ICO罚款Carphone仓库40万英镑
信息专员办公室(ICO)已被罚款Carphone Warehouse£400,000,在2015年数据违约中公布了1000万客户和1000名员工。
2016年10月,谈话还发布了罚款,然后纪录罚款,2015年的Thecyber攻击罚款400,000英镑,以超过15万名客户的个人信息,而且,ico在2017年8月的少数几个月后,ICO罚款还有100,000英镑,未能以客户的数据为止。
根据ICO,Carphone仓库的个人数据在2015年在网络攻击中暴露,因为公司未能保护数据免受未经授权的访问。
受损的客户数据包括名称,地址,电话号码,出生日期,婚姻状况,以及超过18,000以上的客户,历史付款卡详细信息。
还暴露了一些Carphone仓库员工的记录,包括名称,电话号码,邮政编码和汽车登记。
在确定货币罚款时,ICO认为所涉及的个人数据将大大影响幸免的隐私,使其数据受到被滥用的风险。
信息专员Elizabeth Denham表示,一家公司大大资源并确定为Carphone仓库,应该积极地评估其数据安全系统,并确保系统具有强大,而且不容易受到此类攻击的影响。
“CarPhone仓库应该在网络安全方面位于比赛之上,并且有关我们发现与基本,普通措施相关的系统失败,”Denham说。
在详细的调查之后,ICO确定了CarPhone仓库对数据安全方法的多种不足之处,并确定公司未能采取足够的步骤来保护个人信息。
使用有效的登录凭据,入侵者能够通过WordPress软件的过期版本访问系统。
该事件还暴露于本组织的技术安全措施中的不足。ICO表示,在受影响的系统上使用的软件的重要元素已经过期,公司未能进行日常安全测试。还有不充分的措施来识别和清除历史数据。
ICO表示,其调查揭示了1998年“数据保护法”原则7的严重违反,这需要采取适当的技术和组织措施,以防止未经授权或非法处理个人数据以及违反意外损失或损坏或损坏或损坏或损坏个人资料。
ICO表示,它承认了Carphone仓库已经采取了一些问题的步骤,并保护受影响的人,并且迄今为止,没有证据表明数据导致身份盗窃或欺诈。
根据Denham的说法,真正的受害者是客户和员工,其信息因入侵者的恶意行为而滥用。
“法律说,公司责有保护客户和员工个人信息,”她说。“局外人不应首先到达这样的系统。有一个有效的分层安全系统将有助于减轻任何攻击 - 如果入侵者无法进入,则无法利用系统。
“将突破组织的系统和网络攻击将始终变得越来越频繁,因为对手变得更加坚定。但是公司和公共机构需要采取严肃的措施来保护系统,最重要的是客户和员工。”
ICO表示,从今年5月25日,法律将获得更严格的,因为达到一般数据保护规则(GDPR)合规截止日期,所以。
通过设计的数据保护是GDPR的要求之一,监管机构表示,并且必须在信息处理的每个部分,从硬件和软件到组织有或应该拥有的程序,指导,标准和政策的程序,准则,标准和策略。
ICO表示,公司和公共机构应确保强大的IT治理和信息安全措施,以遵守法律规定,遵守法律规定。
ICO已发表关于遵守GDPR的指导,包括其GDPR指南,现在采取的12个步骤和工具包。国家网络安全中心(NCSC)还提供关于组织可以采取保护自己的步骤的指导。
未能遵守GDPR的要求将使公司面临高达2000万欧元或全球年营业额的4%的罚款。在英国离开欧盟后,一个新的英国数据保护法将采用类似的要求和罚款。
Leigh-Anne Galloway,网络安全弹性领先于积极的技术,描述了Carphone仓库罚款作为ICO的“重要陈述”。
“它显示了高度公司应该在大规模违规的年龄中重视其数据的神圣性,特别是在具有大客户数据库的大型可信品牌的情况下,”她说。
“这也是跨越GDPR这样的公司弓箭的镜头。虽然它是一个相对较大的标题P,但它是GDP下的可能性的一小部分。“