Stefano Gazzella : 2 Novembre 2023 08:39
Cosa può succedere in caso di data breach di un e-commerce? Nel caso oggetto del provvedimento del Garante per la protezione dei dati personali n. 351 del 3 agosto 2023, è possibile che l’Authority eserciti i propri poteri correttivi. E come in questo caso può ingiungere non solo di comunicare la violazione agli interessati, ma anche di adottare le misure di sicurezza adeguate indicandone alcune come prioritarie.
Dal provvedimento è possibile così desumere alcuni elementi utili per la gestione della violazione dei dati personali nel contesto dell’e-commerce, applicabili in situazioni analoghe soprattutto per la valutazione dei rischi e il remediation plan.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Tutto ha avuto inizio con un cliente che ha segnalato al gestore dell’e-commerce di aver reperito nel dark web un leak di dati riferibili al sito. All’esito della successiva indagine è stato accertata la violazione, consistente in una perdita di confidenzialità dei dati derivante da un accesso abusivo con esfiltrazione, e dunque è stata effettuata la notifica al Garante Privacy.
c) le analisi conseguentemente condotte dalla società hanno consentito di accertare che la violazione ha tratto origine da un “hack del CMS […] Prestashop 1.7.6.5 […] con accesso del database e esportazione e pubblicazione” che ha interessato “un Backup-Server dei ns. Sistemi CMS, il quale al momento della violazione si trovava presso l’abitazione di un ns. dipendente informatico senza adeguato sistema di sicurezza a tale data”
d) i dati oggetto di violazione sono stati il “nome, cognome, indirizzo (Via e n° civico se indicato), CAP, città, indirizzo email, data nascita, storico ordini (con prodotti acquistati), password criptato del user-account” di un numero di utenti del sito web che il titolare ha valutato come “non determinabile”, per un totale di “284.000” registrazioni di dati personali
L’evento è stato valutato come non suscettibile di presentare un rischio elevato per gli interessati, dunque non è stata disposta alcuna comunicazione ai sensi dell’art. 34 GDPR.
Il Garante Privacy ha dunque svolto alcuni accertamenti ulteriori con degli accessi online per inquadrare correttamente la violazione e la valutazione del rischio per gli interessati, andando ad approfondire:
All’esito delle verifiche svolte, pertanto, sono stati contestati alcuni passaggi riguardanti la gestione della violazione.
Per quanto riguarda la valutazione di rischi, la violazione è stata considerata di rischio elevato per la natura e numerosità dei dati personali coinvolti dal momento che la perdita di confidenzialità di recapiti e domicili espone gli interessati a potenziali danni di gravità significativa mentre lo storico ordini, che può comprendere anche articoli da cui è possibile desumere informazioni sulla vita sessuale degli acquirenti, espone a rischi di pregiudizio, reputazione o discriminazione.
Per quanto riguarda invece l’adeguatezza delle misure di sicurezza, il Garante ha riscontrato la mancanza di un remediation plan con indicazioni specifiche circa l’adozione di misure correttive e preventive.
Tenuto conto dei rilievi svolti e con la riserva di svolgere ulteriori valutazioni anche in relazione a violazioni e all’applicazione di sanzioni, il provvedimento ha così avuto ad oggetto due ingiunzioni: la prima, riguardante la comunicazione della violazione agli interessati entro 10 giorni; la seconda, riguardante l’adozione di misure di sicurezza adeguate ai rischi entro 20 giorni.
Le misure specificamente prescritte, inoltre, riguardano:
la predisposizione di un programma di formazione del personale in materia di sicurezza informatica e di protezione dei dati personali, l’adozione di software privi di vulnerabilità note, e la periodica e tempestiva applicazione degli eventuali aggiornamenti di sicurezza successivamente resi disponibili dai produttori di tali software;
ma viene richiesto di rendicontare anche le eventuali ulteriori sempre entro il medesimo termine di 20 giorni.
Una valida lezione per tutti riguardante gli elementi da attenzionare: gestori di e-commerce, consulenti privacy e DPO.
Stefano GazzellaLa Cina ha presentato KylinOS 11 , il più grande aggiornamento del suo sistema operativo nazionale, che il governo ha definito un importante passo avanti nella creazione di un ecosistema tecnolog...
A livello di definizione, per wetware si intende quella tecnologia che combina hardware e software per potenziare le forme di vita biologiche. Steve M. Potter, è un professore associato presso il...
Gli Stati Uniti e diversi Paesi alleati hanno lanciato un allarme congiunto sulla crescente offensiva cibernetica condotta da attori sponsorizzati dalla Repubblica Popolare Cinese. Secondo una nuova C...
Un esperto di sicurezza ha scoperto che sei dei gestori di password più diffusi, utilizzati da decine di milioni di persone, sono vulnerabili al clickjacking, un fenomeno che consente agli aggres...
NetScaler ha avvisato gli amministratori di tre nuove vulnerabilità in NetScaler ADC e NetScaler Gateway, una delle quali è già utilizzata in attacchi attivi. Sono disponibili aggiornam...
