Fiscal General James Anuncia Acuerdo por $1.5 Millones con Tienda Neiman Marcus sobre Violación de Datos

NUEVA YORK – La Fiscal General Letitia James anunció hoy que Neiman Marcus Group LLC ha acordado pagar $1.5 millones e implementar una serie de políticas de seguridad de datos para resolver una investigación con 43 estados y el Distrito de Columbia sobre violación de datos de las tarjetas de pago de clientes en 2013 en 77 tiendas minoristas Neiman Marcus en los Estados Unidos.

En enero de 2014, Neiman Marcus reveló que datos de las tarjetas pago recopilados en varias de sus tiendas minoristas habían sido comprometidos por un tercero desconocido. La investigación de los estados determinó que aproximadamente 370,000 tarjetas de pago, aproximadamente 27,600 de las cuales estaban asociadas con consumidores de Nueva York, se vieron comprometidas en dicha violación, que tuvo lugar durante varios meses en 2013. Al menos 9,200 de las tarjetas de pago comprometidas en las infracciones fueron utilizadas de manera fraudulenta.

"Los neoyorquinos merecen comprar con confianza, lo que incluye confiar en que su información personal estará protegida", dijo la Fiscal General Letitia James. “Con el acuerdo monetario y la implementación de varias políticas nuevas de seguridad de datos, este caso marca una importante victoria para aquellos que compran en Nueva York. Esta oficina continuará su compromiso de combatir la falta de seguridad adecuada de los datos en el estado de Nueva York”.

Además del acuerdo monetario, Neiman Marcus ha acordado una serie de disposiciones cautelares destinadas a prevenir infracciones similares en el futuro, que incluyen:

  • Cumplir con los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS);
  • Mantener un sistema apropiado para recopilar y monitorear la actividad de su red, y asegurarse de que los registros se revisen y supervisen periódicamente;
  • Mantener acuerdos de trabajo con dos investigadores forenses independientes y calificados de la industria de tarjetas de pago.
  • Actualizar todo el software asociado con el mantenimiento y la protección de la información personal, y crear planes escritos para el reemplazo o el mantenimiento del software que está llegando a su fecha de finalización de la vida útil o al final de la asistencia técnica;
  • Implementar los pasos apropiados para revisar las tecnologías de seguridad de pago aceptadas en la industria relevantes para el negocio de la compañía; y
  • Devaluar la información de la tarjeta de pago, utilizando tecnologías como el “cifrado” y la “tokenización”, para proteger los datos de la tarjeta de pago.

En virtud del acuerdo, Neiman Marcus también debe contratar a un profesional externo para que realice una evaluación y reporte de seguridad, y para detallar cualquier acción correctiva que la empresa haya tomado o planee tomar como resultado del reporte.

La parte del pago del acuerdo a Nueva York es de $58,611.60.

Este caso fue manejado por el Jefe Adjunto de la Oficina de Internet y Tecnología, Clark Russell, bajo la supervisión de la Jefa de la Oficina, Kim Berger.