O companie din UK a primit o amenda de 400.000 de lire pentru un incident de securitate

ICO a constatat ca societatea nu a reusit sa ia masurile adecvate pentru a proteja datele personale pe care le detinea in sistemul sau.

Intre iulie si august 2015, sistemul de gazduire al companiei, care includea datele personale a peste 3.348.000 de clienti si 1000 angajati (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.

Citeste si:

• Regulile pentru aplicarea GDPR, promulgate de presedintele Iohannis

ICO a constatat ca atacul a fost posibil datorita deficientelor de securitate ale companiei, care includeau:

• software-ul sistemului nu a fost actualizat de cativa ani;
• nu au fost luate masuri pentru a verifica daca actualizarile software au fost implementate in conformitate cu politica companiei;
• compania nu a dispus de masuri pentru a controla credentialele de acces;
• nu au fost luate masuri adecvate de scanare a vulnerabilitatii si de testare a penetrarii;
• compania nu avea nici o aplicatie firewall pentru monitorizarea traficului catre si din aplicatiile sale web, contrar standardelor de securitate acceptate;
• serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei si standardelor de securitate acceptate;
• sistemul de operare de pe servere avea aceeasi parola partajata de mai mult de 30 de angajati;
• datele cu caracter personal au fost colectate fara motive intemeiate si au fost luate masuri inadecvate pentru securizarea acestora; si
• parolele de criptare nu au fost stocate in siguranta.

ICO a concluzionat ca aceste fapte au reprezentat o incalcare multilaterala a principiului 7 privind protectia datelor, inclus in Legea privind protectia datelor din 1998, care prevede ca trebuie luate masuri tehnice si organizatorice adecvate impotriva prelucrarii neautorizate sau ilegale a datelor cu caracter personal si impotriva pierderii accidentale, distrugerii sau deteriorarii datelor personale.

ICO, in anuntul public al deciziei, a subliniat importanta principiului „Privacy by design” inclus in GDPR, care impune companiilor sa se asigure ca exista masuri puternice de guvernanta IT si de securitate a informatiilor pentru a se conforma prevederilor din Regulament.

Va recomandam
Teste rezolvate la limba si literatura romana clasa a VIII-a

25 de teste – antrenament pentru reusita la proba de limba romana a examenului de Evaluare Nationala Noua culegere la limba romana, Evaluarea Nationala - Teste rezolvate la limba si literatura pentru clasa a VIII-a, contine 25 de teste similare celor aflate pe foaia de examen, inspirate din modelele PISA. Acestea raspund perfect...

DA, vreau produsul  |  Detalii si Cuprins

S-ar putea sa te intereseze si: Ce este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal?