SAINT PAUL, MN
El fiscal general Keith Ellison anunció hoy que él y una coalición de 50 fiscales generales llegaron a un acuerdo con Marriott International, Inc. como resultado de una investigación sobre una importante filtración de datos que duró varios años de una de sus bases de datos de reservas de huéspedes.
La Comisión Federal de Comercio, que ha estado coordinando estrechamente con los estados a lo largo de esta investigación, llegó a un acuerdo paralelo con Marriott. En virtud del acuerdo con los fiscales generales, Marriott acordó fortalecer sus prácticas de seguridad de datos utilizando un enfoque dinámico basado en el riesgo, brindar ciertas protecciones al consumidor y realizar un pago de $52 millones a los estados. Minnesota recibirá $814,847.00 del acuerdo.
“Las violaciones de datos pueden poner a los habitantes de Minnesota en mayor riesgo de robo de identidad, estafas dirigidas y muchos otros tipos de daños financieros”, dijo el Fiscal General Ellison. “Es inaceptable que esta violación haya pasado desapercibida durante más de cuatro años. Los habitantes de Minnesota esperan que empresas como Marriott protejan sus datos y tengan las salvaguardas adecuadas para detectar y mitigar el daño de una violación de seguridad. El acuerdo de hoy garantizará que Marriott fortalezca su infraestructura de ciberseguridad, y la multa que Marriott está pagando muestra a otros que descuidar la seguridad de los datos tiene consecuencias”.
Marriott adquirió Starwood en 2016 y tomó el control de la red informática de Starwood en 2016. Sin embargo, desde julio de 2014 hasta septiembre de 2018, los intrusos en el sistema pasaron desapercibidos. Esto llevó a la filtración de 131,5 millones de registros de huéspedes de clientes en los Estados Unidos. Los registros robados incluían información de contacto, género, fechas de nacimiento, información heredada de Starwood Preferred Guest, información de reservas y preferencias de estadía en hoteles, así como una cantidad limitada de números de pasaportes sin cifrar e información de tarjetas de pago vigentes.
Poco después de que se anunciara la violación de la base de datos de Starwood, una coalición de 50 fiscales generales estatales inició una investigación multiestatal sobre la violación. El acuerdo de hoy resuelve las acusaciones de la coalición de que Marriott violó las leyes estatales de protección al consumidor, las leyes de protección de la información personal y, cuando correspondía, las leyes de notificación de violaciones al no implementar una seguridad de datos razonable ni remediar las deficiencias de seguridad de datos, en particular al intentar utilizar e integrar Starwood en sus sistemas.
Según los términos del acuerdo , Marriott se comprometió a fortalecer y mejorar continuamente sus prácticas de ciberseguridad. Algunas de las medidas específicas incluyen:
- Implementación de un Programa integral de seguridad de la información, que incluye nuevos mandatos generales del programa de seguridad, como la incorporación de principios de confianza cero, informes de seguridad periódicos a los niveles más altos dentro de la empresa, incluido el director ejecutivo, y una mejor capacitación de los empleados sobre manejo y seguridad de datos.
- Requisitos de minimización y eliminación de datos, que darán lugar a que se recopilen y conserven menos datos de los consumidores.
- Requisitos de seguridad específicos con respecto a los datos del consumidor, incluido el fortalecimiento de los componentes, la realización de un inventario de activos, el cifrado, la segmentación para limitar la capacidad de un intruso de moverse a través de un sistema, la gestión de parches para garantizar que los parches de seguridad críticos se apliquen de manera oportuna, la detección de intrusiones, los controles de acceso de usuarios y el registro y monitoreo para realizar un seguimiento del movimiento de archivos y usuarios dentro de la red.
- Mayor supervisión de proveedores y franquiciados, con especial énfasis en las evaluaciones de riesgos para “proveedores de TI críticos” y contratos claramente definidos con proveedores de la nube.
- Una evaluación independiente del programa de seguridad de la información de Marriott cada dos años durante un período de 20 años para una supervisión de seguridad adicional.
Estos términos del acuerdo se basan en un enfoque basado en el riesgo bien desarrollado, en el que Marriott no solo debe realizar una evaluación anual de riesgos a nivel empresarial, sino que también debe realizar análisis de riesgos durante todo el año para detectar cambios en los controles de seguridad. Esas evaluaciones de riesgos constantes deben abordar el criterio de “daño a terceros”, que incluiría el daño potencial a los consumidores.
Como parte del acuerdo, Marriott brindará a los consumidores protecciones específicas, incluida una opción de eliminación de datos, incluso si los consumidores actualmente no tienen ese derecho según la ley estatal. Los consumidores de Minnesota disfrutarán de este derecho y otros cuando la Ley de Privacidad de Datos del Consumidor de Minnesota entre en vigencia el 31 de julio de 2025. Marriott también debe ofrecer autenticación multifactor a los consumidores para sus cuentas de recompensas de fidelidad, como Marriott Bonvoy, así como revisiones de esas cuentas si hay actividad sospechosa.
Marriott acepta además que si adquiere otra entidad, deberá evaluar el programa de seguridad de la información de la entidad adquirida y desarrollar planes para abordar las brechas o deficiencias identificadas en la seguridad como parte de la integración a la red de Marriott.
Las violaciones de datos están aumentando. Los consumidores de Minnesota pueden desear congelar su crédito para protegerse contra el robo de identidad. Una congelación de crédito impide que los acreedores, como bancos o prestamistas, accedan a los informes crediticios de las personas. Esto evitará que los ladrones de identidad obtengan nuevos préstamos o tarjetas de crédito a nombre de los consumidores porque los acreedores no aprobarán sus préstamos o solicitudes de crédito si no pueden acceder primero a sus informes crediticios. Por ley, una agencia de crédito debe permitirle colocar, levantar temporalmente o eliminar una congelación de crédito de forma gratuita.
Cuando los consumidores congelan su crédito con cada agencia, estas les envían un número de identificación personal. Los consumidores pueden usar ese PIN para descongelar su crédito si quieren solicitar un préstamo o una tarjeta de crédito. Los consumidores también pueden usar el PIN para congelar su crédito nuevamente después de haber solicitado préstamos o una nueva tarjeta de crédito.