La Comisión Federal de Comercio (FTC) ha respondido a una serie de violaciones de datos públicos de Marriott y Starwood, ordenando a las empresas que realicen al menos 13 cambios para garantizar que no vuelva a suceder.
Más de 344 millones de clientes se vieron afectados por tres violaciones de seguridad distintas que expusieron información personal, incluida información de tarjetas de crédito y detalles de pasaportes…
Violación de datos de Marriott y Starwood
La primera de tres perturbaciones se producirá en 2018.
El grupo hotelero Marriott International es la última empresa en anunciar una violación a gran escala de su base de datos de clientes.
“Para aproximadamente 327 millones de estos huéspedes, la información incluye nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest (“SPG”), fecha de nacimiento, sexo e información de llegada y salida. , fecha de reserva y preferencias de contacto. Para algunos, los datos también incluyen números de tarjetas de pago y fechas de vencimiento de las tarjetas de pago, pero los números de tarjetas de pago se cifran utilizando el cifrado Estándar de cifrado avanzado (AES-128). Se requieren dos componentes para cifrar los números de tarjetas de pago y en este momento Marriott no ha podido descartar que se hayan obtenido ambos”.
Siguieron dos hacks más.
La FTC ordena 13 cambios
FTC ahora ordenado Ambos grupos hoteleros implementaron cambios integrales para protegerse contra la repetición de cualquier falla que permitió que los ataques tuvieran éxito.
Según la orden, Marriott y Starwood establecerán un programa integral de seguridad de la información para proteger la información personal de los clientes, implementarán una política de retención de información personal solo durante el tiempo que sea necesario y proporcionarán un enlace en su sitio web para los clientes estadounidenses. instalado. solicitar la eliminación de información personal relacionada con su dirección de correo electrónico o número de cuenta de recompensas de fidelidad. La orden también exige que Marriott revise las cuentas de recompensas por fidelidad y restablezca los puntos de fidelidad robados a petición del cliente.
Las empresas también tienen prohibido tergiversar cómo recopilan, almacenan, utilizan, eliminan o divulgan información personal del consumidor; y el grado en que las empresas protegen la privacidad, seguridad, disponibilidad, confidencialidad o integridad de la información personal.
Dado lo básicas que son muchas de las reglas, sirve como una acusación condenatoria de lo malas que han sido. Por ejemplo, las empresas no deberían mentir sobre lo que hacen con tus datos:
Los demandados, los funcionarios, agentes y empleados de los demandados, y cualquier producto o servicio que tenga conocimiento real de esta Orden, independientemente de si actúan directa o indirectamente y de todas las demás personas que cooperan o participan activamente con ellos de cualquier manera, expresa o implícitamente;
A. Recopilación, almacenamiento, uso, eliminación o divulgación de Información personal por parte de los Encuestados; y
B. El grado en que los encuestados protegen la privacidad, seguridad, disponibilidad, confidencialidad o integridad de la información personal.
Otros requisitos son que el grupo capacite a sus empleados en seguridad de datos, cree planes de respuesta a amenazas, establezca políticas de detección de intrusiones y utilice autenticación de dos factores.
Autor de la foto Jonathan Kemper activado Chapoteo
FTC: utilizamos enlaces de afiliados automáticos para generar ingresos. Más.