Neue “digitale Vertrauensbörse” beseitigt Risiken bei der Verwaltung von PII von Stellenbewerbern

Cyber Security News

Menschen besuchen eine JobNewsUSA-Jobmesse im BB&T Center in Sunrise, Florida. Bewerberdaten enthalten in der Regel sensible persönliche Informationen, oder PII, insbesondere wenn die Daten gesammelt werden, um finanzielle, kriminelle und sicherheitsrelevante Hintergrundüberprüfungen von Personen durchzuführen. (Joe Raedle/Getty Images)

Ganz zu schweigen davon, eingestellt zu werden. Allein die Bewerbung um eine Stelle bei einem Unternehmen könnte Einzelpersonen einer Gefährdung aussetzen, wenn der potenzielle Arbeitgeber kompromittiert wird.

Bedenken Sie, dass im November 2020 die Daten von etwa 58.000 Bewerbern bei einem Sicherheitsverstoß beim Videospielentwickler Capcom aufgedeckt worden sein könnten. Im Jahr zuvor wurden bei einem anderen Datensicherheitsvorfall Informationen von etwa 20.000 Bewerbern des Los Angeles Police Department offengelegt.

Bewerberdaten enthalten in der Regel sensible personenbezogene Daten (PII), insbesondere dann, wenn die Daten gesammelt werden, um finanzielle, kriminelle und sicherheitsrelevante Hintergrundüberprüfungen von Personen durchzuführen. Dies legt die Last der verantwortungsvollen Datenverwaltung auf die beschäftigenden Organisationen, obwohl diese es in Wirklichkeit vorziehen würden, diese Last woanders hin zu verlagern.

Raj Ananthanpillai, CEO von Endera, glaubt, mit Trua eine Lösung für dieses Problem geschaffen zu haben. Trua ist ein Netzwerk für den “digitalen Vertrauensaustausch”, das es Bewerbern ermöglicht, ihre eigenen Daten in ein Formular einzugeben, und dann Algorithmen und durchsuchbare öffentliche Aufzeichnungen verwendet, um die von ihnen angegebenen Informationen automatisch zu überprüfen.

Die Lösung formuliert einen unvoreingenommenen Vertrauens-Score für den Bewerber von null bis 360. Wenn Bewerber beispielsweise über ihren Bildungsweg lügen oder ihren Namen oder ihre Adresse falsch angeben, kennzeichnet Trua die Antwort als falsch und stuft die Punktzahl der Person entsprechend herab – aber ohne unnötigerweise die persönlichen Daten des Mitarbeiters zu teilen, die verschlüsselt und auf einer Blockchain gespeichert bleiben. Die Arbeitgeber sehen nur die endgültige Punktzahl und die Kategorien, die als problematisch eingestuft wurden, ohne weitere Details.

Wenn eine Bewertungskategorie wie z. B. Vorstrafen markiert wird, werden die Bewerber benachrichtigt und können den Befund anfechten, und die Unternehmen können das Problem offline mit dem potenziellen Mitarbeiter abstimmen.

Von Anfang bis Ende bleiben die sensiblen Daten außerhalb der Hände des Arbeitgebers, so dass die Chance, dass ein Verstoß die PII der Bewerber offenlegen würde, ausgeschlossen ist. Schließlich ist es schon schlimm genug, wenn man wegen Verstößen gegen die gesetzlichen Bestimmungen bestraft wird, weil man seine eigenen Mitarbeiter entlarvt hat, ganz zu schweigen von Leuten, die man nicht für geeignet befunden hat, um sie einzustellen.

In ähnlicher Weise können Bank- und Finanzinstitute den Dienst als Teil ihres Prozesses zur Genehmigung von Kreditantragstellern einsetzen.

Als ehemaliger CEO des Cloud- und DevOps-IT-Dienstleistungsunternehmens InfoZen und Chief Strategy Officer des IT-Hardware-, Software- und Dienstleistungsunternehmens ePlus zielt Ananthanpillai stark auf die Gig-Economy ab und hilft Arbeitgebern, Kandidaten, die sich für befristete, freiberufliche oder vertragliche Jobs bewerben, verantwortungsvoll zu prüfen.

SC Media sprach mit Ananthanpillai darüber, warum die Gig-Economy einen sichereren Bewerberüberprüfungs- und Einstellungsprozess benötigt, insbesondere da wir einen wichtigen Wendepunkt im Kampf gegen COVID-19 erreichen.

Was war Ihre Inspiration für diese Idee?

Ananthanpillai: Dies ist mein viertes Unternehmen. Wenn Sie mich einen Serienunternehmer nennen wollen, nehme ich diesen Vorwurf hin. Aber ich baue Werte auf und finde heraus, wie man bestimmte einzigartige Probleme lösen kann.

Vor ein paar Jahren hatte Equifax eine sehr große Sicherheitslücke. Und es gab eine Menge Zeugenaussagen im Kongress und was nicht. Ich habe vergessen, wer, aber jemand fragte [Equifax]”Hey, warum braucht ihr Leute jedes Mal eine Sozialversicherungsnummer, wenn ihr etwas tut?” Und es dämmerte mir.

Heute, wenn Sie [applying for a loan or a job]sind, machen die Leute eine Kreditprüfung über Sie, und sie machen eine Hintergrundprüfung über Sie… Sie sammeln einen Haufen persönlicher Informationen von Ihnen, wie Name, Adresse, Geburtsdatum und Sozialversicherungsnummer, oder sogar Ihren Führerschein. Und was dann? Sie leiten diese Informationen an Dritte weiter, an einen Background Check Service oder an eine Kreditauskunftei, und sagen: “Hey, gib mir alles über diese Person.”

Und dann ist die “Kommunikation” zwischen der zweiten Partei und der dritten Partei… Aber [the applicant is] weggelassen. Und dann liegt das alles… in der Datenbank der zweiten Partei oder in den Aktenschränken der Personalabteilung. Das ist also das größte Problem, mit dem die Leute heute konfrontiert sind: Sie bewahren PII auf und werden anfällig für massive Verstöße.

Zusätzlich… gibt es wahrscheinlich 3.000 Seiten an Vorschriften darüber, was die zweite Partei (der Arbeitgeber) und die dritte Partei (die Kreditauskunftei oder der Hintergrundprüfungsdienst) tun können und was nicht [with the data]… Es ist ein regulatorisches Chaos und ein großes Haftungsrisiko für den Arbeitgeber oder die Institution, die Ihre Informationen angefordert hat.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/03/Raj-Ananthanpillai-300x300.jpg]Raj Ananthanpillai, CEO von Endera

Also bauten wir diese Plattform, die Trua-Plattform, auf der wir sagten: “Sie als Benutzer… Sie müssen hierher kommen, sich anmelden und Ihren eigenen Bericht zusammenstellen… und dann wird der Score übertragen, aber ohne die zugrunde liegenden Informationen.

Was müssen Unternehmen über Bewerber wissen, und was müssen sie nicht wissen, was manchmal unnötig gesammelt wird?

Sie wollen sicherstellen, dass es keine Vorstrafen gibt, keine zivilrechtlichen Probleme. Irgendwelche Sanktionen, Überwachungslisten und so weiter… Ich muss den zugrundeliegenden Bericht und die Daten, die mit dem Hintergrundprüfungsbericht kommen, nicht kennen… Sagen wir, diese Person ist geschieden und hat drei Kinder, er hat 2018 ein Auto gekauft, und er hat eine Hypothekenzahlung oder einen Leasingvertrag. All diese Dinge sind für die meisten dieser Jobs absolut nicht notwendig. Besonders in der Gig-Economy.

Warum ist dies die richtige Zeit für dieses Produkt?

Es gibt jetzt 60 Millionen Menschen, die in der Gig-Economy arbeiten… und das steigt von Tag zu Tag. Das ist ein großer Teil der Bevölkerung, der freiberuflich oder gig arbeitet, und sie wechseln von Job zu Job, also gibt es eine Menge Fluktuation… Und jedes Mal, wenn sie zu einem anderen Arbeitgeber gehen oder für einen Auftrag arbeiten, müssen sie alle ihre Informationen erneut angeben. Es breitet sich einfach aus.

Es dauert zwischen 20 und 30 Tagen, bis man einen Background-Check bekommt… Und jetzt, in der Welt nach der Pandemie, werden die Einstellungen zunehmen und die Leute werden es eilig haben, die richtigen Leute einzustellen, und der beste Weg, um sicherzustellen, dass sie die richtigen Leute ohne Probleme einstellen, ist zu sagen: “Ich brauche eine Person mit einem High-School-Abschluss und fünf Jahren Erfahrung… Holen Sie sich Ihren Trua-Score. Kommen Sie rein, dann führen wir ein Vorstellungsgespräch mit Ihnen und bieten Ihnen die Stelle sofort an.”

Wenn Sie ein Unternehmen sind, muss ich nur wissen: “Sind Sie qualifiziert, für uns zu arbeiten. Der Arbeitgeber muss also keine PII besitzen. Alles, was sie vielleicht brauchen, ist die Sozialversicherungsnummer für Ihre Gehaltsabrechnung.

Führen Sie mich durch den Verifizierungsprozess.

Die Person geht auf truascore.com und… es dauert etwa 15 bis 20 Minuten… Zuerst verifizieren wir Ihre Identität, indem wir Ihren Führerschein scannen. Wir haben eine High-Fidelity-Gesichtserkennungstechnologie darin integriert. Und dann verifizieren wir Ihre Sozialversicherungsnummer und… Ihre Adresse. [You don’t have to ever give your date of birth or full SSN.] Wir überprüfen auch Ihre Adresshistorie – mindestens 10 Jahre der Adresshistorie, manchmal mehr als das. Und alle Pseudonyme, die Sie benutzt haben.

Beim Verifizierungsprozess geht es darum, die richtigen Daten zu bekommen… und wir haben mindestens zwei Datenquellen, um sicherzustellen, dass die Daten bestätigt werden… Ein Benutzer könnte potenziell bis zu 8,2 Millionen verschiedene Arten von Scores haben, basierend auf einer Variablenänderung.

Wir holen uns alle Gerichtsakten für diese Person. Wir haben diesen Algorithmus direkt in das Backend eingebaut, wo wir buchstäblich das gesamte Strafrechtssystem kodifiziert haben. Es berücksichtigt also die Aktualität und die Zeit und die Schwere des Vorstrafenregisters oder des Zivilproblems.

Bevor Sie zu den Gerichtsakten kommen, fragen wir Sie auch nach Ihren Zeugnissen, ob Sie eine Ausbildung haben. Wenn Sie keine Ausbildung haben, ist das in Ordnung, sie werden das nicht bestrafen. [But] Wenn Sie darüber lügen – sagen wir, jemand sagt: “Ich war in Harvard, ich habe einen Bachelor-Abschluss, aber es war irgendeine andere Schule -, dann werden Sie bestraft. Und dann, wenn Sie irgendwelche beruflichen Lizenzen haben… Sie können das auch überprüfen.

Aber der Arbeitgeber erhebt nie irgendwelche Daten dazu, richtig? Es geht also darum, das Risiko einer Datenverletzung zu eliminieren, die aus dieser Datensammlung resultiert.

Sie haben den Nagel auf den Kopf getroffen. Das ist das größte Problem, mit dem Arbeitgeber konfrontiert sind, denn sie machen es nicht selbst, sondern über einen Dritten, und man weiß nicht, ob dieser Dritte die Daten verlieren wird… Außerdem werden viele persönliche Informationen abgegriffen, die für den Job nicht relevant sind.

Wir versuchen, einen gesellschaftlichen Wandel herbeizuführen, bei dem wir dem Einzelnen die Verantwortung für seine eigenen PII und Daten übertragen.

Alle zugrundeliegenden PI sind für niemanden sichtbar, außer für das Individuum. Selbst wir können sie nicht sehen, es sei denn, sie geben uns die Erlaubnis. Weil es verschlüsselt ist … und dann ist es immer mit Multi-Faktor-Authentifizierung authentifiziert.

Sobald Sie den Spielstand erhalten, werden alle zugrunde liegenden Daten verschlüsselt und gesperrt. [Let’s say] Ich arbeite für Uber, und Uber hat mich nach meinem Score gefragt. Also werde ich meinen Punktestand an Uber weitergeben, weil ich für eine Weile mit Uber arbeiten werde. Uber hat nur Zugriff auf den Punktestand – nicht mehr als den Punktestand, also haben sie keine Ahnung von irgendetwas, das dahinter steckt.

Als wir kurz ein Treffen mit einigen der Regulierungsbehörden hatten, war das Musik in ihren Ohren: “Wow, Sie stellen den Verbraucher, das Individuum in den Mittelpunkt. Auf diese Weise bekommen sie die Kontrolle [the data] und dann können sie es mit absoluter Zustimmung teilen.”

Das Recht auf Vergessenwerden, GDPR, die California [Privacy] Gesetz – das alles sind Katalysatoren für uns.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com