Управление Австралийского комиссара по информации (OAIC) приняло обязательство, подлежащее исполнению в судебном порядке, от Банка Содружества Австралии (CBA) в связи с расследованием проблем, связанных с обработкой банком данных клиентов.
Удар по носу крупнейшему австралийскому банку последовал после того, как в прошлом году ЦБА обратился к надзорному органу за конфиденциальностью по двум вопросам, включая потерю в 2016 году магнитных накопительных лент, содержащих исторические отчеты для 20 миллионов клиентов, и другие неадекватные внутренние средства контроля доступа.
В прошлом году вопросы доступа к данным были связаны с продажей CBA Colonial Mutual Life Assurance Society (CMLA), где в ходе мероприятий по сегрегации данных было обнаружено, что 16 общих приложений, содержащих информацию о клиентах CMLA, могли быть доступны сотрудникам банковской группы, не являющимся членами CMLA.
В рамках этого обязательства у ЦБА теперь есть 90 дней, чтобы разработать и представить OAIC рабочий план и график работы по выполнению своих обязательств в области конфиденциальности, включая обзор своей политики, процедур и стандартов хранения данных, а также обеспечить обучение персонала для обеспечения их соблюдения.
“ЦБА также должен оценить свои ИТ-услуги и системы, чтобы убедиться, что он принимает соответствующие меры для контроля доступа к личной информации клиентов”, — говорится в сообщении OAIC.
Австралийский комиссар по вопросам информации и конфиденциальности Анджелин Фальк заявила, что расследование управлением этих вопросов, которое также учитывало отчет Австралийского Управления пруденциального регулирования, показало, что банк реагировал только на вопросы риска и соблюдения требований.
“Австралийское сообщество ожидает, что поставщики финансовых услуг, да и вообще все организации, будут активно защищать личную информацию, которой они владеют”, — сказал Фальк.
“Наши запросы выявили недостатки в управлении персональной информацией ЦБА, в частности в его внутреннем контроле доступа и подходе к хранению и уничтожению. В результате этой работы ЦБА взял на себя обязательство в судебном порядке существенно улучшить свою практику конфиденциальности.”
Фальк также воспользовался возможностью повторить, что все организации, регулируемые Законом о конфиденциальности 1988 года, должны активно управлять своими хранилищами данных для защиты личной информации, например, предоставляя доступ только по необходимости и безопасно уничтожая или деидентифицируя данные, когда они больше не нужны.
Главный риск-директор CBA group Найджел Уильямс заявил в своем заявлении, что банк продолжает решать вопросы конфиденциальности, взаимодействуя с такими регуляторами, как OAIC, для создания более совершенных систем, процессов и механизмов контроля.
“Мы предложили это [обязательное к исполнению обязательство] в качестве демонстрации нашей неизменной приверженности надлежащему управлению конфиденциальностью личной информации клиентов и решению любых проблем, выявленных Комиссаром”, — сказал он.
Банк также заявил, что ему еще предстоит найти доказательства неправильного использования данных в результате инцидентов в 2016 и 2018 годах, однако магнитные ленты, содержащие резервные копии данных с 2000 по начало 2016 года, до сих пор не найдены и не подтверждены уничтоженными.
