Showing posts with label CrowdStrike. Show all posts
Showing posts with label CrowdStrike. Show all posts

Thursday, February 13, 2025

global-candidate-privacy-notice.pdf

 https://www.crowdstrike.com/content/dam/crowdstrike/www/en-us/wp/2024/06/global-candidate-privacy-notice.pdf


Based on the provided "Global Candidate Privacy Notice," here are some potential red flags to consider:

  • Collection of Extensive Personal Information: CrowdStrike collects a wide range of personal information, including identification information, experience information, background check information, medical information, and information required to initiate employment. While this is common for hiring processes, the breadth of data collected may be concerning to some, especially the inclusion of potentially sensitive information like Social Security or national insurance numbers, and medical information.

  • Collection of Information from Multiple Sources: Personal information is not only collected directly from candidates but also from other sources such as recruiting agencies, educational institutions, background-checking agencies, assessment platforms, referees, and publicly available sources. This raises the possibility that information may be collected without the candidate's direct knowledge or control.

  • Background Checks: CrowdStrike conducts background checks, and in some cases, criminal record checks. This process is not always transparent. The document states that candidates will be notified if a criminal record check is carried out, but it doesn't clearly specify the extent of these checks or the countries or locations where these may be more extensive. It also states that employment may be conditional upon the results of this check.

  • Medical Information Collection: The notice mentions the collection of "medical information, such as health information, including disability status". This type of information is highly sensitive. It is collected to the extent permitted by law, but some may be concerned about the potential for misuse or discriminatory practices.

  • International Data Transfers: The document notes that personal data may be transferred outside the candidate's home jurisdiction, including to the United States. The notice states that data will only be transferred in accordance with applicable data protection laws and when there is adequate protection in place. However, the document also notes that other countries may have different data protection laws. This could raise concerns about the level of protection afforded to the data once it is transferred.

  • Data Retention: The document states that personal information will be retained for as long as needed to fulfill the purpose for which it was collected and for a reasonable period thereafter. The lack of a specific retention period may be a concern to some. Also, CrowdStrike may retain de-identified data indefinitely.

  • Changes to the Privacy Notice: CrowdStrike may update the notice at any time to reflect changes in their practices. This means that candidates must periodically review the notice for changes. This could be a red flag for individuals who prefer a more static and predictable privacy policy.

  • Third-Party Sharing: Personal Information is shared with CrowdStrike affiliates, regulators, authorities, and third-party service providers. The notice lacks specific details about these third parties and their data handling practices.

  • Self-Identification Requests: The notice mentions that for some locations, CrowdStrike may request that candidates self-identify with certain characteristics such as gender or race/ethnicity. Although the notice also states that choosing not to disclose such information will not result in adverse treatment and the information will be kept confidential, the request itself may be a red flag for some individuals.

  • Legal Basis for Processing: The legal basis for processing personal information is described in general terms as necessary for contractual obligations, consent, or legitimate interests. The lack of specificity may cause concern and may not offer the transparency some individuals seek.

It is important to note that many of the practices described in this notice are common in the recruitment process. However, the extent of the data collection and the lack of specific details about some of the practices may raise concerns for some individuals.

at No comments:
Labels: ,

Friday, August 18, 2017

Repensando o Chamado: Bloqueando Violações


Publicado em 14 de agosto de 2017
Apresentado em: Privacidade e Segurança da Informação
Edward Amoroso
Fundador e CEO da TAG Cyber
Texto traduzido e comentado por Afonso H. R. Alves 

Vários anos atrás, ao sair de uma reunião no Pentágono, eu disse em voz alta que eu iria de  metrô para DC. Shawn Henry, então com o FBI, passou a ouvir meu comentário e ofereceu um passeio. Pensei em não aceitar e protestar contra o fato de enfrentar todo o tráfego ruim como  inconveniente para ambos. Mas Shawn não ouviria nada disso. Não era problema, explicou.
Em poucos minutos, eu tive o melhor passeio de dois minutos e meio do Pentágono à Union Station de que um ser humano poderia experimentar. (Sim, faça a matemática.) Mas o que me impressionou mais, durante o curto passeio, foi o incrível comando de Shawn sobre risco cibernético, ameaças maliciosas e proteção de segurança. Com uma visão tão profunda, eu só posso imaginar o quão valioso ele deve ser agora com o CrowdStrike. O que me traz. . .

Alguns anos atrás, aconteceu algo com esse gigantesco livro sobre pirataria que explodiu minha mente. Com o título descrito, Hacking Exposed[ii], o enorme tomo explicou tantos métodos de hacking diferentes que mal consegui percorrer um décimo deles. Eu escrevi quatro livros sobre segurança cibernética, então essa era uma perspectiva bastante humilde. Ainda abaixo a minha voz quando menciono o título desse maldito livro.
Ao mesmo tempo, começei a ser um cliente de uma nova empresa chamada Foundstone fundada pelos autores chamada. Um dos diretores desta empresa estava numa conferencia que compareci, e lembro de ter levado vinte páginas de notas na metade de tantos minutos. Agradeci ao orador depois e contei o quão impressionado eu estava com seu grande conhecimento. Esse orador, é claro, era George Kurtz[iii], e ele é um dos fundadores da CrowdStrike. O que me traz. . .

Vários anos atrás, sentei-me numa reunião de comitê de normas em um banco da cidade de Nova York, onde discutimos alguma coisa de segurança - eu esqueci especificamente. Mas durante a discussão, notei que uma pessoa fez muito sentido. Você deve ter tido essa experiência nas reuniões, onde é óbvio que a pessoa que está sentada ali perto da esquina da mesa parece realmente entender o que está acontecendo.
Depois da reunião, entrei e me apresentuei e percebi que era Dmitri Alperovitch[iv] - um nome com o qual estava familiarizado. Ele se tornou uma das vozes da nossa indústria, com uma visão profunda dos fundamentos técnicos de como as ameaças cibernéticas estão evoluindo. Era óbvio durante a reunião, e óbvio para mim agora, que Dmitri sabe o que diabos ele está falando. E ele também é um dos fundadores da CrowdStrike. O que me traz para isso:
Passei uma hora com a equipe da CrowdStrike na semana passada e esboçaram um chamado para a industria que inclui a alegação audaciosa de que eles podem parar as brechas. Eles me mostraram um portfólio de soluções e ofertas que abrangeram uma área tão ampla, que eu disse que eles precisariam de um quarto cheio de gênios para cobrir uma coleção tão desafiadora de capacidades de segurança cibernética. E é quando isso me atingiu: esta empresa possui uma sala cheia de gênios.
O foco da plataforma CrowdStrike em evolução começa com a proteção de ponto final, mas sua tecnologia aborda todas as fases do ciclo de vida do ataque. Eles têm capacidade profunda para enfrentar o risco durante o reconhecimento, a armação, a entrega, a exploração, a instalação, o comando, controle e as operações. Eles entendem técnicas adversárias e a plataforma suporta soluções pró-ativas para uma variedade de clientes diferentes.
"Estamos tentando fazer pela segurança cibernética", explicou a equipe, "o que a Salesforce fez para o ERP". Agora, se alguma outra empresa sugeriu isso como objetivo corporativo, talvez eu tenha repetido. Mas, como descrevi acima, a equipe executiva da CrowdStrike é um pouco diferente. Essas pessoas sabem exatamente o que estão fazendo, e a sua decisão de se concentrar em uma agenda tão agressiva, pareceu-me. . . Bem, parecia realmente factível (realizável).
Meu conselho é que você deve configurar imediatamente o tempo para falar com CrowdStrike. Peça-lhes que o façam através do portfólio da plataforma. Mesmo se você não é um cliente, e mesmo que não tenha planos de mudar sua solução de ponto final, acho que você deveria ouvir a proposta deles. Muito poucas empresas podem se orgulhar de uma equipe de liderança tão capaz, e não posso ajudar, mas me sinto inspirado pelo seu choro de batalha audaz: We Stop Breaches (Nós paramos vazamentos de dados). Eu acho que você vai aprender algo ouvindo esta abordagem.
(Oh, e talvez você possa pedir para George para autografar sua antiga cópia de seu livro que tenho certeza que ocupa metade de sua estante de livros - como ela ainda faz na minha.)

Edward Amoroso
Fundador e CEO da TAG Cyber
https://www.tag-cyber.com/



[i] Chamado de reunião (Rallying Cry) é algo como uma palavra ou frase, um evento ou uma crença que incentiva as pessoas a se unirem e a agir em apoio de um grupo ou idéia particular.
at No comments:
Labels: , ,
Subscribe to: Posts (Atom)

The Nexus of Policy and Technology: An Expert Report on Allegations of Political Bias in Gmail's Spam Filtering

  Executive Summary: The Nexus of Policy and Technology The Federal Trade Commission (FTC) has initiated a new wave of regulatory scrutiny a...

  • boardsi - summary - review
     Summarization of hundreds of comments on Reddit. Ineffective Service: The users explicitly states, "Confirmed that it doesn't w...
  • Privacy Policy, Flipp
    Based on a review of the provided Privacy Policy , here are some potential legal implications and issues that should be addressed: Scope a...