La procureure générale de New York, Letitia James, a annoncé mercredi un règlement multi-états de 52 millions de dollars avec Marriott International Inc. suite à une violation de données d’une durée d’un an dans l’une de ses bases de données de réservation de clients.
Selon une enquête menée dans plusieurs États, l’une des filiales de Marriott, Starwood Hotels and Resorts Worldwide, a accueilli des intrus dans son système pendant quatre ans sans être détectée. Cela aurait conduit à une violation de données affectant 131,5 millions de clients dans tout le pays.
L’accord avec 50 procureurs généraux oblige Marriott à réviser et à renforcer la sécurité de ses données afin de protéger les informations privées de ses clients et à payer 52 millions de dollars de pénalités.
Une enquête menée dans plusieurs États a révélé que de juillet 2014 à septembre 2018, des intrus ont accédé aux bases de données de Starwood et y sont restés sans être détectés. Le vol de données a touché des personnes dans tout le pays et exposé des informations personnelles, notamment des informations de contact, le sexe, les dates de naissance, les anciennes informations Starwood Preferred Guest, les informations de réservation et les préférences de séjour à l’hôtel, ainsi qu’un nombre limité de numéros de passeport non cryptés et de cartes de paiement non expirées. informations, selon les enquêteurs.
En vertu du règlement, certaines mesures que Marriott doit prendre pour renforcer ses pratiques de cybersécurité comprennent :
- Une évaluation indépendante du programme de sécurité des informations de Marriott tous les deux ans pendant une période de 20 ans.
- Exigences de minimisation et d’élimination des données qui conduisent à moins de données client collectées et conservées.
- Mise en œuvre d’un programme complet de sécurité de l’information, comprenant des rapports de sécurité réguliers aux plus hauts niveaux de l’entreprise.
- Surveillance accrue des fournisseurs et des franchisés, en mettant l’accent sur l’évaluation des risques pour les fournisseurs informatiques critiques et en définissant clairement les contrats avec les fournisseurs de cloud.
- Si Marriott acquiert une autre entité, elle doit rapidement évaluer le programme de sécurité des informations de l’entité acquise et élaborer des plans pour remédier aux lacunes dans le cadre de l’intégration au réseau de Marriott.
Le règlement demande également à Marriott d’autoriser les clients à supprimer leurs données stockées à l’hôtel s’ils le souhaitent. Marriott doit également proposer une authentification multifacteur aux clients pour leurs comptes de récompenses de fidélité et procéder à des examens de ces comptes pour s’assurer qu’il n’y a aucune activité suspecte.
Le règlement comprend les procureurs généraux de l’Alabama, de l’Alaska, de l’Arizona, de l’Arkansas, du Connecticut, du Colorado, du Delaware, de la Floride, de la Géorgie, d’Hawaï, de l’Idaho, de l’Illinois, de l’Indiana, de l’Iowa, du Kansas, du Kentucky, de la Louisiane, du Maine, du Maryland, du Massachusetts, du Michigan et du Minnesota. , Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, Nouveau-Mexique, New Jersey, New York, Caroline du Nord, Dakota du Nord, Ohio, Oregon, Oklahoma, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Texas, Utah, Virginie, Washington, Virginie occidentale, Wisconsin, Wyoming, Vermont et District de Columbia.
Voulez-vous rester à jour?
Recevez les dernières nouvelles sur l’assurance
envoyé directement dans votre boîte de réception.
2024-10-09 22:13:00
1728543272
#Marriott #conclut #règlement #millions #dollars #avec #dÉtat #pour #violation #données
