Header Ads Widget

Ticker

6/recent/ticker-posts

Carphone Warehouse Recibió Una Multa De £ 400k Luego De Una Violación Sustancial De Datos

 La Oficina del Comisionado de Información (ICO) ha impuesto al minorista de teléfonos móviles Carphone Warehouse una multa de £ 400,000 por no proteger adecuadamente los datos de los clientes, lo que resultó en una violación de datos en 2015.

Carphone Warehouse recibió una multa de £ 400k luego de una violación sustancial de datos

Según el regulador de protección de datos, la empresa no implementó la infraestructura suficiente, siguió los procedimientos correctos y no cumplió con las protecciones descritas en la Ley de Protección de Datos, para evitar una pérdida catastrófica de datos.

Los delincuentes cibernéticos pudieron ingresar a los sistemas de la empresa y acceder a los datos personales de millones de clientes en un ataque descrito como "sofisticado" en ese momento.

El ataque afectó a más de tres millones de clientes y 1.000 empleados, y los atacantes accedieron a información como nombres, fechas de nacimiento, direcciones y datos bancarios.

 El almacén de Carphone fue responsable de una serie de "fallas sistémicas" que llevaron al ataque de datos, dijo el ICO, cuando le impuso una fuerte multa a la empresa.

Después de que la ICO se enteró de la violación de Carphone Warehouse, abrió una investigación exhaustiva para averiguar cómo sucedió el ataque y las irregularidades de la compañía. En total, descubrió 11 problemas.

La empresa de tecnología se basó en un software que estaba desactualizado y carecía de "controles rigurosos" sobre quién podía acceder a los datos de los clientes. Los investigadores también encontraron que la empresa confiaba en la misma contraseña de root para múltiples servidores.

La ICO dijo que había "deficiencias claras y significativas en los arreglos de seguridad" y dijo que la empresa no implementó "medidas básicas y comunes".

Dijo que, como importante "controlador de datos", Carphone Warehouse debería haber utilizado sistemas para cumplir con "los principios de protección de datos".

Una de las reglas deja en claro que las empresas deben "tomar medidas responsables para garantizar la confiabilidad de los empleados" con acceso a los datos de los clientes.

Y en lo que respecta a la infraestructura, las empresas deben asegurarse de utilizar hardware de protección de datos que ofrezca “garantías suficientes en cuanto a seguridad técnica y organizativa”.

En 2016, la ICO emitió la misma multa a TalkTalk cuando un pirata informático pudo acceder a los datos personales de más de 150.000 clientes.

LEER A CONTINUACIÓN:  ¿Qué es GDPR? Todo lo que necesita saber sobre sus datos y cómo se utilizan

La comisionada de información Elizabeth Denham dijo: “Una empresa tan grande, con buenos recursos y establecida como Carphone Warehouse debería haber estado evaluando activamente sus sistemas de seguridad de datos y asegurarse de que los sistemas fueran robustos y no vulnerables a tales ataques.

"Carphone Warehouse debería estar en la cima de su juego cuando se trata de ciberseguridad, y es preocupante que las fallas sistémicas que encontramos se relacionen con medidas rudimentarias y comunes".

Carphone Warehouse también respondió, diciendo: “Aceptamos la decisión de hoy de la ICO y hemos cooperado plenamente a lo largo de su investigación sobre el ciberataque ilegal a un sistema específico dentro de una de las divisiones de Carphone Warehouse en el Reino Unido en 2015.

“Como señala la ICO en su informe, en ese momento actuamos rápidamente para proteger nuestros sistemas, implementar medidas de seguridad adicionales e informar a la ICO ya los clientes y colegas potencialmente afectados. La ICO señaló que no había pruebas de que terceros hubieran utilizado datos individuales ".

Leigh-Anne Galloway, líder de resiliencia de seguridad cibernética en Positive Technologies, dijo que las empresas deben hacer más para proteger los datos personales y que podrían enfrentar multas aún mayores cuando el  GDPR  entre en vigor.

“La multa es una declaración importante del Comisionado de Información. Muestra cuánto las empresas deben valorar la santidad de sus datos en una era de violaciones masivas, especialmente en el caso de una gran marca confiable con una gran base de datos de clientes ”, dijo Galloway.

“También es una oportunidad para esas empresas en el período previo al RGPD. Si bien es una cifra de titulares relativamente grande, es una fracción de lo que es posible con la nueva legislación que entrará en vigor el 25 de mayo ".

La ICO actualmente tiene un límite en la multa máxima que puede imponer, establecida en £ 500,000. Sin embargo, si la violación de datos hubiera ocurrido bajo el marco regulatorio de GDPR, Carphone Warehouse podría haber sido responsable de una multa de hasta  20  millones de euros, o el 4% de la facturación global. 

En 2008, Carphone Warehouse  recibió una advertencia  de la ICO sobre su manejo de los datos de los clientes, luego de que la compañía abriera cuentas con nombres incorrectos y enviara datos confidenciales incorrectos a agencias de crédito y cobradores de deudas.

Publicar un comentario

0 Comentarios