Jak poinformował portal niebezpiecznik.pl, serwis Kolei Mazowieckich niezbyt dobrze chroni dane właścicieli Karty Mazowieckiej umożliwiającej zakodowanie biletów przewoźnika oraz warszawskiego ZTM. Przewoźnik wydał w tej sprawie oświadczenie.
Spółka poinformowała, że w dniu 30 listopada 2015 r. otrzymała informację od użytkownika o luce systemowej portalu karta.mazowieckie.com.pl. Nieprawidłowość polegała na niewłaściwym zabezpieczeniu konta testowego wykorzystywanego na potrzeby przygotowania systemu Karty Mazowieckiej oraz portalu klienta. Zalogowanie się do ww. konta dało możliwość podglądu danych użytkowników korzystających z Karty Mazowieckiej.
- Konto zostało natychmiast zablokowane. Zaistniała sytuacja mogła pojawić się w momencie implementowania nowej szaty graficznej oraz rozwiązań w portalu klienta - czytamy w oświadczeniu Kolei Mazowieckich.
Przewoźnik prowadzi obecnie kompleksowe działania kontrolne w celu ustalenia przyczyn powstałej nieprawidłowości, jak też w celu wykrycia i wyeliminowania wszystkich możliwych nieprawidłowości i słabości w stosowanych zabezpieczeniach oraz w celu zapobieżenia wystąpieniu podobnych incydentów w przyszłości.
Powołany administrator bezpieczeństwa Informacji, odpowiedzialny za zapewnienie przestrzegania przepisów o ochronie danych osobowych, podjął działania w celu dokonania sprawdzenia doraźnego przetwarzania danych osobowych w zbiorze „Karta Mazowiecka” i przywrócenia stanu zgodnego z przepisami.
Koleje Mazowieckie poinformowały, że posiadają opracowaną i wdrożoną dokumentację opisującą sposób przetwarzania danych osobowych, stosowanie do art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182). Dodatkowo przewoźnik ma wdrożony i udokumentowany zestaw procedur służących do zapewnienia bezpieczeństwa przetwarzanych danych (w tym politykę stosowania haseł) i zapewnienia prawidłowej reakcji na zaistniałe zdarzenia. Procedury te funkcjonują w ramach wdrożonego i certyfikowanego Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO/IEC 27001:2013.
Przewoźnik zaznacza, że ochrona danych prywatnych ma dla spółki duże znaczenie i dokłada starań, aby odwiedzający strony internetowe mieli poczucie bezpieczeństwa. - Ochrona sfery prywatnej w trakcie przetwarzania danych osobowych jest dla ważnym aspektem, który uwzględniamy w procesach działalności naszego przedsiębiorstwa – czytamy dalej w oświadczeniu.
