Wawa Inc. règle une enquête sur une violation multi-États AG pour 8 millions de dollars

Le 26 juillet 2022, les procureurs généraux du New Jersey, de Pennsylvanie, du Delaware, du Maryland, de Virginie, de Floride et de Washington DC ont annoncé un règlement multi-États de 8 millions de dollars avec Wawa Inc. qui résout l’enquête des États sur une violation de données de 2019 qui a compromis environ 34 millions de cartes de paiement utilisées par les consommateurs dans les magasins Wawa et les stations-service.

La violation de données a touché environ 850 sites Wawa dans le New Jersey, la Pennsylvanie, la Floride, le Delaware, le Maryland, la Virginie et Washington DC. La violation s’est produite après que des pirates ont eu accès au réseau informatique de Wawa en déployant des logiciels malveillants susceptibles d’avoir été ouverts par un employé de l’entreprise. Le logiciel malveillant a permis aux pirates d’obtenir des données de bande magnétique à partir de cartes traitées sur les terminaux de point de vente de Wawa à l’intérieur des magasins et à l’extérieur des pompes à carburant. Le logiciel malveillant a collecté les numéros de carte des clients, les dates d’expiration, les noms des titulaires de carte et d’autres données sensibles sur les cartes de paiement. Il n’a pas collecté les numéros PIN ou les codes CV2 des cartes de crédit (les codes de sécurité à trois ou quatre chiffres imprimés au dos de la carte), et les cartes de paiement utilisant la technologie à puce n’ont pas été compromises.

Les procureurs généraux ont allégué que Wawa n’avait pas utilisé de mesures raisonnables de sécurité des informations pour empêcher la violation de données, violant les lois de protection des consommateurs et des informations personnelles des États.

En plus de payer 8 millions de dollars, Wawa doit également améliorer ses pratiques de sécurité de l’information. Plus précisément, Wawa doit créer un programme complet de sécurité de l’information qui contient des mesures de protection administratives, techniques et physiques appropriées, y compris (1) la segmentation du réseau de son environnement de données de titulaire de carte ; (2) des mesures raisonnables pour détecter, enquêter, répondre et récupérer des incidents de sécurité dans un délai raisonnable ; (3) mise en œuvre raisonnable de contrôles d’accès aux informations personnelles (par exemple, authentification multifactorielle, codes d’accès à usage unique) ; (4) la mise en œuvre de contrôles de journalisation et de surveillance pour assurer la surveillance des journaux de sécurité de Wawa et de l’environnement des données des titulaires de carte ; et (5) des mesures pour assurer la conformité PCI DSS. De plus, le programme doit inclure : (1) des méthodes et des critères documentés pour gérer les risques liés à la sécurité de l’information ; (2) des évaluations annuelles complètes des risques des réseaux de Wawa où les informations de carte de paiement sont stockées ; et (3) une évaluation annuelle du programme avec un examen continu de l’efficacité du programme.

Le programme de sécurité de l’information doit être supervisé par un expert accrédité dans le domaine et inclure une formation de sensibilisation à la sécurité pour tout le personnel de Wawa.

Wawa doit subir une évaluation de la conformité de la sécurité des informations par un accesseur tiers dans un délai d’un an. L’évaluation doit (1) énoncer les garanties administratives, techniques et physiques spécifiques maintenues par Wawa ; (2) expliquer dans quelle mesure les garanties sont appropriées ; (3) expliquer dans quelle mesure les mesures de protection mises en œuvre satisfont aux exigences du programme de sécurité de l’information ; et (4) identifier l’évaluateur de sécurité qualifié de Wawa aux fins de la validation PCI DSS.

Indépendamment de ce règlement AG multi-États, Wawa a également réglé un recours collectif de consommateurs en avril 2022 qui a permis aux membres du groupe de recevoir environ 9 millions de dollars (sous forme d’espèces et de cartes-cadeaux) et Wawa a payé environ 3,2 millions de dollars pour couvrir les frais juridiques des plaignants. et dépenses.

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners. View more
Cookies settings
Accept
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active
diudei.fr Photo de la page Informations légales

Politique de confidentialité:

CGU certifiées à la RGPD

Quelle durée de mémorisation de vos données:

Au cas où vous enregistrez un texte, le texte et ses données complémentaires sont classés indéfiniment. Cela suppose de rapporter et approuver mécaniquement les commentaires consécutifs au lieu de les maintenir dans la queue de modération.Lorsque les espaces personnels qui s’inscrivent sur notre site (au cas où), nous sauvegardons aussi les informations privées signalées dans leur espace privatif. La totalité des espaces individuels savent voir, modifier ou supprimer leurs datas privées n'importe quand. Les responsables du site peuvent aussi agir sur ces datas.

Protection sur vos informations:

Au cas où vous avez un profil ou si vous avez laissé des commentaires sur le site, vous pouvez de demander à réceptionner un dossier numérique introduisant toutes les données individuelles que nous détenons à votre propos, contenant celles que vous nous avez partagées. Vous avez le droit également de réclamer l'effacement des informations personnelles à votre sujet. Cette fonctionnalité ne concerne pas les informations engrangées à des fins de statistiques, légales ou avec pour objectif de sécurité.

Médias:

Si vous uploadez des photographies sur le site, nous vous recommandons de ne pas le faire des photos incluant des tags EXIF de positionnement GPS. Les personnes surfant sur ce site ont la possibilité de capter des informations de détection à partir de ces fichiers.

Utilisation de vos données privatives:

Tous commentaires des internautes peuvent être contrôlés en utilisant un système mécanisé de détection des commentaires suspects.

Contenu emporté depuis d’autres sites:

Les posts de ce site sont susceptibles d'insérer des datas placées (par exemple des vidéos, images, passages…). Le contenu embarqué à partir d’autres sites se comporte de la même manière que si l'utilisateur explorait cet autre site.Ces sites web ont la possibilité de charger des datas vous concernant, utiliser des cookies, télécharger des programmes de contrôles autres, poursuivre vos interventions avec ces contenus emportés si vous avez un compte interfacé sur leur site internet.

Emploi et communication de vos informations privées:

Lorsque vous voulez une désactivation de votre password, votre adresse IP sera comprise dans l’e-mail de désactivation.

A propos des cookies:

Lorsque vous déposez un texte sur le site, vous serez amenés à enregistrer votre nom, e-mail et site dans des cookies. C’est uniquement pour votre facilité d'utilisation afin de ne pas avoir à redonner ces informations si vous déposez un nouveau texte ultérieurement. Ces cookies cessent au terme d’un an.Quand vous vous rendez sur la partie de connexion, un cookie transitoire va se provoqué afin de repérer si votre programme de navigation admets les cookies. Il ne comprend pas de datas privatives et sera ôté automatiquement dès vous arrêterez votre logiciel de navigation.Au cas où vous vous connectez, nous animons certains cookies afin d'identifier vos datas de connexion et vos préférences d'utilisation. La longévité d'existence d’un cookie de connexion est de deux jours, celle d’un cookie de navigation est de l'ordre de l'année. Au cas où vous validez « Se souvenir de moi », le cookie de l'enregistrement sera stocké durant plusieurs jours. Au cas où vous vous déconnectez de votre espace personnel, le cookie de login sera perdu.Au cas où vous modifiez ou en publiant une page, un cookie additif sera admis dans votre logiciel de navigation. Ce cookie n'est constitué d'aucune information privée. Il dit simplement le numéro de l'article que vous avez décidé de corriger. Il disparaît au bout de 24 heures.

Les textes :

Quand vous écrivez un texte sur ce site, les données insérées dans le formulaire électronique, ainsi que votre adresse IP et l’agent usager de votre logiciel de navigation sont collectés avec pour objectif de nous donner la possibilité de détecter des textes interdits.

Save settings
Cookies settings