Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

ANSPDCP. Sameday a fost sancționată întrucât baza de date (26.566 persoane fizice vizate) era la vânzare pe RaidForums. UPDATE: Poziția Sameday
12.07.2022 | JURIDICE.ro

Secţiuni: C. contravențional, Cyberlaw, Data protection, Selected
JURIDICE - In Law We Trust

În legătură cu decizia ANSPDCP, compania Delivery Solutions, operatoare a brandului Sameday, face următoarele precizări:

Informarea de presă emisă de ANSPDCP, din data de 11 iulie 2022, este despre un incident care a avut loc în anul 2020, despre care compania și-a exprimat punctul de vedere și la momentul respectiv. În data de 7 aprilie 2020, Sameday a luat la cunoștință o situație neprevăzută, neautorizată și ilegală, care a compromis confidențialitatea anumitor date cu caracter personal.

• Pe website-ul raidforums.com a apărut un jurnal de trimiteri care conținea date cu caracter personal (număr și dată AWB, indicative de curieri, nume expeditor, nume destinatar, adresă, număr de telefon, status livrare, tipul serviciului, greutate colet, suma de încasat, interval de livrare) a 26.566 persoane fizice vizate. Niciun alt fel de date importante nu au fost expuse.

• Website-ul radiforums.com a fost închis de către autoritățile competente: Biroul Federal de Investigații din Statele Unite ale Americii și Departamentul de Justiție al Satelor Unite ale Americii, alături de Serviciile Secrete ale SUA, Europol, Agenția Națională de Combatere a Criminalității a Marii Britanii, Poliția Română, Poliția Suedeză și alte autorități partenere.

• După incidentul din 2020, Sameday a implementat o serie de măsuri suplimentare de siguranță și confidențialitate a datelor referitoare la fiecare expediție privind infrastructura și rețelele de comunicații, precum și modificări care au implicat sistemul compromis.

Sameday a tratat incidentul cu responsabilitate și, împreună cu autoritățile competente, a luat toate măsurile tehnice și organizatorice necesare pentru a restabili un nivel de securitate corespunzător riscului prelucrării generat, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal stocate sau prelucrate într-un alt mod, care a condus la pierderea confidențialității datelor cu caracter personal.

Compania a desfășurat „evaluarea cantitativă și calitativă privind riscurile asupra drepturilor și libertăților persoanelor vizate”, aplicând recomandările de metodologie a evaluării gravității breșelor de securitate emise de Agenția Uniunii Europene pentru Securitatea Rețelelor și Informațiilor (ENISA), în urma căreia breșa de securitate a fost încadrată ca având un nivel de „gravitate mică”, ceea ce înseamnă că persoanele fizice nu au fost afectate.

După incident, Sameday a implementat o serie de măsuri suplimentare privind infrastructura și rețelele de comunicații – review al drepturilor de acces, al regulilor de firewall aferente infrastructurii aplicației, la nivel de OS și softuri folosite, implementarea unui sistem de lucru IAC (Infrastructure As a Code), configurarea de sisteme de notificare automată la intervenția pe zonele de infrastructură considerate sensibile, înlocuirea sistemului de acces cu unul bazat pe o soluție de Active Directory oferită de Microsoft Azure, redesign al infrastructurii de producție, inventarierea și închiderea de aplicații legacy, unificarea endpointurilor publice și schimbarea furnizorului de auditare de securitate.

Referitor la modificările care implică sistemul compromis, Sameday a dezactivat seviciul Application Gateaway care a fost identificat ca entry point-ul vulnerabil. A fost înlocuit complet sistemul de comunicare cu unul care să permită doar acces de scriere aplicației instalate pe lockere, iar întreaga comunicare cu device-urile fizice a fost mutată pe un VPN oferit de Vodafone, cu limitarea accesului la sistemele cloud doar din acest VPN.

***

Luni, 11 iulie 2022, Autoritatea Națională de Supraveghere a anunțat că a finalizat o investigație la S.C. Delivery Solutions S.A. (Sameday) și a constatat încălcarea dispozițiilor art. 29, art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor, potrivit unui comunicat.

Sameday a fost sancționată contravențional cu amendă în cuantum de  14,825.70 lei (echivalentul a 3.000 EURO).

Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică ce a semnalat faptul că baza de date a Sameday este la vânzare pe site-ul raidforums.com.

În cadrul investigației efectuate, s-a reținut faptul că Sameday este persoana împuternicită a două societăți pentru prelucrarea datelor cu caracter personal, fiind obligată să ia toate măsurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, așa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv împotriva divulgării și/sau accesului neautorizat la date.

De asemenea, s-a constatat că date cu caracter personal aparținând unui număr de 26.566 persoane fizice vizate (număr și dată AWB – documentul de transport ce însoțește obligatoriu expedierea oricărui colet, indicative curieri, nume expeditor, nume și prenume destinatar, număr de telefon, adresă, status livrare, tipul serviciului, greutate colet, suma de încasat, intervalul de livrare) erau disponibile spre vânzare pe forumul RaidForums și puteau fi accesate utilizând link-ul acesta.

Ca atare, S.C. Delivery Solutions S.A. a fost sancționată cu amendă întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea și/sau accesul neautorizat la datele cu caracter personal pentru 26.566 persoane fizice vizate.

Cuvinte cheie: , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti