Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/25

Kraj:

Hiszpania

Data wydania decyzji:

15.03.2021 r.

Podmiot kontrolowany:

Air Europa Lineas Aereas, SA.

Wysokość kary (EUR):

600.000

Podstawa prawna naruszenia

Art. 32 ust. 1, art. 33 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych osobowych w Air Europa Lineas Aereas, SA. było wynikiem nieautoryzowanego dostępu do informacji kontaktowych i danych kart bankowych klientów. Atak został przeprowadzony przez hakera, który uzyskał dostęp do systemów Air Europa poprzez wykorzystanie luk w zabezpieczeniach.

 

Opis wydarzeń

  1. Wykrycie naruszenia: Naruszenie zostało wykryte 17 października 2018 roku po otrzymaniu powiadomienia od Banco Popular o potencjalnym incydencie bezpieczeństwa.
  2. Przebieg ataku: Atak rozpoczął się 12 maja 2018 roku i trwał do 17 listopada 2018 roku. Haker uzyskał dostęp do systemów Air Europa, kompromitując co najmniej 12 systemów i 2 konta serwisowe.
  3. Zakres naruszenia: Naruszenie dotyczyło 1,5 miliona rekordów danych, w tym informacji o 489 tysiącach klientów. Dane obejmowały numer karty, datę ważności i CVV, a w niektórych przypadkach także nazwisko posiadacza karty.
  4. Reakcja na incydent: Po wykryciu naruszenia Air Europa podjęła działania naprawcze, w tym zatrudnienie firm specjalizujących się w analizie forensycznej i bezpieczeństwie IT, aby zidentyfikować i zamknąć luki w zabezpieczeniach.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie zabezpieczeń: Zaleca się wdrożenie zaawansowanych środków bezpieczeństwa, takich jak wielopoziomowa autoryzacja, regularne aktualizacje systemów oraz monitorowanie ruchu sieciowego w celu wykrywania nieautoryzowanych działań.
  2. Szkolenia dla pracowników: Konieczne jest przeprowadzenie regularnych szkoleń dla pracowników z zakresu bezpieczeństwa IT, aby zwiększyć ich świadomość i umiejętności w zakresie ochrony danych.
  3. Polityka zarządzania hasłami: Zaleca się wprowadzenie polityki zarządzania hasłami, która wymaga regularnej zmiany haseł oraz stosowania silnych, złożonych haseł.
  4. Centralizacja logów: Wprowadzenie centralnego systemu zarządzania logami (SIEM) w celu lepszego monitorowania i analizy zdarzeń bezpieczeństwa.
  5. Komunikacja z klientami: W przypadku przyszłych incydentów zaleca się szybką i transparentną komunikację z klientami, aby informować ich o naruszeniach i podejmowanych działaniach naprawczych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO