Francuski organ nadzorczy wskazuje odpowiednie środki bezpieczeństwa

W jednej z decyzji Francuskiego organu nadzorczego (CNIL) administratorzy danych znajdą wartościowe wskazówki dotyczące odpowiednich środków bezpieczeństwa, które należy zastosować przy umożliwieniu klientom zakładania internetowego konta klienta. 

Organizacja, w której CNIL przeprowadził postępowanie kontrolne prowadziła 16 stron internetowych, w tym 13 w krajach Unii Europejskich m.in. w Francji, Włoszech, Słowacji. Zakupy przez te strony można było dokonywać w euro i dolarach amerykańskich. 

Celem przeprowadzonego postępowania było sprawdzenie czy organizacja była zgodna z wymaganiami RODO. Działania organu nadzorczego skupiły się na procesie przetwarzania danych klientów oraz procesie związanym z nagrywaniem rozmów telefonicznych między potencjalnymi klientami oraz pracownikami działu marketingu. 

W trakcie działań CNIL okazało się, że kontrolowany podmiot nie wdrożył wymagań RODO na wielu płaszczyznach co kosztowało go karę 250 000 euro. 

W trakcie dochodzenia delegacja CNIL została poinformowana, że firma podejmuje działania mające na celu zwalczanie oszustw związanych z wykorzystywaniem kradzionych kart kredytowych. W związku z tym jeśli protokół 3DSecure nie zostanie zweryfikowany poprawnie to do osoby, która złożyła zamówienie, wysyłana była wiadomość e-mail z prośbą o przesłanie dowodu zamieszkania i skanu awersu karty bankowej. 

Ponadto przedsiębiorstwo poinformowało delegację CNIL, że nie określono okresu przechowywania danych osobowych, a także nie podejmowało w regularnych odstępach czasu kroków w celu usunięcia danych dotyczących klientów i potencjalnych klientów po określonym czasie.

Wreszcie delegacja stwierdziła, że gdy użytkownik tworzy konto na stronie internetowej firmy, akceptowane są hasła składające się z sześciu cyfr i zawierające tylko jeden rodzaj znaku. Firma wyjaśniła również, że hasła do kont są przechowywane w bazie produkcyjnej w formie zaszyfrowanej za pomocą funkcji MD5 (…).

Ponadto w następstwie działań CNIL przedsiębiorstwo dostarczyło Komisji dodatkowe wymagane dowody, w szczególności zestawienie z bazy danych liczby klientów i potencjalnych klientów, którzy nie zalogowali się od 2008 r. do swoich kont utworzonych w różnych witrynach internetowych w różnych krajach, w których działał przedsiębiorca. 

Firma dostarczyła następujące statystyki:

118 768 klientów, których dane osobowe znajdują się w bazie, nie logowało się od 25 maja 2008 r.;

682 164 klientów nie logowało się od 25 maja 2010 r.;

3 620 401 klientów nie logowało się od 25 maja 2013 r.;

5 790 121 klientów nie logowało się od 25 maja 2015 r.;

25 911 675 prospektów było nieaktywnych od 25 maja 2015 r.

CNIL wskazał, że:

w celu zapewnienia odpowiedniego poziomu bezpieczeństwa i spełnienia wymagań dotyczących siły hasła, gdy uwierzytelnianie opiera się wyłącznie na identyfikatorze i haśle, hasło musi zawierać co najmniej dwanaście znaków,

zawierające co najmniej jedną wielką literę, jedną małą literę litera, jedna cyfra i jeden znak specjalny – lub hasło musi zawierać co najmniej osiem znaków – zawierające trzy z tych czterech kategorii znaków;

być uzupełnione dodatkowym środkiem:

takim jak limit czasu dostępu do konta po kilku nieudanych próbach (tymczasowe zawieszenie dostępu na dłuższy czas dla każdej próby),

wdrożenie mechanizmu zapobiegającego automatycznym i intensywnym próbom (np.: „captcha”)

i/lub zablokowaniu konta po kilku nieudanych próbach uwierzytelnienia.

Jestem bardzo ciekaw, czy kiedykolwiek zobaczymy decyzję krajowego organu nadzroczego, która oprócz wskazywania tego co źle zrobiono albo w ogóle nie zrobiono, będzie zawierała konkretne zalecenia techniczne, a nie tylko ogólnikowe odesłania do wykładni przepisów RODO. Jak widać Francuski organ nadzorczy dał radę wskazać takie zalecenia.