Le 26 juillet 2022, les procureurs généraux du New Jersey, de Pennsylvanie, du Delaware, du Maryland, de Virginie, de Floride et de Washington DC ont annoncé un règlement multi-États de 8 millions de dollars avec Wawa Inc. qui résout l’enquête des États sur une violation de données de 2019 qui a compromis environ 34 millions de cartes de paiement utilisées par les consommateurs dans les magasins Wawa et les stations-service.
La violation de données a touché environ 850 sites Wawa dans le New Jersey, la Pennsylvanie, la Floride, le Delaware, le Maryland, la Virginie et Washington DC. La violation s’est produite après que des pirates ont eu accès au réseau informatique de Wawa en déployant des logiciels malveillants susceptibles d’avoir été ouverts par un employé de l’entreprise. Le logiciel malveillant a permis aux pirates d’obtenir des données de bande magnétique à partir de cartes traitées sur les terminaux de point de vente de Wawa à l’intérieur des magasins et à l’extérieur des pompes à carburant. Le logiciel malveillant a collecté les numéros de carte des clients, les dates d’expiration, les noms des titulaires de carte et d’autres données sensibles sur les cartes de paiement. Il n’a pas collecté les numéros PIN ou les codes CV2 des cartes de crédit (les codes de sécurité à trois ou quatre chiffres imprimés au dos de la carte), et les cartes de paiement utilisant la technologie à puce n’ont pas été compromises.
Les procureurs généraux ont allégué que Wawa n’avait pas utilisé de mesures raisonnables de sécurité des informations pour empêcher la violation de données, violant les lois de protection des consommateurs et des informations personnelles des États.
En plus de payer 8 millions de dollars, Wawa doit également améliorer ses pratiques de sécurité de l’information. Plus précisément, Wawa doit créer un programme complet de sécurité de l’information qui contient des mesures de protection administratives, techniques et physiques appropriées, y compris (1) la segmentation du réseau de son environnement de données de titulaire de carte ; (2) des mesures raisonnables pour détecter, enquêter, répondre et récupérer des incidents de sécurité dans un délai raisonnable ; (3) mise en œuvre raisonnable de contrôles d’accès aux informations personnelles (par exemple, authentification multifactorielle, codes d’accès à usage unique) ; (4) la mise en œuvre de contrôles de journalisation et de surveillance pour assurer la surveillance des journaux de sécurité de Wawa et de l’environnement des données des titulaires de carte ; et (5) des mesures pour assurer la conformité PCI DSS. De plus, le programme doit inclure : (1) des méthodes et des critères documentés pour gérer les risques liés à la sécurité de l’information ; (2) des évaluations annuelles complètes des risques des réseaux de Wawa où les informations de carte de paiement sont stockées ; et (3) une évaluation annuelle du programme avec un examen continu de l’efficacité du programme.
Le programme de sécurité de l’information doit être supervisé par un expert accrédité dans le domaine et inclure une formation de sensibilisation à la sécurité pour tout le personnel de Wawa.
Wawa doit subir une évaluation de la conformité de la sécurité des informations par un accesseur tiers dans un délai d’un an. L’évaluation doit (1) énoncer les garanties administratives, techniques et physiques spécifiques maintenues par Wawa ; (2) expliquer dans quelle mesure les garanties sont appropriées ; (3) expliquer dans quelle mesure les mesures de protection mises en œuvre satisfont aux exigences du programme de sécurité de l’information ; et (4) identifier l’évaluateur de sécurité qualifié de Wawa aux fins de la validation PCI DSS.
Indépendamment de ce règlement AG multi-États, Wawa a également réglé un recours collectif de consommateurs en avril 2022 qui a permis aux membres du groupe de recevoir environ 9 millions de dollars (sous forme d’espèces et de cartes-cadeaux) et Wawa a payé environ 3,2 millions de dollars pour couvrir les frais juridiques des plaignants. et dépenses.