Le procureur général James obtient 200 000 dollars du producteur de casquettes et de robes d'étudiants Herff Jones pour la violation des données.
Herff Jones doit renforcer les mesures de sécurité des données pour protéger les consommateurs
NEW YORK - Letitia James, procureur général de l'État de New York, a obtenu aujourd'hui 200 000 dollars de la part de Herff Jones, producteur de casquettes et de robes de chambre pour étudiants, pour ne pas avoir protégé les informations personnelles des consommateurs. En avril 2021, une violation de données a exposé les informations de cartes de crédit de milliers de consommateurs de Herff Jones, dont plus de 40 000 New-Yorkais, la majorité d'entre eux étant des étudiants. Une enquête menée par le bureau du procureur général (OAG) et le bureau du procureur général de Pennsylvanie a révélé que Herff Jones n'avait pas mis en œuvre des mesures raisonnables de sécurité des données pour protéger les informations des consommateurs au moment de la violation. En vertu de l'accord conclu aujourd'hui, Herff Jones doit payer une amende de 200 000 dollars à New York et à la Pennsylvanie et renforcer la sécurité de ses données en ligne.
"Herff Jones a transformé des événements marquants en désordre pour des milliers d'étudiants dont les informations personnelles ont été volées en ligne en raison de mauvaises mesures de sécurité des données", a déclaré James, procureur général de . "Les consommateurs qui ont acheté des bagues de classe et d'autres souvenirs de fin d'études ont vu leurs informations personnelles tomber dans de mauvaises mains. Les entreprises ont l'obligation de donner la priorité à la sécurité des données numériques de leurs clients et cet accord obligera Herff Jones à renforcer ses mesures de sécurité des données. Je remercie le procureur général de Pennsylvanie, M. Shapiro, pour sa collaboration à cet effort."
"La protection des informations personnelles et des données financières des Pennsylvaniens est une priorité essentielle de mon bureau", a déclaré Josh Shapiro, procureur général de Pennsylvanie . "Toutes les entreprises qui font des affaires en Pennsylvanie doivent rester vigilantes et protéger les données personnelles de leurs clients, faute de quoi elles devront répondre de leurs actes devant mon bureau au tribunal. Les termes de l'accord conclu aujourd'hui aideront Herff Jones à mieux protéger les informations personnelles des consommateurs".
Herff Jones est un producteur et vendeur d'annuaires, de bagues de classe, de casquettes et de robes, et d'autres souvenirs de fin d'études. En avril 2021, la société a été informée par l'un de ses processeurs de paiement qu'un certain nombre de cartes remontant à Herff Jones avaient été trouvées sur trois sites web différents connus pour vendre des données de cartes de paiement volées. Une enquête médico-légale a révélé que le 15 décembre 2020, un pirate informatique inconnu a exploité une vulnérabilité dans les serveurs Web de Herff Jones, ce qui lui a permis de voler les informations relatives aux cartes de paiement et autres informations personnelles de plus de 206 000 clients, dont 49 228 étaient des résidents de New York.
Herff Jones a déclaré à ses clients qu'elle maintenait des mesures de sécurité administratives, techniques et physiques pour les protéger contre la perte, l'utilisation abusive et/ou l'altération de leurs informations. Toutefois, l'enquête du BVG a révélé que Herff Jones n'était pas en conformité avec les exigences de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). En conséquence de l'accord conclu aujourd'hui, Herff Jones doit payer une pénalité de 200 000 dollars, qui sera répartie entre New York et la Pennsylvanie. L'accord conclu aujourd'hui oblige également Herff Jones à renforcer et à maintenir des politiques de sécurité raisonnables pour protéger les informations personnelles des consommateurs.
Cet accord est le dernier en date des efforts continus du procureur général James pour protéger les consommateurs et tenir les entreprises responsables des mesures de sécurité des données insuffisantes ou trompeuses. En novembre, le procureur général James et une coalition de plusieurs États ont obtenu une somme record de 391,5 millions de dollars de Google pour avoir trompé des millions d'utilisateurs sur le suivi de leurs données de localisation. En octobre, le procureur général James a obtenu 1,9 million de dollars du propriétaire du site de commerce électronique SHEIN pour ne pas avoir protégé les données des consommateurs. En juin, le procureur général James a récupéré 1,25 million de dollars pour les consommateurs touchés par la violation de données de la compagnie de croisière Carnival.
Cette affaire a été traitée par le procureur général adjoint Jina John et le chef de bureau adjoint Clark Russell, sous la supervision du chef de bureau du bureau de l'Internet et de la technologie Kim Berger. Le Bureau de l'Internet et de la technologie est supervisé par le procureur général adjoint en chef pour la justice économique, Chris D'Angelo, et le premier procureur général adjoint, Jennifer Levy.