荷兰数据保护机构已罚款酒店预订网站预订网站预订网站475,000欧元(560,000美元)在发生后22天内向安全事件报告,违反欧盟GDPR规定,要求所有违规行为必须在72小时内披露。
根据罚款的副本,通过记录获得的,罚款是在2018年12月发生的安全违规行为之后,黑客获得了在阿拉伯联合酋长国40家酒店的员工的登录凭据。
当时,黑客访问了Booking.com平台,并收集了4,109人的细节,通过荷兰公司的网站预订了阿联酋酒店房间。
入侵者还查看了283人的支付卡数据,包括97张卡片的安全码,而荷兰官员表示,黑客也称为一些客户在播放作为Booking.com员工,以便收集额外的付款卡详细信息。
荷兰隐私看门狗表示,它被罚款公司是因为它在2019年1月13日违反了违约,而是仅在标准为期三天的GDPR违约报告截止日期后22天的通知当局。
“这是一个严重的违规行为,”荷兰数据保护机关副总裁Monique Verdier说。 “”如果您已经采取了良好的预防措施,遗憾的是,任何地方都可能发生数据泄露。但是为了防止损坏您的客户和这种数据泄露的重复,您必须及时报告。“
“我们感谢与荷兰DPA的开放式沟通,在此决定中提高了这一决定的清晰度和其他公司在GDPR下的严格及时的通知要求,”发言人在电子邮件中讲述了记录。
值得注意的是,荷兰DPA精确涉及对其这一事件的后期通知,并没有连接到Booking.com的安全实践,也不是关于事件的整体处理。事实上,DPA报告承认Booking.com的透明和开放处理这一事件,包括我们随后支持受影响的客户和合作伙伴,这导致他们实际降低了50,000欧元的标准罚款。
booking.com发言人
关于事件本身从2018年底开始,重要的是要注意,虽然在线诈骗者的Booking.com帐户登录详细信息,但在线诈骗者的少数酒店,但是没有妥协的代码或数据库的折衷平台。在2019年1月13日收到第一份可疑活动的报告后,我们开始努力了解并解决这个问题,但不幸的是,由于我们将在内部最受欢迎的情况下,这一问题没有升级,这导致了迟到的通知事件到荷兰DPA。因此,我们已经采取了额外的措施,以提高我们的合作伙伴和员工在重要的隐私措施和一般安全流程中提高认识和教育,同时还努力进一步优化内部报告渠道的速度和效率,这是一个持续和迭代的过程,让我们可以满足与DPA的报告截止日期。
booking.com发言人
Booking.com还告诉了他们在2019年2月4日之前通知了2018年12月4日违反的所有客户的记录,即使在通知DPA之前也是如此。
Booking.com被荷兰当局缴足,因为该公司在荷兰阿姆斯特丹合法注册,并在DPA的权威下落下。