top of page
Szukaj

Kara nałożona na południowokoreańską firmę Coupang

Korea Południowa nałożyła na firmę Coupang grzywnę w wysokości 625 miliardów wonów, czyli około 409 milionów dolarów, w związku z poważnym wyciekiem danych klientów oraz ustaleniami dotyczącymi niezgodnego z prawem gromadzenia danych osobowych.


Według agencji Reuters jest to najwyższa kara za naruszenie bezpieczeństwa danych, jaką kiedykolwiek nałożono na firmę w Korei Południowej. Komisja ds. Ochrony Danych Osobowych stwierdziła, że firma Coupang ujawniła dane osobowe ponad 33 milionów klientów i nie wykryła naruszenia w wymaganym przez prawo 72-godzinnym terminie na zgłoszenie.



✅ Przewodniczący organu regulacyjnego ds. ochrony prywatności stwierdził, że do incydentu doszło z powodu braku odpowiednich środków bezpieczeństwa i systemów w firmie Coupang, a nie w wyniku wyrafinowanego ataku hakerskiego. Agencja Reuters podała również, że w ramach śledztwa prowadzonego przez rząd winę za naruszenie bezpieczeństwa przypisano nieprawidłowościom w zarządzaniu.


Obraz autorstwa: vectorjuice na Magnific


Organy regulacyjne nie skupiają się już wyłącznie na tym, czy doszło do naruszenia. Sprawdzają, czy organizacja dysponowała przed naruszeniem odpowiednim systemem zarządzania, mechanizmami kontroli, monitoringu oraz zdolnością do reagowania.


✅ Były pracownik rzekomo ukradł klucz bezpieczeństwa i uzyskał nieuprawniony dostęp do kont klientów. Organ regulacyjny stwierdził, że system bezpieczeństwa firmy Coupang umożliwiał dostęp do danych osobowych nawet po odejściu podejrzanego z firmy. Firma podobno nie wykryła również nietypowego ruchu w zakresie danych klientów, dopóki nie została o tym poinformowana w wyniku zapytania jednego z klientów.


Rodzi to kilka niewygodnych pytań:


➡️ Czy dostęp został prawidłowo cofnięty po zakończeniu zatrudnienia?

➡️ Czy tajemnice i klucze bezpieczeństwa były odpowiednio zarządzane i poddawane rotacji?

➡️ Czy mechanizmy kontroli dostępu uprzywilejowanego były wystarczające?

➡️ Czy monitorowano nietypowe przypadki dostępu do danych klientów?

➡️ Czy alerty były miarodajne i umożliwiały podjęcie odpowiednich działań?

➡️ Czy istniał proces wykrywania naruszeń?

➡️ Czy skala działalności odpowiadała stopniowi dojrzałości programu ochrony danych?


Organ regulacyjny stwierdził, że program marketingowy firmy Coupang nielegalnie gromadził informacje o aktywności online około 11 milionów klientów bez ich zgody.


✅ Stopień dojrzałości w zakresie ochrony danych musi rosnąć w tym samym tempie, co skala działalności.


Jeśli organizacja przetwarza dane dziesiątek milionów klientów, potrzebuje dojrzałych mechanizmów kontroli.


 
 
 

Komentarze


Kontakt

BW Advisory sp. z  o.o.

Boczańska 25
03-156 Warszawa
NIP: 525-281-83-52

 

Polityka prywatności

  • LinkedIn
  • Youtube
bottom of page