Federalna Komisja Handlu (FTC) odpowiedziała na szereg pytań masowe naruszenia bezpieczeństwa danych Marriott i Starwoodnakazując firmom wprowadzenie co najmniej 13 zmian, aby taka sytuacja się nie powtórzyła.
Trzy osobne zmiany dotknęły ponad 344 miliony klientów bezpieczeństwo naruszeń, które ujawniły dane osobowe które zawierało dane karty kredytowej i dane paszportowe…
Naruszenia danych Marriott i Starwood
Pierwsze z trzech naruszeń sięga aż do 2018 roku.
Grupa hotelowa Marriott International to kolejna firma, która ogłosiła zakrojony na szeroką skalę włamanie do bazy danych klientów.
„W przypadku około 327 milionów tych gości informacje obejmują kombinację imienia i nazwiska, adresu pocztowego, numeru telefonu, adresu e-mail, numeru paszportu, informacji o koncie Starwood Preferred Guest („SPG”), daty urodzenia, płci, informacji o przyjeździe i wyjeździe , datę rezerwacji i preferencje dotyczące komunikacji. W przypadku niektórych informacje obejmują również numery kart płatniczych i daty ważności kart płatniczych, ale numery kart płatniczych zostały zaszyfrowane przy użyciu szyfrowania Advanced Encryption Standard (AES-128). Do odszyfrowania numerów kart płatniczych potrzebne są dwa elementy i na tym etapie Marriott nie jest w stanie wykluczyć możliwości, iż oba zostały zabrane”.
Potem miały miejsce dwa kolejne włamania.
FTC nakazuje 13 zmian
FTC teraz zamówił obie grupy hotelowe do wprowadzenia gruntownych zmian w celu ochrony przed powtórzeniem się błędów, które umożliwiły powodzenie ataków.
Na mocy postanowienia Marriott i Starwood mają obowiązek ustanowić kompleksowy program bezpieczeństwa informacji, który pomoże chronić dane osobowe klientów, wdrożyć politykę przechowywania danych osobowych tylko tak długo, jak jest to racjonalnie konieczne, a także umieścić na swojej stronie internetowej łącze umożliwiające klientom z USA zażądać usunięcia danych osobowych związanych z adresem e-mail lub numerem konta programu lojalnościowego. Nakaz nakłada na Marriott obowiązek sprawdzenia kont lojalnościowych na żądanie klienta i przywrócenia skradzionych punktów lojalnościowych.
Firmom zabrania się również fałszywego przedstawiania sposobu gromadzenia, przechowywania, wykorzystywania, usuwania lub ujawniania danych osobowych konsumentów; oraz zakres, w jakim firmy chronią prywatność, bezpieczeństwo, dostępność, poufność lub integralność danych osobowych.
Biorąc pod uwagę, jak wiele z tych przepisów jest podstawowych, służą one jako potępiający oskarżenie o to, jak źle musiało być. Na przykład firmom nie wolno kłamać na temat tego, co robią z Twoimi danymi:
Respondenci, członkowie zarządu, agenci i pracownicy Respondentów oraz wszystkie inne osoby pozostające w aktywnym porozumieniu lub uczestnictwie z którąkolwiek z nich, które otrzymają faktyczne powiadomienie o niniejszym Rozporządzeniu, niezależnie od tego, czy działają bezpośrednio lub pośrednio, w związku z jakimkolwiek produktem lub usługą, nie mogą składać fałszywych oświadczeń w w jakikolwiek sposób, wyraźnie lub w sposób dorozumiany:
A. Gromadzenie, utrzymywanie, wykorzystywanie, usuwanie lub ujawnianie danych osobowych przez respondentów; I
B. Stopień, w jakim Respondenci chronią prywatność, bezpieczeństwo, dostępność, poufność lub integralność Danych osobowych.
Inne wymagania obejmują szkolenie pracowników w zakresie bezpieczeństwa danych, tworzenie planów reagowania na zagrożenia, ustalanie zasad wykrywania włamań i stosowanie uwierzytelniania dwuskładnikowego.
Zdjęcie autorstwa Jonathana Kempera NA Usuń rozpryski
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
