Nouvelles Du Monde

Le Michigan recevra 1,2 million de dollars en règlement de violation de données avec Marriott

Le Michigan recevra 1,2 million de dollars en règlement de violation de données avec Marriott

Une coalition de 50 procureurs généraux est parvenue à un accord avec Marriott International, Inc. à la suite d’une enquête sur une importante violation de données sur plusieurs années dans l’une de ses bases de données de réservation de clients.

COMMUNIQUÉ DE PRESSE
PROCUREUR GÉNÉRAL DU MICHIGAN, DANA NESSEL
***********************
Le procureur général du Michigan, Dana Nessel, a annoncé aujourd’hui qu’une coalition de 50 procureurs généraux était parvenue à un accord avec Marriott International, Inc. à la suite d’une enquête sur une importante violation de données sur plusieurs années dans l’une de ses bases de données de réservation de clients. La Federal Trade Commission, qui a travaillé en étroite coordination avec les États tout au long de cette enquête, est parvenue à un règlement parallèle avec Marriott. Dans le cadre de l’accord avec les procureurs généraux, Marriott a accepté de renforcer ses pratiques de sécurité des données en utilisant une approche dynamique basée sur les risques, d’offrir certaines protections aux consommateurs et d’effectuer un paiement de 52 millions de dollars aux États. Le Michigan recevra 1 209 097 $ du règlement.

“Les entreprises en qui nous avons confiance pour gérer nos informations sensibles doivent mettre en place des mesures de cybersécurité robustes pour protéger les consommateurs contre les violations”, a déclaré Nessel. « Ce règlement oblige Marriott à améliorer ses pratiques de sécurité, à informer rapidement les clients des incidents et à démontrer un engagement continu en faveur de la protection des données. Je continuerai à travailler aux côtés de mes collègues pour tenir les entreprises responsables des violations qui compromettent les informations personnelles et plaider en faveur d’une protection renforcée des consommateurs. lois du Michigan.

Marriott a acquis Starwood en 2016 et a pris le contrôle du réseau informatique de Starwood en 2016. Cependant, de juillet 2014 à septembre 2018, les intrus dans le système n’ont pas été détectés. Cela a conduit à la violation de 131,5 millions de dossiers d’invités appartenant à des clients aux États-Unis. Les enregistrements concernés comprenaient les coordonnées, le sexe, les dates de naissance, les anciennes informations Starwood Preferred Guest, les informations de réservation et les préférences de séjour à l’hôtel, ainsi qu’un nombre limité de numéros de passeport non cryptés et d’informations de carte de paiement non expirées.

Peu de temps après l’annonce de la violation de la base de données Starwood, une coalition de 50 procureurs généraux a lancé une enquête multi-États sur cette violation. Le règlement d’aujourd’hui résout les allégations des procureurs généraux selon lesquelles Marriott aurait violé les lois de l’État sur la protection des consommateurs, les lois sur la notification des violations, le cas échéant, et les lois sur la protection des informations personnelles en omettant de mettre en œuvre une sécurité raisonnable des données et de remédier aux lacunes de sécurité des données, en particulier lorsqu’il tentait d’utiliser et d’intégrer Starwood dans ses systèmes.

Le Michigan a connu une augmentation des violations de données. Ces derniers mois, le procureur général Nessel a informé les résidents du Michigan de deux Cyberattaques McLaren touchant des millions de patients. De même, le procureur général a partagé des ressources à la suite une violation de données de Change Healthcare qui pourrait affecter jusqu’à un tiers de tous les Américains. Elle a également émis des alertes aux consommateurs et informé les consommateurs des directives du ministère du Procureur général. Violations de données : que faire ensuite page Web après des cyberattaques massives sur AT&T et Comcast/Xfinity.

La loi de l’État n’exige actuellement pas que les entreprises victimes d’une violation de données partagent ces informations avec le ministère du Procureur général. Le Ministère prend souvent connaissance de ces violations de données grâce aux reportages des médias. L’AG recommande fortement au corps législatif – comme dans de nombreux autres États – d’adopter les projets de loi du Sénat 888 à 892 pour renforcer la loi du Michigan afin d’exiger que les entreprises victimes d’une violation de données en informent le ministère du Procureur général sans délai déraisonnable, et au plus tard 45 jours après. découverte de la violation lorsque celle-ci concerne plus de 100 personnes. Cela permettra au procureur général d’alerter plus rapidement le public. Cette semaine encore, le ministère a témoigné devant le Comité sénatorial des finances, des assurances et de la protection des consommateurs. en soutien au paquet législatif.

Aux termes de l’accord, Marriott a accepté de renforcer et d’améliorer continuellement ses pratiques en matière de cybersécurité. Certaines des mesures spécifiques comprennent :

  • Mise en œuvre d’un programme complet de sécurité de l’information. Cela comprend de nouveaux mandats globaux du programme de sécurité, tels que l’intégration des principes de confiance zéro, des rapports de sécurité réguliers aux plus hauts niveaux de l’entreprise, y compris le PDG, et une formation améliorée des employés sur le traitement et la sécurité des données.
  • Exigences de minimisation et d’élimination des données, ce qui entraînera une diminution de la collecte et de la conservation des données des consommateurs.
  • Exigences de sécurité spécifiques en ce qui concerne les données des consommateurs, y compris le renforcement des composants, la réalisation d’un inventaire des actifs, le chiffrement, la segmentation pour limiter la capacité d’un intrus à se déplacer dans un système, la gestion des correctifs pour garantir que les correctifs de sécurité critiques sont appliqués en temps opportun, la détection des intrusions, contrôles d’accès des utilisateurs, ainsi que journalisation et surveillance pour suivre les mouvements des fichiers et des utilisateurs au sein du réseau.
  • Surveillance accrue des fournisseurs et des franchisés, avec un accent particulier sur l’évaluation des risques pour les « fournisseurs informatiques critiques » et des contrats clairement définis avec les fournisseurs de cloud.
  • À l’avenir, si Marriott acquiert une autre entité, elle devra en temps opportun évaluer plus en profondeur le programme de sécurité des informations de l’entité acquise et élaborer des plans pour combler les lacunes ou déficiences de sécurité identifiées dans le cadre de l’intégration au réseau de Marriott.
  • Une évaluation indépendante du programme de sécurité des informations de Marriott tous les deux ans pendant une période de 20 ans pour une surveillance supplémentaire de la sécurité.

Ces conditions de règlement sont fondées sur une approche bien développée basée sur les risques dans laquelle Marriott doit non seulement procéder à une évaluation annuelle des risques au niveau de l’entreprise, mais doit également effectuer des analyses de risques tout au long de l’année pour les modifications apportées aux contrôles de sécurité. Ces évaluations des risques en cours doivent aborder les critères de « préjudice causé à autrui », ce qui inclurait le préjudice potentiel pour les consommateurs.

Dans le cadre du règlement, Marriott offrira aux consommateurs des protections spécifiques, y compris une option de suppression des données, même si les consommateurs n’ont actuellement pas ce droit en vertu de la loi de l’État. Marriott doit proposer une authentification multifacteur aux consommateurs pour leurs comptes de récompenses de fidélité, tels que Marriott Bonvoy, ainsi que des examens de ces comptes en cas d’activité suspecte.

Le Connecticut, le Maryland et l’Oregon ainsi que le District de Columbia, l’Illinois, la Louisiane, le Massachusetts, la Caroline du Nord et le Texas ont codirigé l’enquête multi-États, assistés par le comité exécutif de l’Alabama, de l’Arizona, de l’Arkansas, de la Floride, du Nebraska et du New Jersey. , New York, Ohio, Pennsylvanie et Vermont, et rejoints par l’Alaska, le Colorado, le Delaware, la Géorgie, Hawaï, l’Idaho, l’Indiana, l’Iowa, le Kansas, le Kentucky, le Maine, le Michigan, le Minnesota, le Mississippi, le Missouri, le Montana, le Nevada et le New Hampshire. , Nouveau-Mexique, Dakota du Nord, Oklahoma, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Utah, Virginie, Washington, Virginie occidentale, Wisconsin et Wyoming.

***********************

#Michigan #recevra #million #dollars #règlement #violation #données #avec #Marriott

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie