NTT Data România, sancționată la nivel financiar după un incident cibernetic nedeclarat la timp: Hackerii au obținut acces la copii ale actelor de identitate, certificate de căsătorie și pașapoarte.
NTT DATA România, furnizor de soluții software parte din grupul japonez NTT DATA, a fost sancționată cu 25.000 de euro după ce o investigație a relevat accesul neautorizat la „datele personale ale unui număr semnificativ de persoane fizice” în urma unui atac cibernetic. Autoritatea pentru protecția datelor personale a anunțat marți că compania nu a implementat măsuri tehnice corespunzătoare pentru protecția datelor și nu a notificat incidentul în termenul legal.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a încheiat, în februarie 2025, o investigație asupra NTT DATA România, constatând încălcări ale articolelor 32 și 33 din Regulamentul UE 2016/679 referitor la protecția datelor personale (GDPR).
Investigația a fost inițiată după ce NTT Data România a informat autoritatea despre o încălcare a securității datelor personale, dar nu a respectat termenul de 72 de ore de la momentul cunoașterii incidentului, ceea ce contravine prevederilor GDPR.
Datele compromise în urma atacului cibernetic.
Analiza efectuată a demonstrat că infrastructura informatică a companiei a fost compromisă, rezultând extragerea neautorizată a unor date personale.
- „Această situație a dus la accesul neautorizat la informații personale ale unui număr considerabil de persoane afectate, inclusiv: nume, prenume, semnătură, adresă, număr de telefon, e-mail, sex, naționalitate, copii ale actelor de identitate, certificate de căsătorie, pașapoarte, certificate de naștere, informații despre locul de muncă și date financiare: facturi, contracte, bugete, informații educaționale (înregistrări ale cursurilor, participare, CV-uri, diplome), precum și date sensibile legate de sănătatea angajaților,” conform comunicatului emis.
Autoritatea a tras concluzia că NTT Data România „nu a implementat măsuri tehnice și organizatorice suficiente și nu a efectuat evaluări și testări regulate ale eficacității acestora, esențiale pentru asigurarea securității prelucrării datelor, inclusiv menținerea confidențialității, integrității, disponibilității și robusteței sistemelor și serviciilor de prelucrare.”
Compania și-a plătit amenda decisă de autoritate.
Sursa foto: Dreamstime.com.
