德国宽带提供商1&1因身份认证缺陷被罚955万欧元

 

 

转载自作者微信公众号【数据安全架构与治理】： https://mp.weixin.qq.com/s/dAWIneN5P6PePK-npP4tnQ

 

7月份，本公众号曾总结了《数据安全大额罚单一览》，而就在昨天，2019年12月9日，德国BfDI（联邦数据保护与信息自由专员办公室）向宽带运营商1&1开出一张955万欧元（折合人民币大约7449万元）的罚单。

​

到底是什么原因导致这家运营商被罚呢？

 

原来，这家运营商在其提供的服务中没有采取有效的身份认证手段，只需输入客户的姓名和出生日期，用户就可以获取有关该客户的大量个人信息。BfDI认为，这违反了DSGVO（即GDPR在德国的称呼）第32条。GDPR第32条规定，公司必须采取适当的技术和组织措施来保护个人数据的安全。

 

身份认证，是典型的安全技术控制措施，身份认证的缺失或认证机制不足，直接导致GDPR第32条的合规冲突（技术和组织保障措施不到位）。

 

身份认证，也是《数据安全架构设计与实战》一书中从源头保障产品数据安全的五个要素之一，详见：从源头打造安全的产品，保障数据安全

 

安全防护，从源头开始，从身份认证开始，执行基于身份的信任与访问控制。

 

---

 

附录：数据安全大额罚单（截至2019.12.10）

 

此外，作者还整理了更为详细的大额罚单及原因并上传到百度网盘，关注【数据安全架构与治理】后，在后台直接回复：“大额罚单”，即可获取下载地址。