8月14日,访问控制和考勤提供商Suprema被披露数据泄露事件。本次泄露数据约23GB近2800万条记录,其中包含100万条指纹记录、用户图像、面部数据、安全区域进入记录、用户安全级别、访问许可和员工信息(电子邮件、家庭地址、移动设备以及未加密的访问凭证)。研究人员表示,攻击者可以利用访问凭据绕过安全设施访问控制。

打开网易新闻 查看精彩图片

据悉,安全团队在无安全保护公开访问数据库发现SupremaBiostar 2敏感数据,最新消息称,Biostar 2公司Elasticsearch服务开启了未授权访问。

注:7月份,Suprema作为优秀厂商曾在北京安博会展示了设备高识别率和灵敏性。

打开网易新闻 查看精彩图片

一、关于Suprema

Suprema是全球领先的生物识别和安全提供商。Suprema广泛的产品组合包括生物识别门禁系统、考勤解决方案、指纹实时扫描仪、移动认证解决方案和嵌入式指纹模块。Suprema在130多个国家拥有全球销售网络,全球近6000家客户(包含大型企业、中小型企业、政府、银行和英国大都会警察局),曾入选全球50强安全制造商。Biostar 2是Suprema核心技术,Suprema对开放SDK和API。

二、事件追踪

1.事件进展

安全团队曾经试图与Suprema取得联系,但电子邮件、电话联系均未果,于是将整个事件向英国大都会警察局进行上报。Suprema未进行任何有效回应。

2.处罚分析

根据2017年最新安防设备50强榜单,Suprema公司2016年全年营收为6600万美元。根据GDPR罚款规则,Suprema公司有可能将被处以1000万欧元罚款。

同时,请注意

打开网易新闻 查看精彩图片

三、GDPR在英国

1. 英国针对违反GDPR事件一直保持积极且强硬态度,在整个2018年,英国针对GDPR罚款达到2亿美元。

2. 英国一直支持GDPR且有比GDPR更严苛数据保护法律,包含但不限于PECR、DPA(2018年再次修订该法)、eIDAS等。

四、海外经营注意事项

2018年七部门印发《企业境外经营合规管理指引》,其中明确合规要求:

第九条境外日常经营中的合规要求

企业开展境外日常经营,应确保经营活动全流程、全方位合规,全面掌握关于劳工权利保护、环境保护、数据和隐私保护、知识产权保护、反腐败、反贿赂、反垄断、反洗钱、反恐怖融资、贸易管制、财务税收等方面的具体要求。

第十四条合规管理办法

企业应在合规行为准则的基础上,针对特定主题或特定风险领域制定具体的合规管理办法,包括但不限于礼品及招待、赞助及捐赠、利益冲突管理、举报管理和内部调查、人力资源管理、税务管理、商业伙伴合规管理等内容。

企业还应针对特定行业或地区的合规要求,结合企业自身的特点和发展需要,制定相应的合规风险管理办法。例如金融业及有关行业的反洗钱及反恐怖融资政策,银行、通信、医疗等行业的数据和隐私保护政策等。

五、海外经营数据保护

数据保护海外经营,尤其是跨国公司隐患十分突出。比如,金融服务和数据保护领域的监管者常常担心,云计算会将数据传递到多个境外司法管辖区,从而导致数据被不当使用,或受到多个司法管辖区监管。再比如,发生安全事件后,如果披露方受限不能提供个人数据(比如与员工和/或客户有关的数据),导致监管受阻的情况,将被处以极重违规罚款。

附录.关于GDPR罚款规则

1.处以1000万欧元或者上一年度全球营收的2%,两者取其高;针对:违反隐私保护设计,以及默认隐私保护,没有实施充分的IT安全保障措施、违反数据泄露通知要求等等(第83条第4款);

2.处以2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。针对:违反数据处理原则,数据处理没有合法基础,违法同意要求,侵害数据主体的合法权利等(第83条第5款)。