ICO a amendat o companie cu 400.000 lire pentru un incident de securitate

Ruxandra Sava

În data de 8 ianuarie 2017, Autoritatea de Supraveghere din UK (ICO) a amendat cu 400 000 de lire sterline compania de telecomunicații The Car Phone Warehouse Limited pentru un incident de securitate (atac cibernetic) din anul 2015. ICO a constatat că societatea nu a reușit să ia măsurile adecvate pentru a proteja datele personale pe care le deținea în sistemul său.

Între iulie și august 2015, sistemul de găzduire al companiei, care includea datele personale a peste 3.348.000 de clienți și 1000 angajați (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.

ICO a constatat că atacul a fost posibil datorită deficiențelor de securitate ale companiei, care includeau:

software-ul sistemului nu a fost actualizat de câțiva ani;
nu au fost luate măsuri pentru a verifica dacă actualizările software au fost implementate în conformitate cu politica companiei;
compania nu a dispus de măsuri pentru a controla credentialele de acces;
nu au fost luate măsuri adecvate de scanare a vulnerabilității și de testare a penetrării;
compania nu avea nici o aplicație firewall pentru monitorizarea traficului către și din aplicațiile sale web, contrar standardelor de securitate acceptate;
serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei și standardelor de securitate acceptate;
sistemul de operare de pe servere avea aceeași parolă partajată de mai mult de 30 de angajați;
datele cu caracter personal au fost colectate fără motive întemeiate și au fost luate măsuri inadecvate pentru securizarea acestora; și
parolele de criptare nu au fost stocate în siguranță.

ICO a concluzionat că aceste fapte au reprezentat o încălcare multilaterală a principiului 7 privind protecția datelor, inclus în Legea privind protecția datelor din 1998, care prevede că trebuie luate măsuri tehnice și organizatorice adecvate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale, distrugerii sau deteriorării datelor personale.

ICO, în anunțul public al deciziei, a subliniat importanța principiului „Privacy by design” inclus în GDPR, care impune companiilor să se asigure că există măsuri puternice de guvernanță IT și de securitate a informațiilor pentru a se conforma prevederilor din Regulament

Sursa

UK ICO Issues Unprecedented Fine Against Mobile Phone Retailer for Lax Security

Pune o întrebare Anulează răspunsul

MAI MULTE ARTICOLE

ICO a amendat o companie cu 400.000 lire pentru un incident de securitate

Ruxandra Sava

Pune o întrebare Anulează răspunsul

Ședințele la psiholog devin gratuite, în anumite condiții, pentru cei asigurați

CEDO a condamnat România pentru discriminarea femeilor în privința vârstei de pensionare

ICCJ: Procedura insolvenței nu se poate închide înainte de soluționarea acțiunii de atragere a răspunderii

A postat pe Facebook poze cu un card pierdut. O altă persoană a folosit cardul și a pariat la Superbet.ro

Navigare

Fii la curent cu articolele LegalUp!

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!

ICO a amendat o companie cu 400.000 lire pentru un incident de securitate

Ruxandra Sava

Pune o întrebare Anulează răspunsul

eMAG, amendat pentru că nu a respectat Regulamentul GDPR și nu a șters datele unui client

CJUE: Persoanele fizice au dreptul să știe unde le-au fost dezvăluite datele cu caracter personal

Ședințele la psiholog devin gratuite, în anumite condiții, pentru cei asigurați

CEDO a condamnat România pentru discriminarea femeilor în privința vârstei de pensionare

ICCJ: Procedura insolvenței nu se poate închide înainte de soluționarea acțiunii de atragere a răspunderii

A postat pe Facebook poze cu un card pierdut. O altă persoană a folosit cardul și a pariat la Superbet.ro

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!