top of page
Foto do escritorCyber Security Brazil

FTC ordena que Marriott e Starwood implementem segurança rigorosa de dados após vazamento

A Comissão Federal de Comércio dos Estados Unidos (FTC) ordenou que a Marriott International e a Starwood Hotels definam e implementem um esquema robusto de segurança de dados de clientes, após falhas que resultaram em grandes vazamentos de dados.


Após adquirir a Starwood em 2016, a Marriott International sofreu três grandes vazamentos de dados que afetaram 344 milhões de clientes em todo o mundo devido à falta de medidas de segurança adequadas.


Agora, a FTC determinou que a Marriott e sua subsidiária, Starwood, estabeleçam um programa de segurança que proteja dados sensíveis de seus clientes contra hackers e ofereça maior controle sobre essas informações.


De acordo com a ordem, as principais medidas incluem:

  • Desenvolver, implementar e manter um programa abrangente de segurança da informação que inclua criptografia, controles de acesso, autenticação multifator, gerenciamento de vulnerabilidades e planos de resposta a incidentes.

  • Manter políticas que garantam a retenção de informações pessoais apenas pelo tempo estritamente necessário e fornecer um link em seu site para que consumidores dos EUA solicitem a exclusão de seus dados pessoais.

  • Implementar registro e monitoramento de ativos de TI para detectar atividades anômalas e eventos de segurança em até 24 horas.

  • Realizar avaliações independentes e bienais do programa de segurança da informação por 20 anos, relatando à FTC quaisquer lacunas identificadas e corrigidas.

  • Disponibilizar um método para que consumidores dos EUA revisem atividades suspeitas em suas contas de recompensas de fidelidade e restaurem os pontos em casos de violação.

  • Informar à FTC, dentro de 10 dias, qualquer notificação obrigatória a entidades governamentais sobre incidentes de segurança.


As medidas ordenadas pela FTC devem ser implementadas pela Marriott e Starwood em até 180 dias após a data de entrada em vigor, 20 de dezembro de 2024, com prazo final em 17 de junho de 2025.


A ordem terá validade por 20 anos, podendo ser prorrogada sob condições específicas.


Histórico de incidentes:

  • Em 2014, os sistemas de pagamento da Starwood foram hackeados, expondo dados de clientes, com a divulgação do incidente ocorrendo apenas 14 meses depois.

  • Outro vazamento, ocorrido entre 2014 e 2018, comprometeu 339 milhões de registros de hóspedes, incluindo números de passaportes não criptografados. A falha impactou apenas clientes das propriedades Starwood, cuja base de dados de reservas foi violada antes da aquisição pela Marriott.

  • Em 2018, hackers acessaram dados de 5,2 milhões de hóspedes da Marriott, mas o incidente só foi detectado em 2020, deixando os clientes vulneráveis durante todo o período.


Em outubro de 2024, a Marriott chegou a um acordo com a FTC sobre essas falhas, concordando em pagar US$ 52 milhões a 49 estados para resolver as reclamações relacionadas aos vazamentos de dados.

0 visualização0 comentário

Comments


bottom of page