British Airways se confruntă cu o amendă record de 230 de milioane de dolari, după ce o eroare a site-ului web a compromis detaliile personale ale a aproximativ 500.000 de clienți.
Ar fi cea mai mare pedeapsă GDPR care a intrat în vigoare anul trecut în Uniunea Europeană.
GDPR (General Data Protection Regulation) nu este o reglementare referitoare exclusiv la IT, ci stabilește niște reguli de conduită pentru toate departamentele unei companii. Pentru a putea considera o companie “GDPR Compliant”, trebuie luate anumite măsuri în mai multe departamente.
Biroul comisarului informațiilor din Marea Britanie a declarat că securitatea slabă a permis redirecționarea traficului utilizatorilor de pe site-ul British Airways către o pagină frauduloasă începând cu iunie 2018. Autoritatea de reglementare a declarat că compania va avea șansa de a contesta amenda propusă.
Atacatorii au reușit să recolteze detaliile clienților, inclusiv jurnalele de autentificare, cardurile de plată și detaliile rezervării călătoriei, potrivit autorității de reglementare. Compania aeriană a dezvăluit incidentul în septembrie 2018.
Amenda de 183,4 milioane lire sterline (230 milioane USD) reprezintă aproximativ 1,5% din veniturile anuale ale British Airways. Transportatorul, deținut de IAG (ICAGY), a declarat că va contesta amenda.
„Suntem surprinși și dezamăgiți de această constatare inițială”, a declarat CEO-ul British Airways, Alex Cruz, într-o declarație.
„British Airways a răspuns rapid la o faptă penală de furt a datelor clienților. Nu am găsit nicio dovadă de fraudă [sau] activitate frauduloasă în conturile legate de furt”, a adăugat el.
GDPR obligă companiile să se asigure că modul în care colectează, prelucrează și stochează datele este în siguranță. Orice organizație care deține sau folosește date despre persoane din interiorul Uniunii Europene este supusă regulilor, indiferent de locul în care se bazează. Companiile care încalcă legea pot fi amendate cu până la 4% din veniturile lor anuale.
„Datele personale ale oamenilor sunt doar atât – personale. Când o organizație nu reușește să o protejeze de pierderi, daune sau furturi, aceasta este mai mult decât un inconvenient”, a declarat comisarul pentru informații Elizabeth Denham într-o declarație. „De aceea, legea este clară – atunci când vi se încredințează date cu caracter personal, trebuie să aveți grijă de acestea.”