FTC要求万豪和喜达屋酒店必须提高数据安全性

站长云网 2024-12-24 5iter.com 站长云网

美国联邦贸易委员会周五宣布了一项命令(pdf),要求万豪国际酒店集团(MarriottInternational)及其子公司喜达屋酒店集团(StarwoodHotels)改善其数字安全。美国联邦贸易委员会指控这些公司的安全措施松懈,导致在2015年、2018年和2020年发现了三次大的漏洞,"影响了全球超过3.44亿客户",泄露了护照详细信息、支付卡和其他信息。

最短的一次漏洞持续了14个月才被发现,而最长的一次从2018年开始,攻击者甚至持有了酒店IT系统四年的访问权限。酒店运营方同意建立的强化安全计划包括制定政策,只在需要时保留信息,并发布链接,允许美国客户要求删除与其电子邮件地址或忠诚度账户相关的信息。

酒店一直是黑客攻击的主要目标之一,去年的一次入侵事件让美国联邦贸易委员会主席莉娜-汗(LinaKhan)成为了众多等待入住的人中的一员,当时勒索软件的攻击迫使美高梅度假村重新使用纸笔。

美国联邦贸易委员会于10月宣布了对这些公司的指控,指责它们"欺骗消费者",谎称"合理、适当的数据安全"。这些公司被指控的失误包括密码和防火墙操作不当,以及没有为过时的软件和系统打补丁。 

根据公布的命令,需要采取以下关键措施:

  • 建立、实施和维护全面的信息安全计划,其中包括加密、访问控制、多因素身份验证、漏洞管理和事件响应计划

  • 万豪必须制定政策,仅在合理必要的情况下保留个人信息,并在其网站上提供链接,供美国消费者申请删除其个人信息

  • 对IT资产实施日志记录和监控,以便在24小时内发现异常活动和安全事件

  • 在20年内每两年对信息安全计划进行一次独立评估,并向联邦贸易委员会报告任何已发现的漏洞。

  • 为美国消费者提供一种方法,以审查其忠诚奖励账户中可疑的未经授权的活动,并在出现漏洞时恢复这些积分

  • 在按规定向政府机构通报安全漏洞事件后10天内通知联邦贸易委员会

  • 联邦贸易委员会的命令要求万豪和喜达屋在命令生效之日起180天内(即2024年12月20日)实施所要求的全面信息安全计划和相关措施,最后期限为2025年6月17日。

    该命令的有效期为20年,并可在特定条件下延期。

    除了提高安全性外,这些公司现在还被禁止"虚假陈述其收集、维护、使用、删除或披露消费者个人信息的方式,以及公司保护个人信息的隐私性、安全性、可用性、保密性或完整性的程度"。其他要求还包括保留合规记录并接受联邦贸易委员会的检查。该命令的有效期为20年。

    就在联邦贸易委员会披露指控的同一天,康涅狄格州总检察长办公室宣布万豪公司已同意5200万美元的和解协议。

    责任编辑:站长云网