Federal Ticaret Komisyonu (FTC), büyük veri ihlallerine yol açan başarısızlıkların ardından Marriott International ve Starwood Hotels’e sağlam bir müşteri veri güvenliği planı tanımlamaları ve uygulamaları talimatını verdi.
2016 yılında Starwood’u satın aldıktan ve “makul veri güvenliği” uygulama konusunda başarısız olduktan sonra Marriott International, dünya çapında 344 milyon müşteriyi etkileyen üç büyük veri ihlaliyle karşı karşıya kaldı.
Daha güçlü önlemler için talimat verin
Şimdi FTC, Marriott ve yan kuruluşu Starwood’a, müşterilerin hassas verilerini bilgisayar korsanlarından koruyacak ve onlara verileri üzerinde daha iyi kontrol sağlayacak bir güvenlik programı kurmalarını emretti.
Yayımlanan emre göre aşağıdaki temel önlemlerin alınması gerekiyor:
- Şifreleme, erişim kontrolleri, çok faktörlü kimlik doğrulama, güvenlik açığı yönetimi ve olay müdahale planlarını kapsayan kapsamlı bir bilgi güvenliği programı oluşturun, uygulayın ve sürdürün
- Marriott, kişisel bilgileri yalnızca kendi amaçları için makul ölçüde gerekli olduğu sürece saklamaya yönelik politikalar uygulamalı ve ABD’li tüketicilerin kişisel bilgilerinin silinmesini talep edebilmeleri için web sitesine bir bağlantı eklemelidir.
- Anormal etkinlikleri ve güvenlik olaylarını 24 saat içinde tespit etmek için BT varlıklarının günlüğe kaydedilmesini ve izlenmesini uygulayın
- Bilgi güvenliği programının 20 yıl boyunca iki yılda bir bağımsız değerlendirmelerini yapın ve tespit edilen eksiklikleri FTC’ye bildirin.
- ABD’li tüketicilere sadakat ödülü hesaplarındaki şüpheli yetkisiz etkinlikleri incelemeleri ve ihlal durumunda bu puanları geri yüklemeleri için bir yöntem sağlamak
- Güvenlik ihlalleriyle ilgili devlet kurumlarına yapılacak gerekli bildirimleri 10 gün içinde FTC’ye bildirin
FTC emri, Marriott ve Starwood’un gerekli kapsamlı bilgi güvenliği programını ve ilgili önlemleri, emrin yürürlüğe girdiği 20 Aralık 2024 tarihinden itibaren 180 gün içinde uygulamasını zorunlu kılıyor ve son tarihi 17 Haziran 2025 olarak belirliyor.
Karar, belirli koşullar altında uzatma seçeneğiyle birlikte 20 yıl süreyle yürürlükte kalacak.
Geçmiş olaylar
2014 yılında Starwood’un ödeme sistemleri saldırıya uğradı, müşteri verileri açığa çıktı ve ifşa edilmesi 14 ay gecikti.
2014 ile 2018 yılları arasında süren bir başka ihlal, şifrelenmemiş pasaport numaraları da dahil olmak üzere 339 milyon misafir kaydının ele geçirilmesini sağladı. Olay, yalnızca rezervasyon veritabanı 2014’ten bu yana ihlal edilen Starwood tesislerindeki konukları etkiledi ve Marriott, Starwood’u satın aldığında uzlaşmayı devraldı.
2018’de bilgisayar korsanları 5,2 milyon Marriott misafirinin verilerine erişti, ancak bu yalnızca 2020’de tespit edildi; tespit ve ifşa etmedeki gecikme, müşterileri tüm zaman boyunca savunmasız bıraktı.
Ekim 2024’te Marriott, yukarıdaki başarısızlıklar nedeniyle FTC ile anlaştı ve bu veri ihlalleriyle ilgili iddiaları çözmek için 49 eyalete 52.000.000 ABD Doları ödemeyi kabul etti.