Przedstawiciele firmy IDEO, która zajmuje się administracją systemu Krakowskiej Karty przysłał do naszej redakcji oświadczenie. Czytamy w nim między innymi o zmianach, jakie zaszły w systemach zabezpieczeń.

Poniżej publikujemy oświadczenie w całości:

„Informujemy, że zaistniały na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej, był wynikiem braku włączenia w systemie wszystkich opcji zabezpieczających. Mamy świadomość, że sytuacja taka nie powinna mieć miejsca, dlatego z całą odpowiedzialnością przepraszamy.

Niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęliśmy działania, które uniemożliwiły dostęp do systemu dla osób niepożądanych. Przeprowadzony przez nas audyt bezpieczeństwa wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Następstwem zgłoszenia było natychmiastowe zablokowanie dostępu do systemu dla osób niepożądanych. Podnieśliśmy poziomy zabezpieczeń między innymi przez wdrożenie dodatkowych reguł ustawiania haseł. Pozostajemy w stałym kontakcie z Klientem i wspólnie dążymy do całkowitego wyjaśnienia sprawy, również w kontekście ewentualnego dysponowania przez osobę nieupoważnioną jakimikolwiek danymi osobowymi.

Ochrona danych naszych Klientów jest dla nas priorytetem. Na bieżąco realizujemy wymogi wynikające ze zmian prawa, ale i indywidualnych ustaleń z Klientami zarówno pod względem prawnym, jak i bezpieczeństwa.

Zdajemy sobie sprawę z powagi tej sytuacji, dlatego niezwłocznie po uzyskaniu informacji uruchomione zostały dodatkowe procedury wewnętrzne. Pracownicy przechodzą dodatkowe szkolenia w zakresie zabezpieczenia danych naszych klientów.

Aktualizujemy procedury i wprowadzamy bardziej restrykcyjne stosowanie się do nich. W realizowanych przez nas systemach ponownie sprawdziliśmy mechanizmy odpowiadające za bezpieczeństwo kont użytkowników oraz danych przechowywanych w systemach. Rozbudowaliśmy mechanizmy, które wymuszają stosowanie skomplikowanych haseł i okresową ich zmianę. Na życzenie Klienta ograniczamy możliwości logowania do systemów jedynie ze wskazanych adresów IP, by uniemożliwić zewnętrzny dostęp do danego systemu. Włączamy także uwierzytelnianie dwustopniowe 2FA”.