В пятницу Инспекция по защите данных наложила на компанию Allium UPI, управляющую программой лояльности Apotheka, штраф в размере 3 млн евро за незащищенность данных более 750 000 клиентов и использование недостаточных мер безопасности, сообщает BNS.
Инцидент с нарушением безопасности произошел в начале прошлого года в информационной системе программы лояльности Apotheka. Расследование показало, что Allium UPI не применяла элементарные меры кибергигиены и защиты данных. В результате посторонние лица неоднократно получали доступ к информационной системе и резервной копии базы данных и скачали большие объемы конфиденциальных данных клиентов.
Утечка файлов содержала личные данные и историю покупок участников клиентской программы Apotheka за 2014–2020 годы. Последние включали персонализированную информацию о приобретенных лекарствах, услугах по измерению показателей здоровья и других аптечных товарах деликатного характера, таких как тесты на беременность и овуляцию, принадлежности для слуховых аппаратов, средства для измерения артериального давления, средства интимной гигиены, лекарства от кожных заболеваний.
В ходе следствия выяснилось, что Allium UPI не внедрила ряд критически важных и общеизвестных мер безопасности. Например, не была внедрена многоуровневая аутентификация, один личный аккаунт администратора с одним и тем же именем пользователя и паролем использовали несколько человек, мониторинг действий был неполным, а резервные копии базы данных хранились небезопасно. Кроме того, роли и обязанности не были достаточно четко определены.
«Если бизнес-модель компании основана на обработке данных клиентов, их защита должна быть неотъемлемой частью бизнес-модели. Каждая компания, которой клиенты доверяют свои данные, обязана защищать и безопасно хранить их. Если компания этого не делает, она ставит под угрозу конфиденциальность и доверие своих клиентов, – сказала генеральный директор Инспекции по защите данных Пилле Лехис. — В данном случае Allium UPI не приняла необходимые меры безопасности, в результате чего произошла утечка данных сотен тысяч человек».
При определении размера штрафа были учтены масштаб нарушения, чувствительность утекших данных, количество затронутых лиц и оборот компании. При принятии решения были учтены Общий регламент по защите данных ЕС и соответствующие рекомендации Европейского совета по защите данных.
Решение о наложении штрафа еще не вступило в силу. Компания может обжаловать его в течение 15 дней.
