiscal General de Iowa en:

Iowa Attorney General’s Office, Director of Consumer Protection Division, 1305 E. Walnut Street, Des Moines, IA 50319, 1-515-281-5926, www.iowattorneygeneral.gov.

Para residentes de Maryland

También puede obtener información sobre cómo prevenir y evitar el robo de identidad en la Oficina del Fiscal General de Maryland:

Maryland Office of the Attorney General, Consumer Protection Division, 200 St. Paul Place, Baltimore, MD 21202, 1-888-743-0023, www.marylandattorneygeneral.gov.

Para residentes de New Mexico

Los consumidores de New Mexico tienen derecho a obtener un congelamiento de seguridad o presentar una declaración de eliminación.

Puede obtener un congelamiento de seguridad en su informe de crédito para proteger su privacidad y garantizar que no se otorgue crédito a su nombre sin su conocimiento. Puede presentar una declaración de eliminación para eliminar la información aplicada en su informe de crédito como resultado de ser víctima de robo de identidad. Usted tiene derecho a aplicar un congelamiento de seguridad en su informe de crédito o a presentar una declaración de eliminación de conformidad con la Ley de Seguridad de la Identidad e Informes de Crédito Justos.

El congelamiento de seguridad prohibirá que una agencia de informes del consumidor divulgue cualquier información en su informe de crédito sin su autorización o aprobación explícita.

El congelamiento de seguridad está diseñado para evitar que el crédito, los préstamos y los servicios se aprueben en su nombre sin su consentimiento. Cuando aplique un congelamiento de seguridad en su informe de crédito, se le proporcionará un número de identificación personal, una contraseña o un dispositivo similar para usar si decide eliminar el congelamiento en su informe de crédito o autorizar temporalmente la divulgación de su informe de crédito a una parte o partes específicas o durante un período específico después de que se implemente el congelamiento. Para eliminar el congelamiento o proporcionar autorización para la divulgación temporal de su informe de crédito, debe comunicarse con la agencia de informes del consumidor y proporcionar todo lo siguiente:

(1) el número único de identificación personal, la contraseña o el dispositivo similar proporcionado por la agencia de informes del consumidor;

(2) una identificación adecuada para verificar su identidad; y

(3) la información sobre el tercero o los terceros que recibirán el informe de crédito o el período durante el cual el informe de crédito puede divulgarse a los usuarios del informe de crédito.

Una agencia de informes del consumidor que recibe una solicitud de un consumidor para levantar temporalmente un congelamiento en un informe de crédito deberá cumplir con la solicitud a más tardar tres días hábiles después de haber recibido la solicitud. A partir del 1.º de septiembre de 2008, una agencia de informes del consumidor deberá cumplir con la solicitud dentro de los quince minutos de haberla recibido por un método electrónico seguro o por teléfono.

Un congelamiento de seguridad no se aplica en todas las circunstancias, como cuando usted tiene una relación de cuenta existente y su acreedor existente o sus agentes solicitan una copia de su informe de crédito para ciertos tipos de revisión de cuenta, cobro, control de fraude o actividades similares; para su uso en el establecimiento o ajuste de una tasa de seguro o reclamo o suscripción de seguro; para ciertos fines gubernamentales; y para fines de preselección según se define en la Ley Federal de Informes de Crédito Justos.

Si está buscando activamente una nueva cuenta de crédito, préstamo, servicio público, teléfono o seguro, debe comprender que los procedimientos involucrados en el levantamiento de un congelamiento de seguridad pueden retrasar sus propias solicitudes de crédito. Debe planificar con anticipación y levantar un congelamiento, ya sea completamente si va a salir de compras o específicamente para un determinado acreedor, con suficiente anticipación antes de solicitar un nuevo crédito para que el levantamiento entre en vigencia. Debe comunicarse con una agencia de informes del consumidor y solicitarle que levante el congelamiento al menos tres días hábiles antes de presentar la solicitud. A partir del 1.º de septiembre de 2008, si se comunica con una agencia de informes del consumidor mediante un método electrónico seguro o por teléfono, la agencia de informes del consumidor debe levantar el congelamiento en un plazo de quince minutos. Tiene derecho a iniciar una acción civil contra una agencia de informes del consumidor que viole sus derechos en virtud de la Ley de Seguridad de la Identidad e Informes de Crédito Justos.



Para residentes de New York

También puede obtener información sobre las respuestas a las violaciones de seguridad de datos y sobre la prevención y protección contra el robo de identidad de la Oficina del Fiscal General de New York:

Office of the Attorney General, The Capitol, Albany, NY 12224-0341, 1-800-771-7755, www.ag.ny.gov.

Para residentes de North Carolina

También puede obtener información sobre cómo prevenir y evitar el robo de identidad en la Oficina del Fiscal General de North Carolina:

North Carolina Attorney General’s Office, Consumer Protection Division, 9001 Mail Service Center, Raleigh, NC 27699-9001, 1-919-716-6000, www.ncdoj.gov.

Para residentes de Oregon

Las leyes estatales le aconsejan que informe cualquier sospecha de robo de identidad a las autoridades policiales, así como a la Comisión Federal de Comercio. La información de contacto del Departamento de Justicia de Oregon es la siguiente:

Oregon Department of Justice, 1162 Court Street NE, Salem, OR 97301, 1-877-877-9392, www.doj.state.or.us.

Para residentes de Rhode Island

Tiene derecho a presentar u obtener una denuncia policial relacionada con este incidente. También puede obtener información sobre cómo prevenir y evitar el robo de identidad en la Oficina del Fiscal General de Rhode Island:

Office of the Attorney General, 150 South Main Street, Providence, RI 02903, 1-401-274-4400, www.raig.ri.gov.