Un magazin de mobilă din Oradea, PGS SOFA & CO SRL, a fost amendat cu 40.663 lei, echivalentul sumei de 8.000 de euro, după ce în urma unui atac informatic au fost accesate datele clienților, iar accesul firmei la infrastructura informatică proprie a fost restricționat, potrivit unui comunicat al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Investigația a fost demarată ca urmare a transmiterii de către companie a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.
În cadrul investigației, s-a constatat că, în urma unui atac cibernetic, a fost accesată și, totodată, restricționat accesul operatorului la infrastructura informatică proprie.
„Această situație a condus la accesul neautorizat la datele cu caracter personal ale unui număr semnificativ de angajați, clienți și colaboratori ai operatorului, respectiv date de identificare, salariu, conturi bancare ale angajaților și conturi bancare ale clienților și colaboratorilor”, transmite ANSPDCP.
Instituția anunță că a constatat că firma nu a implementat măsuri tehnice și organizatorice adecvate și nu a realizat „testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării”.
Compania este obligată, în urma atacului, să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător. Printre acestea se numără implementarea autentificării în doi pași pentru toate conturile de utilizator/administrator care se pot conecta de la distanță în infrastructura IT a operatorului, precum și implementarea unei politici de parole complexe pentru aceste conturi.
O altă amendă, în valoare de 20.000 de lei, a fost aplicată de ANSPDCP operatorului Vasile Nester – Cabinet de Avocat, care a instalat de pe site-urile sale module de tip cookie pe dispozitivele utilizatorilor, care nu erau necesare din punct de vedere tehnic, „fără a obține în prealabil consimțământul și fără ca aceștia să fie informați complet și corect”.
