Retailerul românesc Altex a fost sancționat cu o amendă de 20.000 de euro de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru lipsa măsurilor corespunzătoare de protecție a datelor personale ale clienților săi. Investigația a fost inițiată în urma notificărilor transmise de companie privind două incidente majore de securitate informatică.
Ce a declanșat investigația
Autoritatea de supraveghere a fost sesizată în urma notificării a două breșe de securitate raportate de Altex:
- Publicarea datelor clienților pe o platformă externă
Compania a fost avertizată de un terț prin email cu privire la faptul că un număr semnificativ de conturi ale clienților săi au fost expuse. Informațiile compromise includeau:- Nume, prenume, adrese de email și parole ale conturilor de pe altex.ro;
- Adrese de livrare, numere de telefon și istoricul comenzilor;
- Detalii despre cardurile utilizate la plata online.
- Atac informatic de tip „credential stuffing”
Altex a raportat un atac cibernetic în care au fost utilizate parole obținute anterior pentru accesarea conturilor clienților și plasarea frauduloasă de comenzi de carduri cadou. Printre datele compromise s-au numărat:- Date de autentificare (email și parolă);
- Informații financiare legate de cardurile bancare înregistrate.
Deficiențe constatate
ANSPDCP a concluzionat că retailerul nu a implementat măsuri tehnice și organizatorice adecvate pentru a preveni accesul neautorizat la datele personale ale clienților. În absența unor mecanisme eficiente de securitate, două atacuri cibernetice distincte au dus la expunerea unui volum semnificativ de date sensibile.
retailerul-romanesc-primeste-amenda-pentru-incalcarea-regulilorMăsuri corective impuse
Conform art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor (GDPR), ANSPDCP a dispus următoarele măsuri pentru reducerea riscurilor asociate breșelor de securitate:
- Îmbunătățirea autentificării în conturile de client
- Notificare automată în cazul logării de pe un dispozitiv nou;
- Politici stricte privind complexitatea și istoricul parolelor, inclusiv implementarea expirării periodice a acestora;
- Vizualizarea dispozitivelor conectate în cont.
- Monitorizarea traficului de internet
- Implementarea unui sistem de supraveghere a traficului inbound și outbound pentru platformele de autentificare.
Consecințe pentru companii
Amenda aplicată Altex subliniază importanța conformării cu normele GDPR, mai ales în sectorul de e-commerce, unde volumele mari de date personale necesită protecție avansată. Această sancțiune reprezintă un semnal de alarmă pentru toate companiile care gestionează informații sensibile despre clienți.
Siguranța datelor nu mai este o opțiune, ci o cerință esențială pentru păstrarea încrederii utilizatorilor.
Comentează pe FACEBOOK
