Local Menu

Schneiderman Anuncia Acuerdo De $ 700,000 Con Hilton Tras Violación De Datos Que Expuso A Cientos De Miles De Números De Tarjetas De Crédito

Hilton acuerda proporcionar un aviso oportuno a los consumidores sobre futuros incumplimientos, reformar sus prácticas de seguridad de datos y llevar a cabo evaluaciones periódicas de su programa de seguridad de datos

NUEVA YORK - El Fiscal General Eric T. Schneiderman anunció hoy un acuerdo de $700,000 con Hilton Domestic Operating Company, Inc., anteriormente conocido como Hilton Worldwide, Inc. ("Hilton"), después de incidentes de seguridad de datos exponiendo a más de 350,000 números de tarjetas de crédito en dos infracciones en 2015. La investigación del Fiscal General Schneiderman, realizada en colaboración con la oficina del Fiscal General de Vermont, reveló que Hilton no proporcionó a los consumidores un aviso oportuno y no mantuvo una seguridad de datos razonable.

"Las empresas tienen el deber de notificar a los consumidores en caso de incumplimiento y proteger su información personal de la manera más segura posible", dijo el Fiscal General Schneiderman. "Las prácticas de seguridad laxas como las que descubrimos en Hilton ponen en grave riesgo la información de la tarjeta de crédito y otros datos personales de los neoyorquinos. Mi oficina continuará haciendo rendir cuentas a las empresas que no protegen la información personal de sus clientes".

Hilton es una de las empresas hoteleras más grandes del mundo, con una cartera de 14 marcas que comprende más de 4,900 propiedades con más de 796,000 habitaciones en 104 países y territorios. La compañía posee, gestiona u otorga una franquicia de una cartera de marcas que incluye Hilton Hotels & Resorts, Waldorf Astoria Hotels & Resorts, Conrad Hotels & Resorts, DoubleTree by Hilton, Embassy Suites by Hilton, Hilton Garden Inn, Homewood Suites by Hilton y Hilton Grand Vacations.

El 10 de febrero de 2015, Hilton supo por parte un proveedor de servicios informáticos que un sistema que Hilton utilizaba en el Reino Unido se estaba comunicando con una computadora sospechosa fuera de la red informática de Hilton. Una investigación forense reveló “malware” que tenía como blanco a las tarjetas de crédito que potencialmente exponía los datos de los titulares de tarjetas entre el 18 de noviembre y el 5 de diciembre de 2014.

El 10 de julio de 2015, Hilton se enteró de una segunda violación a través de un sistema de detección de intrusos. Una investigación forense encontró más malware diseñado para robar información de la tarjeta de crédito. Descubrió que los datos de la tarjeta de crédito staban potencialmente expuestos desde el 21 de abril de 2015 hasta el 27 de julio de 2015, así como la evidencia de 363,952 números de tarjetas de crédito agregados para ser robados por los atacantes.

Hilton no dio aviso hasta el 24 de noviembre de 2015, más de nueve meses después de que se descubriera la primera intrusión. Mientras que Hilton alegó que no había evidencia del robo de los datos del titular de la tarjeta, el investigador forense no pudo revisar todos los registros relevantes y los intrusos usaron herramientas anti-forenses para ocultar sus huellas.

De conformidad con la Ley General de Negocios de Nueva York § 899-aa (2), cualquier persona o empresa que posea o licencie datos informáticos que incluyan "información privada", un término que incluye el nombre de una persona y el número de tarjeta de crédito, revelará cualquier incumplimiento de la seguridad del sistema después del descubrimiento a cualquier residente de Nueva York cuya información fue, o se cree razonablemente que ha sido, adquirida por una persona sin una autorización válida. La divulgación debe hacerse en el "tiempo más conveniente posible y sin demoras irrazonables". Hilton no dio aviso a los consumidores en el tiempo más oportuno posible y sin demoras irrazonables.

La investigación encontró que Hilton tampoco cumplía con ciertos requisitos del Estándar de seguridad de datos de la industria de tarjetas de credito ("PCI DSS"). PCI DSS es un estándar de seguridad de la información para organizaciones que procesan tarjetas de crédito de marca de las principales compañías de tarjetas, incluidas Visa, MasterCard, American Express, Discover y JCB. El estándar es ordenado por las marcas de tarjetas y es administrado por el Consejo de estándares de seguridad de la industria de tarjetas de crédito para garantizar que los datos de los titulares de las tarjetas se procesen en un ambiente seguro.

La Ley Ejecutiva de Nueva York § 63 (12) y la Ley de Negocios Generales de Nueva York §§ 349 y 350 prohíben actos o prácticas engañosas en la conducción de negocios. Hilton les explicó a sus clientes que mantendría su información personal, como la información de su tarjeta de crédito, utilizando una seguridad de datos razonable. Por ejemplo, la Declaración de privacidad global de Hilton en el sitio web de Hilton (www.hilton.com) establece que Hilton "tomará medidas razonables para: (1) proteger la información personal del acceso no autorizado, divulgación, alteración o destrucción y (ii) mantener la información personal precisa y actualizado según corresponda. "La política define ampliamente la información personal de los clientes para incluir, entre otras cosas, el nombre, la dirección y la información de la tarjeta de pago. Hilton también indicó que mantendría la información personal de sus clientes "segura". Por ejemplo, al iniciar sesión en Hilton.com, los miembros reciben inmediatamente una declaración que dice "Su información es segura" con un hiperenlace a la Declaración de Privacidad Global de Hilton. Al violar las representaciones expresas e implícitas de la seguridad razonable de los datos, Hilton violó la Ley Ejecutiva de Nueva York § 63 (12) y la Ley General de Negocios de Nueva York secciones 349 y 350.

El acuerdo requiere que Hilton brinde un aviso inmediato a los consumidores afectados por una infracción, mantenga un programa integral de seguridad de la información y realice evaluaciones de seguridad de datos de la siguiente manera:

Notificar a los consumidores

Hilton acordó notificar a los residentes de Nueva York afectados y a la oficina del Fiscal General de una infracción que involucre información privada que cumpla con, y como se define en, GBL sección 899-aa. Para determinar si la información "ha sido adquirida, o se cree razonablemente que se ha adquirido" conforme a GBL sección 899-aa (2), Hilton debe considerar toda la información razonablemente disponible para ella, incluyendo, entre otras cosas, (i) indicaciones que la información se encuentra en la posesión física y el control de una persona sin una autorización válida, como una computadora perdida o robada u otro dispositivo que contenga información; (ii) indicaciones de que la información ha sido descargada o copiada; (iii) indicaciones de que la información fue utilizada por una persona no autorizada, como cuentas abiertas fraudulentas o informes de casos de robo de identidad; (iv) que la información se ha hecho pública; y (v) evidencia de malware en sus sistemas informáticos diseñados para recopilar datos de titulares de tarjetas.

Programa integral de seguridad de la información 

Hilton aceptó diseñar y mantener un programa integral de seguridad de la información diseñado para proteger los datos de los titulares de tarjetas de crédito, incluyendo:

  1. designar a un empleado para coordinar y supervisar su programa de seguridad de la información;
  2. identificar los riesgos materiales internos y externos para la seguridad de la información que podrían conducir a la divulgación no autorizada, uso indebido, pérdida, alteración, destrucción u otro compromiso de la información;
  3. implementar salvaguardas razonables para controlar esos riesgos; y realizar pruebas o monitoreo regulares de la efectividad de las salvaguardas;
  4. Desarrollar y usar pasos razonables para seleccionar y retener proveedores de servicios capaces de salvaguardar apropiadamente los datos del titular de la tarjeta y exigir contractualmente a dichos proveedores de servicios que también implementen y mantengan las salvaguardas apropiadas para la información,  y
  5. evaluar el programa de seguridad de la información de Hilton y ajustarlo según las pruebas o los resultados de monitoreo u otras circunstancias (incluidos cambios materiales en las operaciones o acuerdos comerciales de Hilton) que Hilton sepa, o que una entidad que actúe razonablemente bajo las circunstancias lo sepa, puede tener un impacto material sobre la efectividad del programa.

Evaluaciones de datos del titular de la tarjeta

Hilton acordó obtener anualmente una evaluación escrita del alcance de su cumplimiento con las PCI DSS e informar al Fiscal General si no cumple completamente.

Nueva York recibirá $ 400,000 del acuerdo y Vermont recibirá el resto. Este caso fue manejado por el Jefe de la Oficina del Buró de Internet y Tecnología Clark Russell y el Fiscal Adjunto Noah Stein, bajo la supervisión de la Jefa del Buró Kathleen McGee. El Buró de Internet y Tecnología es supervisado por la Fiscal General Adjunta Ejecutiva de Justicia Económica, Manisha M. Sheth.