7月份,本公众号曾总结了《数据安全大额罚单一览》,而就在昨天,2019年12月9日,德国BfDI(联邦数据保护与信息自由专员办公室)向宽带运营商1&1开出一张955万欧元(折合人民币大约7449万元)的罚单。
到底是什么原因导致这家运营商被罚呢?
原来,这家运营商在其提供的服务中没有采取有效的身份认证手段,只需输入客户的姓名和出生日期,用户就可以获取有关该客户的大量个人信息。BfDI认为,这违反了DSGVO(即GDPR在德国的称呼)第32条。GDPR第32条规定,公司必须采取适当的技术和组织措施来保护个人数据的安全。
身份认证,是典型的安全技术控制措施,身份认证的缺失或认证机制不足,直接导致GDPR第32条的合规冲突(技术和组织保障措施不到位)。
身份认证,也是《数据安全架构设计与实战》一书中从源头保障产品数据安全的五个要素之一,详见:
从源头打造安全的产品,保障数据安全
安全防护,从源头开始,从身份认证开始,执行基于身份的信任与访问控制。
附录:数据安全大额罚单(截至2019.12.10)