A Comissão Federal de Comércio dos Estados Unidos (FTC) ordenou que a Marriott International e a Starwood Hotels definam e implementem um esquema robusto de segurança de dados de clientes, após falhas que resultaram em grandes vazamentos de dados.
Após adquirir a Starwood em 2016, a Marriott International sofreu três grandes vazamentos de dados que afetaram 344 milhões de clientes em todo o mundo devido à falta de medidas de segurança adequadas.
Agora, a FTC determinou que a Marriott e sua subsidiária, Starwood, estabeleçam um programa de segurança que proteja dados sensíveis de seus clientes contra hackers e ofereça maior controle sobre essas informações.
De acordo com a ordem, as principais medidas incluem:
Desenvolver, implementar e manter um programa abrangente de segurança da informação que inclua criptografia, controles de acesso, autenticação multifator, gerenciamento de vulnerabilidades e planos de resposta a incidentes.
Manter políticas que garantam a retenção de informações pessoais apenas pelo tempo estritamente necessário e fornecer um link em seu site para que consumidores dos EUA solicitem a exclusão de seus dados pessoais.
Implementar registro e monitoramento de ativos de TI para detectar atividades anômalas e eventos de segurança em até 24 horas.
Realizar avaliações independentes e bienais do programa de segurança da informação por 20 anos, relatando à FTC quaisquer lacunas identificadas e corrigidas.
Disponibilizar um método para que consumidores dos EUA revisem atividades suspeitas em suas contas de recompensas de fidelidade e restaurem os pontos em casos de violação.
Informar à FTC, dentro de 10 dias, qualquer notificação obrigatória a entidades governamentais sobre incidentes de segurança.
As medidas ordenadas pela FTC devem ser implementadas pela Marriott e Starwood em até 180 dias após a data de entrada em vigor, 20 de dezembro de 2024, com prazo final em 17 de junho de 2025.
A ordem terá validade por 20 anos, podendo ser prorrogada sob condições específicas.
Histórico de incidentes:
Em 2014, os sistemas de pagamento da Starwood foram hackeados, expondo dados de clientes, com a divulgação do incidente ocorrendo apenas 14 meses depois.
Outro vazamento, ocorrido entre 2014 e 2018, comprometeu 339 milhões de registros de hóspedes, incluindo números de passaportes não criptografados. A falha impactou apenas clientes das propriedades Starwood, cuja base de dados de reservas foi violada antes da aquisição pela Marriott.
Em 2018, hackers acessaram dados de 5,2 milhões de hóspedes da Marriott, mas o incidente só foi detectado em 2020, deixando os clientes vulneráveis durante todo o período.
Em outubro de 2024, a Marriott chegou a um acordo com a FTC sobre essas falhas, concordando em pagar US$ 52 milhões a 49 estados para resolver as reclamações relacionadas aos vazamentos de dados.
Comments