Marriott International y su filial Starwood Hotels pagarán 52 millones de dólares y crearán un programa integral de seguridad de la información como parte del acuerdo por las violaciones de datos que afectaron a más de 344 millones de huéspedes.
El acuerdo exige que Marriott y Starwood implementen un programa de seguridad integral y permitan a sus clientes estadounidenses solicitar la eliminación de datos personales.
Además, el gigante hotelero estadounidense acordó pagar 52.000.000 de dólares a 49 estados para resolver reclamaciones por violación de datos.
Las numerosas violaciones de datos de Marriott
Marriott International es una empresa hotelera que gestiona y franquicia una amplia cartera de hoteles y alojamiento, operando más de 7.000 propiedades en 130 países.
Starwood era una empresa estadounidense de hotelería y ocio hasta su adquisición por parte de Marriott en 2016, siendo este último responsable de la seguridad de los datos y las operaciones hoteleras asociadas.
FTC anuncio destaca tres casos en los que Marriott no protegió la información de sus huéspedes.
En junio de 2014, Starwood sufrió una violación de datos en la que quedó expuesta la información de las tarjetas de pago de varios de sus clientes. La infracción fue descubierta y hecha pública 14 meses después, poniendo a los clientes afectados en alto riesgo durante más de un año.
El segundo incidente involucra a piratas informáticos que acceden a 339 millones de cuentas de clientes de Starwood, incluidos 5,25 millones de números de pasaporte no cifrados. Esta infracción se produjo en julio de 2014, pero se detectó en septiembre de 2018, lo que volvió a exponer a los clientes durante varios años.
La tercera infracción afectó al propio Marriott, donde los delincuentes accedieron a los registros de 5,2 millones de huéspedes en septiembre de 2018. Los datos expuestos incluían nombres, direcciones de correo electrónico, direcciones postales, números de teléfono, fechas de nacimiento e información sobre cuentas de fidelidad.
También en este caso, Marriott tardó hasta febrero de 2020 en descubrir el compromiso e informar a sus clientes.
las regulaciones
La FTC acusa a ambas empresas de engañar a los consumidores sobre sus prácticas de seguridad de datos y ha destacado fallas como controles deficientes de contraseñas, software obsoleto y una falta de monitoreo adecuado de su entorno de TI.
Como parte del acuerdo de conciliación, Marriott y su subsidiaria Starwood ahora deberán implementar las siguientes medidas:
- Establecer un programa integral de seguridad de la información con evaluaciones de terceros cada dos años y certificación de cumplimiento anual durante 20 años.
- Limitar la retención de datos a lo necesario e informar a los clientes del motivo por el que se recopilan y conservan sus datos.
- Permita que los clientes soliciten revisiones de actividad no autorizada en sus cuentas de fidelidad y restablezcan los puntos robados.
- Proporcionar una forma para que los clientes soliciten la eliminación de la información personal vinculada a su correo electrónico o cuenta de fidelización.
- Prohibir tergiversaciones sobre cómo se procesan los datos personales y garantizar la transparencia de las prácticas de seguridad.
Marriott también celebró un acuerdo separado, anunciado simultáneamente, con 49 estados y el Distrito de Columbia. acuerda pagar $52,000,000 para resolver las alegaciones y reclamaciones relacionadas con los incidentes de seguridad anteriores.