米連邦取引委員会(FTC)は、マリオットとスターウッドの一連の大規模なデータ侵害に対応し、二度と同じことが起こらないようにするため、両社に13以上の変更を加えるよう命じた。
3 億 4,400 万人を超える顧客が 3 件の個別のセキュリティ違反の影響を受け、クレジット カードの詳細やパスポート情報を含む個人データが漏洩しました。
マリオットとスターウッドのデータ侵害
3 件の侵害のうち最初のものは 2018 年に遡ります。
マリオット・インターナショナル・ホテル・グループは、顧客データベースの大規模なハッキングを発表した最新の企業である。
「これらのゲストのうち約 3 億 2,700 万人の情報には、名前、住所、電話番号、電子メール アドレス、パスポート番号、スターウッド プリファード ゲスト (「SPG」) のアカウント情報、生年月日、性別、到着および出発情報の組み合わせが含まれます。 、予約日、通信設定。一部の情報には、ペイメント カード番号およびペイメント カードの有効期限も含まれていますが、ペイメント カード番号は Advanced Encryption Standard 暗号化 (AES-128) を使用して暗号化されています。ペイメントカード番号を解読するには2つのコンポーネントが必要であり、現時点ではマリオットは両方が盗まれた可能性を排除できていない。」
この後、さらに 2 つのハッキングがありました。
FTCが13件の変更を命令
FTC 今注文しました 両ホテルグループは、攻撃を成功させた失敗の繰り返しを防ぐために抜本的な変更を実施する必要がある。
この命令に基づき、マリオットとスターウッドは、顧客の個人情報を保護するための包括的な情報セキュリティ プログラムを確立し、合理的に必要な期間のみ個人情報を保持するポリシーを導入し、米国の顧客向けにウェブサイトにリンクを確立することが求められています。電子メール アドレスまたはロイヤルティ リワードのアカウント番号に関連付けられた個人情報の削除を要求します。この命令では、マリオットに対し、顧客の要望に応じてロイヤルティ特典アカウントを確認し、盗まれたロイヤルティポイントを回復することも求められている。
また、企業は、消費者の個人情報を収集、維持、使用、削除、開示する方法を偽ることも禁止されています。企業が個人情報のプライバシー、セキュリティ、可用性、機密性、完全性を保護する範囲。
条項の多くが基本的なものであることを考えると、それらは事態がどれほど悪いことであったかを示すかなりひどい告発として機能します。たとえば、企業はデータをどのように扱うかについて嘘をついてはなりません。
被告人、被告人の役員、代理人、従業員、および本命令の実際の通知を受け取る彼らと積極的に協力または参加しているその他すべての者は、製品またはサービスに関連して、直接的または間接的に行動するかどうかにかかわらず、以下の内容で虚偽の事実を伝えてはなりません。明示的または黙示的に、いかなる方法でも:
A. 回答者による個人情報の収集、維持、使用、削除、または開示。そして
B. 回答者が個人情報のプライバシー、セキュリティ、可用性、機密性、または完全性を保護する範囲。
その他の要件としては、グループがデータ セキュリティについて従業員を訓練し、脅威に対応するための計画を作成し、侵入を検出するポリシーを確立し、2 要素認証を使用することが挙げられます。
写真提供者 ジョナサン・ケンパー の上 アンスプラッシュ
FTC: 当社は収入を得る自動アフィリエイト リンクを使用しています。 もっと。
