INPSは、データ侵害についてデータ保護機関に報告します

(ジュゼッペ・ゴルガ博士による)14年2020月33日、国立社会保障研究所(INPS)は、サーバー上でサイバーセキュリティプロトコルの違反を何度か受けました。 事件は、芸術によって要求されるように個人データの保護のために保証人に報告されました。 報告のテーマと方法を定めたGDPRのXNUMX。

INPSに損害を与える個人データの違反により、ユーザーがメインサイト(www.inps.it)に不正にアクセスし、第三者に属する個人データが相対的に表示されるようになりました。

この「強打」は、イタリア市民の大きな需要により、ベビーシッターサービスの購入に対するボーナス(いわゆる「ベビーシッティングボーナス」)の提供と、収入を支援するサービスの要求のために発生しました。 、COVID19からの緊急事態に関連し、法令18/2020によって規定されています。

これに関して、研究所は、サービスの適切なレベルの使用可能性とDDOS攻撃からの保護を保証するために、「この管理に適している」と見なされるCDN(コンテンツ配信ネットワーク)サービスを使用することを決定しました。サービス提供モデル。

Leonardo社も関与しており、INPS、Microsoft、および後者の間で「テクニカルテーブル」を形成することにより、システムサポートを提供しています。

これに加えて、研究所は、アカマイ技術に基づいたコンテンツ配信の観点から、マイクロソフトの技術提供を利用します。 ただし、これらの対策はすべて、要求の流れを処理するには不十分であることがわかります。

緊急事態の発生に直面して、INSPはウェブサイトの一時的な閉鎖を大幅に選択しました。 この決定は、www.inps.itポータルの最適化を実行し、仲介者や市民からのトラフィックを制限するために必要でした。

個人データの配布を制限するための研究所のさらなる保護措置は、データ侵害に関するレポートと証拠を送信できるように、特別なviolazionedatiGDPR@inps.itボックスを作成することでした。

さまざまな報告から、第三者が表示するデータは、主に個人データ、居住地、電子連絡先に関するものであり、819人を超えない多くの被験者が発見したことがわかりました。 

これに関して、INPSは、「表示されるデータの種類を考慮し、表示の可能性が、それらとは関係や関心がないように見える被験者によって、時間の経過とともに完全にランダムで限られた方法で行われたことを考慮して関与し、[…]違反は個人の権利と自由に対する高いリスクを表すようなものではないと考えています。」

重要ではありませんが、たとえば、31年2020月19日にすでに発生した個人データへの不正アクセスや手順のコンテキストで見つかった異常など、研究所のポータルに直接接続されていなくても、この分析から明らかになったさらなる異常COVID-XNUMXの補償。

結論として、アートに準拠したプライバシー保証人。 58、パー。 2、レット。 e)規則の中で、関係するすべての利害関係者に問題の個人データの違反を遅滞なく伝達するようにINPSに命令します。 さらに、INPSは、問題を解決するためにどのイニシアチブが実施されたかを伝え、アートに従って適切に文書化されたフィードバックを提供するよう求められます。 規定の受領日から157日以内のコードの20。

これにより、デフォルトで発生する可能性のあるすべての重大な問題を強調しなかった場合に、データが常に潜在的に危険にさらされていることを反映する必要があります。

INPSに対する個人データの違反