A Marriott International e sua subsidiária Starwood Hotels pagarão $52 milhões e criarão um programa abrangente de segurança da informação como parte de acordos para violações de dados que impactaram mais de 344 milhões de clientes.
O acordo exige que a Marriott e a Starwood implementem um programa de segurança abrangente e permitam que seus clientes nos EUA solicitem a exclusão de dados pessoais.
Além disso, o gigante da hospitalidade americano concordou em pagar $52,000,000 a 49 estados para resolver reivindicações relacionadas às violações de dados.
A Marriott International é uma empresa de hospitalidade que administra e franquia uma vasta carteira de hotéis e instalações de hospedagem, operando mais de 7.000 propriedades em 130 países.
A Starwood era uma empresa americana de hotéis e lazer até sua aquisição pela Marriott em 2016, tornando esta última responsável pela segurança dos dados e operações hoteleiras relacionadas.
O anúncio da FTC destaca três casos em que a Marriott falhou em proteger as informações de seus clientes.
Em junho de 2014, a Starwood sofreu uma violação de dados onde as informações dos cartões de pagamento de muitos de seus clientes foram expostas.
A violação foi descoberta e divulgada publicamente 14 meses depois, deixando os clientes impactados expostos a riscos elevados por mais de um ano.
O segundo incidente diz respeito a hackers acessando 339 milhões de registros de contas de hóspedes da Starwood, incluindo 5,25 milhões de números de passaporte não criptografados.
Essa violação ocorreu em julho de 2014, mas foi detectada em setembro de 2018, novamente deixando os clientes expostos por um período de vários anos.
O terceiro incidente impactou a própria Marriott, onde atores maliciosos acessaram os registros de 5,2 milhões de hóspedes em setembro de 2018.
Os dados expostos incluíam nomes, endereços de e-mail, endereços postais, números de telefone, datas de nascimento e informações de contas de fidelidade.
Neste caso, também, a Marriott só descobriu o comprometimento e informou seus clientes em fevereiro de 2020.
A FTC acusa as duas empresas de enganar os consumidores sobre suas práticas de segurança de dados e destacou falhas como controles de senha deficientes, softwares desatualizados e falta de monitoramento apropriado do seu ambiente de TI.
Como parte do acordo de liquidação, a Marriott e sua subsidiária Starwood agora terão que implementar as seguintes medidas:
Estabelecer um programa abrangente de segurança da informação com avaliações de terceiros a cada dois anos e certificação de conformidade anual por 20 anos.
Limitar a retenção de dados ao que é necessário e informar aos clientes o motivo da coleta e manutenção de seus dados.
Permitir que os clientes solicitem revisões de atividades não autorizadas em suas contas de fidelidade e restaurem pontos roubados.
Fornecer uma maneira para os clientes solicitar a exclusão de informações pessoais vinculadas ao seu e-mail ou conta de fidelidade.
Proibir a representação falsa de como os dados pessoais são manuseados e garantir transparência nas práticas de segurança.
A Marriott também chegou a um acordo separado, anunciado simultaneamente com 49 estados e o Distrito de Columbia, concordando em pagar $52.000.000 para resolver alegações e reivindicações relacionadas aos incidentes de segurança supracitados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...