Marriott International ve bağlı kuruluşu Starwood Hotels, 344 milyondan fazla müşteriyi etkileyen veri ihlallerine yönelik çözümlerin bir parçası olarak 52 milyon dolar ödeyecek ve kapsamlı bir bilgi güvenliği programı oluşturacak.
Anlaşma, Marriott ve Starwood’un kapsamlı bir güvenlik programı uygulamasını ve ABD’deki müşterilerinin kişisel verilerinin silinmesini talep etmelerine izin vermesini gerektiriyor.
Ek olarak Amerikan konaklama devi, veri ihlalleriyle ilgili iddiaları çözüme kavuşturmak için 49 eyalete 52.000.000 dolar ödemeyi kabul etti.
Marriot’un birçok veri ihlali
Marriott International, 130 ülkede 7.000’den fazla mülk işleten, geniş bir otel ve konaklama tesisi portföyünü yöneten ve franchise veren bir konaklama şirketidir.
Starwood, 2016 yılında Marriott tarafından satın alınana kadar bir Amerikan otel ve eğlence şirketiydi ve Marriott, veri güvenliği ve ilgili otel operasyonlarından sorumluydu.
FTC’nin duyurusu, Marriott’un müşterilerinin bilgilerini korumada başarısız olduğu üç duruma dikkat çekiyor.
Haziran 2014’te Starwood, birçok müşterisinin ödeme kartı bilgilerinin açığa çıktığı bir veri ihlali yaşadı. İhlal 14 ay sonra fark edildi ve kamuya açıklandı; etkilenen müşteriler bir yıldan fazla bir süre boyunca yüksek risklere maruz kaldı.
İkinci olay, bilgisayar korsanlarının 5,25 milyon şifrelenmemiş pasaport numarası da dahil olmak üzere 339 milyon Starwood misafir hesabı kaydına erişmesiyle ilgili. Bu ihlal Temmuz 2014’te meydana geldi ancak Eylül 2018’de tespit edildi ve müşteriler yine birkaç yıl boyunca açıkta kaldı.
Üçüncü ihlal, kötü niyetli kişilerin Eylül 2018’de 5,2 milyon misafirin kayıtlarına eriştiği Marriott’u da etkiledi. Açığa çıkan veriler arasında isimler, e-posta adresleri, posta adresleri, telefon numaraları, doğum tarihleri ve sadakat hesabı bilgileri yer alıyordu.
Bu durumda da Marriott’un uzlaşmayı keşfetmesi ve müşterilerini buna göre bilgilendirmesi Şubat 2020’ye kadar sürdü.
Yerleşim
FTC, iki şirketi tüketicileri veri güvenliği uygulamaları konusunda yanıltmakla ve zayıf şifre kontrolleri, güncel olmayan yazılımlar ve BT ortamının uygun şekilde izlenmemesi gibi hataları özetlemekle suçluyor.
Anlaşma anlaşmasının bir parçası olarak Marriott ve bağlı kuruluşu Starwood’un artık aşağıdaki önlemleri uygulaması gerekecek:
- Her iki yılda bir üçüncü taraf değerlendirmeleri ve 20 yıl boyunca yıllık uyumluluk sertifikası ile kapsamlı bir bilgi güvenliği programı oluşturun.
- Veri saklamayı gerekli olanla sınırlandırın ve müşterilerinize verilerini toplama ve saklama nedeni konusunda bilgi verin.
- Müşterilerin sadakat hesaplarındaki yetkisiz etkinliklerin incelenmesini talep etmelerine ve çalınan puanları geri yüklemelerine olanak tanıyın.
- Müşterilerin, e-posta veya sadakat hesaplarına bağlı kişisel bilgilerin silinmesini talep edebilmeleri için bir yol sağlayın.
- Kişisel verilerin nasıl işlendiği konusunda yanlış beyanda bulunulmasını yasaklayın ve güvenlik uygulamalarında şeffaflığı sağlayın.
Marriott ayrıca 49 eyalet ve Columbia Bölgesi ile eşzamanlı olarak duyurulan ve yukarıdaki güvenlik olaylarıyla ilgili iddia ve iddiaları çözüme kavuşturmak için 52.000.000 ABD Doları ödemeyi kabul eden ayrı bir anlaşmaya da vardı.