Dans son jugement, le PDPC a estimé qu’Ascentis n’avait pas désactivé le compte administrateur de Peter après son départ de Kyanon et du projet Starbucks Singapour. De l’aveu même d’Ascentis, elle était responsable de la création et de la gestion des comptes administrateur.
Cela a été aggravé par le fait que le compte n’était pas protégé par un mot de passe suffisamment complexe, a déclaré le PDPC.
Ascentis avait déclaré au PDPC que le nouveau mot de passe répondait aux exigences de complexité de mot de passe de la plate-forme – au moins huit caractères, une lettre majuscule et une lettre minuscule, un caractère spécial et ne devait pas être une répétition des cinq mots de passe précédents du compte.
Le PDPC a réitéré sa position selon laquelle « la simple conformité technique » aux exigences de complexité des mots de passe « n’est pas suffisante si le mot de passe reste devinable ».
Dans ce cas, le nouveau mot de passe incorporait « Kyanon » et une série séquentielle de chiffres.
Le PDPC a ajouté : « Bien que la cause immédiate du nouveau mot de passe faible et du partage non sécurisé des informations d’identification du compte administrateur de Peter puisse être due aux employés de Kyanon, (Ascentis) aurait pu mieux gérer cela en spécifiant des exigences plus claires en matière de protection des données à Kyanon dans le cadre de son implication dans le projet, y compris en matière de gestion des comptes.
AUTHENTIFICATION MULTIFACTEURS
Le PDPC a également formulé des observations sur deux autres pratiques de protection des données qui auraient pu empêcher la violation de données, même si le compte administrateur de Peter n’avait pas été désactivé.
Une pratique consistait uniquement à attribuer des droits pour un compte administrateur aux employés concernés et à mettre en œuvre une authentification multifacteur pour ces comptes.
Le PDPC a déclaré qu’il reconnaissait les difficultés commerciales rencontrées par Ascentis, qui avait expliqué avoir retardé les projets de mise en œuvre de l’authentification multifacteur en raison du manque de main-d’œuvre causé par la pandémie de COVID-19.
Toutefois, il a ajouté que la mise en œuvre aurait pu bénéficier d’une plus grande priorité, compte tenu du volume de données personnelles stockées sur la plateforme de commerce électronique.
En déterminant la sanction financière, le PDPC a reconnu qu’Ascentis avait coopéré aux enquêtes, pris des mesures correctives rapides, n’avait pas enfreint auparavant la loi sur la protection des données personnelles et avait volontairement accepté la responsabilité de l’incident.
Le PDPC a également déclaré qu’il était convaincu que la violation de données ne pouvait pas être directement attribuée à Starbucks Singapour, puisque des défaillances internes d’Ascentis étaient à l’origine de la violation.
La commission a toutefois ajouté que Starbucks Singapour « pourrait encore améliorer les stipulations contractuelles et le traitement de ses intermédiaires de données ».
Le PDPC a déterminé que Starbucks Singapour respectait les termes de son engagement volontaire, a-t-il indiqué.
L’entreprise impliquait un plan de remédiation, notamment en demandant à son fournisseur de mettre en œuvre une authentification à deux facteurs et une restriction d’adresse IP pour accéder au portail d’administration de la base de données clients.
NE STOCKE PAS LES INFORMATIONS DE CARTE DE CRÉDIT
Lorsque la violation a été révélée, Starbucks Singapour a déclaré dans un e-mail envoyé aux clients qu’il ne stockait pas les informations de carte de crédit conformément à ses pratiques de sécurité en matière de données.
Il a également déclaré avoir mis en œuvre des mesures supplémentaires pour protéger les informations des clients, ajoutant que toutes les valeurs, récompenses et crédits stockés dans l’adhésion Starbucks Rewards des utilisateurs restaient intacts.
CNA a sollicité d’autres commentaires de Starbucks Singapour à la suite du jugement.
En octobre de l’année dernière, le montant maximum d’amende qu’une entreprise peut se voir infliger pour violation de données a été augmenté à 10 % de son chiffre d’affaires annuel à Singapour ou à 1 million de dollars singapouriens, le montant le plus élevé étant retenu.
Auparavant, les organisations qui enfreignaient la loi sur la protection des données personnelles s’exposeraient à une sanction financière pouvant aller jusqu’à 1 million de dollars singapouriens.
2023-11-16 13:36:50
1700143123
#Une #agence #marketing #fidélisation #condamnée #une #amende #dollars #singapouriens #pour #fuite #données #sur #les #clients #Starbucks #Singapour
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/PTVWBZW33RFHNOTG3K47KIVHJY.jpg?fit=300%2C300&ssl=1)
