近日,万豪国际集团因一系列数据泄露事件,同意支付3.6亿余元罚款,并与美国联邦贸易委员会(FTC)及49个州和哥伦比亚特区达成和解。这些泄露事件影响了全球超过3.44亿客户,暴露了他们的护照信息、支付卡号、电子邮件地址等敏感数据。
数据泄露事件回顾
2014年6月:喜达屋酒店首次发生数据泄露,涉及超过4万名客户的支付卡信息。
2014年7月至2018年9月:第二次大规模泄露,未加密的护照号码和其他敏感信息被非法访问,影响全球3.39亿客户。
2018年9月至2020年2月:第三次泄露事件,520万条客户记录被非法访问,包括180万美国人的数据。
FTC要求万豪实施全面的安全计划,并同意向所有美国客户提供删除个人信息的途径,并恢复被盗积分。此外,万豪还同意支付5200万美元罚款,以解决类似的数据安全指控。
根据和解协议,万豪同意采取以下措施加强数据安全:
实施全面的信息安全计划,包括零信任原则和定期向高层汇报安全情况。
采用数据最小化政策,减少收集和保留的消费者数据。
加强对供应商和特许经营商的监督,特别是对关键IT供应商的风险评估。
每两年进行一次独立第三方评估,为期20年,以确保信息安全计划的有效性。