Bază de date a unei importante companii de curierat, de vânzare pe internet. Reacția companiei

Matei Ion / 11 iul 2022, 17:35
Compania a fost amendată
Compania a fost amendată

Una dintre cele mai cunoscute companii de curierat a fost amendată de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru scurgerea unei baze de date.

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) spune într-un comunicat că a finalizat în luna iunie o investigație la S.C. Delivery Solutions S.A. (Sameday) în urma căreia a constatat încălcarea dispozițiilor art. 29, art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.

S.C. Delivery Solutions S.A. (Sameday) a fost sancționată contravențional cu amendă în cuantum de  14,825.70 lei (echivalentul a 3.000 EURO).

Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică care a semnalat faptul că baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vânzare pe internet.

În cadrul investigației efectuate ”s-a reținut faptul că S.C. Delivery Solutions S.A. (Sameday) este persoana împuternicită a două societăți pentru prelucrarea datelor cu caracter personal, fiind obligată să ia toate măsurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, așa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv împotriva divulgării și/sau accesului neautorizat la date”, se spune în documentul emis de ANSPDCP.

De asemenea, s-a constatat că date cu caracter personal aparținând unui număr de 26.566 persoane fizice vizate (număr și dată AWB – documentul de transport ce însoțește obligatoriu expedierea oricărui colet, indicative curieri, nume expeditor, nume și prenume destinatar, număr de telefon, adresă, status livrare, tipul serviciului, greutate colet, suma de încasat, intervalul de livrare) erau disponibile spre vânzare pe forumul RaidForums și puteau fi accesate.

Ca atare, ANSPDCP a decis ca S.C. Delivery Solutions S.A. să fie sancționată cu amendă întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea și/sau accesul neautorizat la datele cu caracter personal pentru 26.566 persoane fizice vizate.

UPDATE: După publicarea materialului de mai sus, compania Sameday a transmis pe adresa de e-mai a redacției o reacție pe care o publicăm aici:

Informarea de presă emisă de ANSPDCP, din data de 11 iulie 2022, este despre un incident care a avut loc în anul 2020, despre care compania și-a exprimat punctul de vedere și la momentul respectiv. În data de 7 aprilie 2020, Sameday a luat la cunoștință o situație neprevăzută, neautorizată și ilegală, care a compromis confidențialitata anumitor date cu caracter personal.

·        Pe website-ul https://raidforums.com/Thread-SELLING-=%C3%A6-SAMEDAY-RO-Romanian-Postal-Service a apărut un jurnal de trimiteri care conținea date cu caracter personal (număr și dată AWB, indicative de curieri, nume expeditor, nume destinatar, adresă, număr de telefon, status livrare, tipul serviciului, greutate colet, suma de încasat, interval de livrare) a 26.566 persoane fizice vizate. Niciun alt fel de date importante nu au fost expuse.

·        Website-ul radiforums.com a fost închis de către autoritățile competente: Biroul Federal de Investigații din Statele Unite ale Americii și Departamentul de Justiție al Satelor Unite ale Americii, alături de Serviciile Secrete ale SUA, Europol, Agenția Națională de Combatere a Criminalității a Marii Britanii, Poliția Română, Poliția Suedeză și alte autorități partenere.

·        După incidentul din 2020, Sameday a implementat o serie de măsuri suplimentare de siguranță și confidențialitate a datelor referitoare la fiecare expediție privind infrastructura și rețelele de comunicații, precum și modificări care au implicat sistemul compromis.

Sameday a tratat incidentul cu responsabilitate și, împreună cu autoritățile competente, a luat toate măsurile tehnice și organizatorice necesare pentru a restabili un nivel de securitate corespunzător riscului prelucrării generat, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu carcater personal stocate sau prelucrate într-un alt mod, care a condus la pierderea confidențialității datelor cu caracter personal.

Compania a desfășurat „evaluarea cantitativă și calitativă privind riscurile asupra drepturilor și libertăților persoanelor vizate”, aplicând recomandările de metodologie a evaluării gravității breșelor de securitate emise de Agenția Uniunii Europene pentru Securitatea Rețelelor și Informațiilor (ENISA), în urma căreia breșa de securitate a fost încadrată ca având un nivel de „gravitate mică”, ceea ce înseamnă că persoanele fizice nu au fost afectate.

După incident, Sameday a implementat o serie de măsuri privind infrastructura și rețelele de comunicații – review al drepturilor de acces, al regulilor de firewall aferente infrastructurii aplicației, la nivel de OS și softuri folosite, implementarea unui sistem de lucru IAC (Infrastructure As a Code), configurarea de sisteme de notificare automată la intervenția pe zonele de infrastructură considerate sensibile, înlocuirea sistemului de acces cu unul bazat pe o soluție de Active Directory oferită de Microsoft Azure, redesign al infrastructurii de producție, inventarierea și închiderea de aplicații legacy, unificarea endpointurilor publice și schimbarea furnizorului de auditare de securitate. 

Referitor la modificările care implică sistemul compromis, Sameday a dezactivat seviciul Application Gateaway care a fost identificat ca entry point-ul vulnerabil. A fost înlocuit complet sistemul de comunicare cu unul care să permită doar acces de scriere aplicației instalate pe lockere, iar întreaga comunicare cu device-urile fizice a fost mutată pe un VPN oferit de Vodafone, cu limitarea accesului la sistemele cloud doar din acest VPN.

De asemenea, în semnătură veți găsi datele mele de contact (atât număr de telefon, cât și adresa de mail) și mă puteți contacta ori de câte ori apare o știre care implică acest client. Vă asigurăm de faptul că aveți deschiderea noastră atunci când aveți nevoie de un punct de vedere din partea Sameday.   

_____________________________________________________________________

Citește și: Se preconizează schimbări privind solicitarea de DATE PERSONALE

De fapt, este intrare într-o normalitate care ar fi trebui să existe de mai multă vreme în România. Dar cum se spune, mai bine mai târziu decât niciodată. 

Instituțiile publice vor solicita și prelucra mai puține date personale. Asta numai în cazul în care propunerea legislativă elaborată în acest sens va reuși să parcurgă întreg parcursul legislativ și, după ce va trece de Senat, unde a fost depusă spre dezbatere și aprobare, va primi și vot favorabil din partea deputaților. 

În acest fel, regula minimizării prelucrării datelor personale, stabilită de Regulamentul general privind protecția datelor (GDPR), va fi aplicată și de către instituțiile publice.

Documentul în discuție stabilește, de altfel, o listă clară datelor personale care se pot solicita, mai scurtă decât cea existentă în prezent.

Mai exact, proiectul prevede că “se interzice instituțiilor publice și organelor de specialitate ale administrației publice locale și centrale să solicite” alte date de identificare decât:

- nume și prenume, CNP, tipul, seria și numărul actului de identitate - în cazul persoanelor fizice;

- date referitoare la denumire, forma de organizare, CUI și adresa sediului social - în cazul persoanelor juridice.

Potrivit inițiatorilor măsurii, în prezent, de multe ori, persoanelor fizice li se cer date precum data nașterii, deși reiese din CNP, domiciliul, instituția emitentă a actului de identitate sau data emiterii lui, informații care fie sunt irelevante, fie sunt deja cunoscute de autorități.

În aceste condiții, o persoană în vârstă, de exemplu, trebuie să piardă mult timp completând o simplă cerere către autorități, iar funcționarii alocă, de asemenea, mult timp, introducerii în sistemul informatic a acestor date neimportante sau deja existente, scrie Avocatnet.

Apoi, după cum apare în nota de fundamentare a proiectului, “prin eliminarea cerințelor inutile, printre care și domiciliul persoanei, se asigură și o mai bună respectare a datelor cu caracter personal, având în vedere că accesul la anumite documente ce conțin astfel de date nu este întotdeauna securizat”.

Google News icon  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Articole Recomandate

Get it on App Store Get it on Google Play

Calculator schimb valutar

EUR
Azi 4.8909
Diferența -0.0181
Zi precendentă 4.909
USD
Azi 4.745
Diferența -0.0044
Zi precendentă 4.7494
Schimb
in
Curs valutar | Actualizat la 13-08-2022
EUR flag1 EUR = 4.8909 RON
USD flag1 USD = 4.7450 RON
GBP flag1 GBP = 5.7696 RON
CHF flag1 CHF = 5.0380 RON
AUD flag1 AUD = 3.3761 RON
DKK flag1 DKK = 0.6575 RON
CAD flag1 CAD = 3.7206 RON
HUF flag1 HUF = 0.0124 RON
JPY flag1 JPY = 0.0355 RON
NOK flag1 NOK = 0.4990 RON
SEK flag1 SEK = 0.4689 RON
XAU flag1 XAU = 272.6466 RON
Monede Crypto
1 BTC = 116182.27RON
1 ETH = 9442.60RON
1 LTC = 302.64RON
1 XRP = 1.80RON
Indicatori financiari
IRCC:
3 luni: 2.65% p.a.
ROBOR:
3 luni: 7.98%
6 luni: 8.13%
12 luni: 8.27%
EURIBOR:
3 luni: -0.4770 %
6 luni: -0.3880 %
12 luni: -0.1270 %
Indici bursieri | Sursa: BVB
Indice Ultima valoare Variatie
BET 12631.92 0.49%
BET-BK 2306.53 0.56%
BET-FI 51102.06 0.79%
BET-NG 975.90 0.52%
BET-TR 24551.29 0.48%
BET-TRN 24429.65 0.48%
BET-XT 1107.38 0.55%
BET-XT-TR 2138.64 0.54%
BET-XT-TRN 2128.77 0.54%
BETAeRO 911.53 0.60%
BETPlus 1882.01 0.43%
RTL 28889.67 0.62%

Opinii

Pilonul II de pensii nu mai are credibilitate

Mircea Coșea, pesimist în privința Pilonului II de pensii. Sfatul economistului pentru români

Mircea Coșea a nu are o viziune prea optimistă...

Profesorul Mircea Coșea

Mircea Coșea, dezamăgit de discursul lui Mugur Isărescu. Reproșurile aduse de analist

Profesorul Mircea Coșea a declarat pentru...

Autorii raportului afirmă că nu suntem conectați la discuțiile europene

Comunicate de presa

OTP Bank România se alătură programului Start-up Nation 2022

OTP Bank România se alătură programului Start-up Nation 2022

OTP Bank România a fost selectată de stat...

Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive
Maldive

Iti place noua modalitate de votare pe DCBusiness.ro?
POLITICA DE CONFIDENȚIALITATE | POLITICA COOKIES |

Copyright 2022 - Toate drepturile rezervate.
Informațiile BVB sunt destinate exclusiv pentru folosința individuală a utilizatorului final și nu pentru a fi redistribuite, revândute sau folosite în scop comercial.
cloudnxt2
YesMy - smt4.1.0