¿Qué ha pasado?Es la noticia de la semana. El pasado martes 10 de octubre, la aerolínea Air Europa confirmó haber sido víctima de un ataque informático que habría permitido a ciberdelincuentes acceder a los datos de las tarjetas de crédito de los clientes de la compañía. Concretamente, los datos filtrados han sido el número de tarjeta, la fecha de caducidad y el CVV.Al parecer, el hackeo se produjo debido a una brecha de seguridad en los sistemas de pago de la aerolínea. Según las últimas estimaciones, la base de datos afectada se estima que contiene registros de 100.000 usuarios.Recordemos que, no es la primera vez que la aerolínea sufre un incidente de seguridad con afección a datos personales. Ya en 2018, un ciberataque en sus sistemas de seguridad supuso que la confidencialidad de la información personal de casi medio millón de clientes de la compañía se viese comprometida. La inadecuada gestión de dicho incidente supuso la imposición de una multa por valor de 600.000 euros por parte de la Agencia Española de Protección de Datos (AEPD).¿Cómo se podría haber evitado esta situación? El grave incidente de seguridad plantea una duda clara: ¿disponía Air Europa de una base legal para almacenar los datos de las tarjetas de crédito de sus clientes?Al parecer, la compañía habría incumplido la normativa PCI-DSS de seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos privados de autenticación.Asimismo, el European Data Protection Board ya estableció en sus Directrices 02/2021 sobre almacenamiento de la tarjeta de crédito para facilitar futuras transacciones, que la ejecución de contrato no era una base válida para almacenar los datos de pago tras abonar el precio que se trate. Tampoco el interés legítimo.La única base legal para llevar dicho tratamiento de datos sería por tanto el consentimiento libre, específico e informado de los clientes.En definitiva, haber garantizado el cumplimiento de la normativa de protección de datos (específicamente el principio de licitud), habría mitigado considerablemente el incidente de seguridad producido.¿Cómo se resolvería una vez ocurrido?En primer lugar, con el fin de gestionar de forma adecuada una brecha de seguridad de estas características, resulta imprescindible:Establecer un procedimiento donde se recojan las pautas de actuación ante un posible incidente, así como los responsables de seguridad dentro de la organización (Dirección, Delegado de Protección de Datos, Responsable IT…).Una vez detectada y evaluada la brecha de datos personales, durante su resolución se debe documentar el proceso con toda la información que se vaya recopilando. Esta documentación será adjuntada al registro de incidentes.Seguidamente, el responsable de tratamiento debe valorar las posibles consecuencias que la brecha supone sobre los afectados y su severidad.Una vez hecha dicha valoración, si la brecha de seguridad constituye un riesgo para los derechos y libertades de los interesados se debe de notificar ante la AEPD en un plazo máximo de 72 horas y a los interesados afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo.En este sentido, AIR EUROPA procedió a comunicarse con todos sus clientes afectados informándoles sobre el incidente, así como recogiendo una serie de recomendaciones con el fin de prevenir la suplantación y fraude de las tarjetas :Identificar la tarjeta usada para efectuar pago/s en la página web de AIR EUROPA.Contactar con la entidad bancaria correspondiente.Solicitar la anunlación/cancelación/sustitución de la tarjeta comprometida para evitar el posible uso fraudulento.No facilitar información persona; pin, nombre o cualquier otro dato personal a través de teléfono.No pinchar enlaces que le avisen de operaciones fraudulentas. Póngase en contacto directamente con la entidad bancaria a través de medios constatables.Recopilar cualquier prueba de un posible uso no autorizado de la tarjeta de crédito y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.La importancia de aplicar la tecnología para evitar estos problemas.La aplicación de tecnología desempeña un papel fundamental en la prevención de brechas de seguridad de datos personales. Seguidamente, se recogen varias formas en las que la tecnología podría haber ayudado a evitar la brecha de datos personales producida:Seguridad de la Red: La tecnología avanzada de seguridad de red, como firewalls y sistemas de detección de intrusiones, ayudan a identificar y prevenir intentos no autorizados de acceso a los sistemas de la aerolínea. Esto podría haber evitado el acceso de los ciberdelincuentes a la infraestructura de TI de la aerolínea.Encriptación de Datos: La encriptación de datos es esencial para proteger la información sensible, como los números de tarjetas de crédito. Si los datos están encriptados, incluso si un atacante logra acceder a ellos, no lograría descifrar la información sin la clave adecuada.Autenticación de Usuarios: La autenticación de dos factores y otras técnicas avanzadas de autenticación pueden ayudar a garantizar que solo las personas autorizadas tengan acceso a los sistemas de la aerolínea.Monitoreo y Detección de Amenazas en Tiempo Real: La implementación de sistemas de monitoreo y detección de amenazas en tiempo real habría permitido a la aerolínea detectar actividades sospechosas de inmediato. Si se detecta un acceso no autorizado o un comportamiento anómalo, se pueden tomar medidas de forma inmediata para detener una brecha antes de que cause un daño significativo.En definitiva, el uso de tecnologías adecuadas es esencial para garantizar la seguridad de los datos personales en una organización. En este sentido, contar con un servicio de asesoramiento especializado en materia de protección de datos, así como en materia de seguridad de la información, permite a las organizaciones asegurar la protección de los datos personales tratados en el contexto de su actividad; así como garantizar el cumplimiento de las obligaciones impuestas por el Reglamento General de Protección de Datos. En UBT Legal & Compliance contamos con un expertise en el asesoramiento para la gestión del cumplimiento normativo totalmente adaptado a las necesidades de nuestros clientes. En este caso, la adopción de medidas de seguridad tecnológicas avanzadas, políticas de seguridad sólidas y capacitación del personal habría ayudado a prevenir la brechas de seguridad producida y a proteger la información de los clientes.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación