Elektronická peněženka ShopeePay, která je součástí platformy pro elektronické obchodování, dostala od Inspektorátu ministerstva informací a komunikací pokutu ve výši 25 milionů VND za to, že neposoudila účinnost řídicích a technických opatření uplatňovaných na ochranu jejího informačního systému.
Podle Inspektorátu Ministerstva informací a komunikací provedl Odbor kybernetické bezpečnosti Ministerstva informací a komunikací dne 19. srpna kontrolu společnosti ShopeePay za účelem posouzení souladu akciové společnosti ShopeePay s právními předpisy v oblasti kybernetické bezpečnosti.
Podle inspekční zprávy oddělení informační bezpečnosti společnost ShopeePay Joint Company v zásadě dodržuje zákonné předpisy týkající se informační bezpečnosti a zavádí některé prvky, jako je vydání a aktualizace politik a předpisů k zajištění informační bezpečnosti; vytvořit a implementovat plán pro zajištění informační bezpečnosti; přidělit finanční prostředky na reakci na incidenty a informační bezpečnost; zpracovávat osobní údaje uživatelů v souladu s předpisy; implementovat monitorování a přijímat opatření k prevenci a boji proti malwaru za účelem ochrany informačních systémů.
Tato společnost však dosud neprovedla hodnocení účinnosti manažerských a technických opatření uplatňovaných na její podnikový informační systém, jak to vyžadují předpisy.
Společnost konkrétně nekontrolovala úplnost a vhodnost předpisů o informační bezpečnosti dle schváleného plánu informační bezpečnosti; neposoudila soulad s předpisy a postupy v předpisech o informační bezpečnosti během provozu, využívání, ukončení nebo vyřazování informačního systému z provozu; a nehodnotila návrh informačního systému, jeho zavedení a konfiguraci dle schváleného plánu informační bezpečnosti.
Za výše uvedené porušení uložil Inspektorát Ministerstva informací a komunikací společnosti ShopeePay akciovou společnost správní pokutu ve výši 25 milionů VND.
Aby bylo zajištěno řádné a efektivní zavedení opatření v oblasti kybernetické bezpečnosti, Ministerstvo informací a komunikací doporučuje, aby organizace a podniky při investicích do vybavení a řešení pro informační systémy věnovaly pozornost konfiguraci zařízení a aplikaci optimálních technických řešení, která jsou vhodná pro jejich informační systémy.
Kromě toho je nutné posílit kontrolu a hodnocení účinnosti kybernetických bezpečnostních opatření dle schváleného plánu, aby se zvýšila účinnost kybernetické bezpečnosti systému.
Zdroj
Komentář (0)