- La FTC impone reglas estrictas a la cadena de hoteles Marriott
- Tres violaciones masivas de datos de Marriott expusieron a cientos de millones de clientes
- La FTC dice que la empresa no implementó medidas de seguridad adecuadas
La Comisión Federal de Comercio (FTC) ha pedido a Marriott International y Starword Hotels que implementen un sólido programa de seguridad de la información del cliente luego de múltiples violaciones de seguridad en los últimos años.
Entre 2015 y 2020, Marriott sufrió tres violaciones masivas de datos, lo que resultó en la exposición de más de 344 millones de clientes en todo el mundo, incluidos detalles de pasaportes, tarjetas de pago y otra información de identificación personal.
De acuerdo con el fallo, Marriott ahora debe establecer y mantener un programa integral de seguridad de la información que incluya cifrado, control de acceso, autenticación multifactor y respuesta a incidentes. Junto con esto, también debe monitorear todos los activos de TI para identificar incidentes de seguridad y mantener una política para conservar la información personal solo durante el tiempo necesario.
Malas prácticas de seguridad
Además, se deben realizar evaluaciones independientes semestrales de los programas de seguridad de datos, y cualquier brecha o violación de seguridad identificada debe informarse a la FTC en un plazo de 10 días, y estas condiciones se aplicarán durante los próximos 20 años.
Los clientes ahora tendrán la opción de revisar actividades sospechosas no autorizadas en sus cuentas y solicitar que sus datos e información personal se eliminen de los sistemas de Marriott.
La compañía admitió que importantes fallas de seguridad llevaron a que los piratas informáticos pudieran acceder a los datos de los clientes y, al no utilizar un cifrado seguro, Marriott quedó vulnerable a un inevitable ciberataque a gran escala.
Como resultado, sus presuntos piratas informáticos tuvieron acceso a los sistemas de Marriott durante hasta cuatro años, y esas infracciones llevaron a que la FTC multara a la empresa con 52 millones de dólares a principios de este año, ya que la FTC alegó que la empresa intentó ocultar las infracciones y “engañó a los consumidores al afirmar que tienen una seguridad de información razonable y adecuada”.
a través de pitidocomputadora