Home Tecnologia Violações massivas de dados do Marriott e Starwood exigem 13 soluções

Violações massivas de dados do Marriott e Starwood exigem 13 soluções

Por Humberto Marchezini


A Federal Trade Commission (FTC) respondeu a uma série de violações massivas de dados da Marriott e da Starwood, ordenando que as empresas fizessem nada menos que 13 alterações para garantir que isso não aconteça novamente.

Mais de 344 milhões de clientes foram afetados por três violações de segurança distintas, que revelaram dados pessoais que incluíam detalhes de cartão de crédito e informações de passaporte…

Violações de dados Marriott e Starwood

A primeira das três violações remonta a 2018.

O grupo hoteleiro Marriott International é a mais recente empresa a anunciar um hack em grande escala de um banco de dados de clientes.

“Para aproximadamente 327 milhões desses hóspedes, as informações incluem alguma combinação de nome, endereço, número de telefone, endereço de e-mail, número do passaporte, informações da conta Starwood Preferred Guest (“SPG”), data de nascimento, sexo, informações de chegada e partida , data da reserva e preferências de comunicação. Para alguns, as informações também incluem números de cartões de pagamento e datas de vencimento dos cartões de pagamento, mas os números dos cartões de pagamento foram criptografados usando criptografia Advanced Encryption Standard (AES-128). Existem dois componentes necessários para descriptografar os números dos cartões de pagamento e, neste momento, o Marriott não foi capaz de descartar a possibilidade de ambos terem sido roubados.”

Houve mais dois hacks depois disso.

FTC ordena 13 mudanças

A FTC agora encomendou ambos os grupos hoteleiros a implementarem mudanças radicais para se protegerem contra qualquer repetição das falhas que permitiram o sucesso dos ataques.

Segundo o pedido, a Marriott e a Starwood são obrigadas a estabelecer um programa abrangente de segurança da informação para ajudar a proteger as informações pessoais dos clientes, implementar uma política para reter informações pessoais apenas pelo tempo razoavelmente necessário e estabelecer um link em seu site para que os clientes dos EUA possam solicitar a exclusão de informações pessoais associadas ao seu endereço de e-mail ou número da conta de fidelidade. O pedido também exige que a Marriott revise as contas de fidelidade mediante solicitação do cliente e restaure os pontos de fidelidade roubados.

As empresas também estão proibidas de deturpar a forma como coletam, mantêm, usam, excluem ou divulgam informações pessoais dos consumidores; e até que ponto as empresas protegem a privacidade, segurança, disponibilidade, confidencialidade ou integridade das informações pessoais.

Dado o quão básicas são muitas das disposições, elas servem como uma acusação bastante contundente de como as coisas devem ter sido más. Por exemplo, as empresas não devem mentir sobre o que fazem com os seus dados:

Os Requeridos, seus representantes, agentes e funcionários, e todas as outras pessoas em conjunto ou participação ativa com qualquer um deles que recebam notificação real deste Pedido, seja agindo direta ou indiretamente, em conexão com qualquer produto ou serviço, não devem deturpar em de qualquer forma, expressa ou implicitamente:
A. Coleta, manutenção, uso, exclusão ou divulgação de Informações Pessoais pelos Respondentes; e
B. Até que ponto os Respondentes protegem a privacidade, segurança, disponibilidade, confidencialidade ou integridade das Informações Pessoais.

Outros requisitos são que o grupo treine seus funcionários em segurança de dados, crie planos de resposta a ameaças, estabeleça políticas para detectar intrusões e utilize autenticação de dois fatores.

Foto de Jonathan Kemper sobre Remover respingo

FTC: Usamos links de afiliados automotivos para geração de renda. Mais.



Source link

Related Articles

Deixe um comentário