La Agencia Española de Protección de Datos (AEPD) ha sancionado a BARCELONESA DE DROGAS Y PRODUCTOS QUIMICOS, S.A.U. (Barcelonesa), que comercializa productos a través de su tienda online, tras sufrir esta una brecha de seguridad de datos personales consistente en un “posible robo de datos de pago de tarjetas de crédito a través de intrusión en formulario java de página web.”
Las compras a través de la tienda online de Barcelonesa se realizaban empleando un método de pago por el que los clientes proporcionaban los datos de sus tarjetas a través de un formulario establecido en esa web (a través del cual se produjo la brecha) y de modo que los datos de tarjeta (aunque no se almacenen) pasan por sus servidores antes de enviarse a la entidad de pago, lo que incrementa el riesgo de que sean interceptados en caso de una intrusión. Una vez acaecida la brecha, sustituyó ese método por el de “pasarela de pago”, en el que los clientes proporcionan los datos de sus tarjetas en un formulario establecido en los sistemas de la entidad de pago, sin pasar por los sistemas del e-commerce.
Los atacantes habrían tenido la oportunidad de leer los datos de las tarjetas mientras los clientes los introducían en la página web de Barcelonesa, de manera inadvertida, sin que dicha empresa ni los proveedores de servicios de pago fueran conscientes de ello.
La entidad puso en conocimiento de la AEPD toda la información relativa a la brecha de datos y destacó que de los 359 posibles afectados, solo uno sufrió cargos en su cuenta bancaria.
La AEPD procedió a realizar actuaciones previas de investigación y tras un análisis de los hechos, la AEPD entiende que se ha incumplido:
• El artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD): principio de integridad y confidencialidad de datos personales. Ello debido a la ausencia de medidas técnicas y organizativas de seguridad adecuadas. Además de no existir medidas eficaces se destaca la ausencia de un análisis de riesgos específicos, lo que denota una presunta falta de diligencia en la identificación y gestión de amenazasasociadas al tratamiento de datos de tarjetas de crédito y débito. Tampoco existían medidas destinadas a detectar el inicio de la brecha, de hecho, Barcelonesa tuvo conocimiento de su existencia por el aviso de un tercero.
• El 28.3 del RGPD que impone la obligación de formalizar un contrato con la entidad que vaya a realizar operaciones de tratamiento de datos personales por cuenta del responsable de forma que se garantice el cumplimento de las obligaciones del RGPD por parte del encargado. Pues bien, no consta el contrato de encargo entre Barcelonesa y la entidad con la que contrató el sistema de cobro.
La AEPD, tras analizar los hechos y confirmar las infracciones cometidas, sanciona al e-commerce con una multa de 310.000€ que, tras las reducciones aplicadas, acabó con el pago total de 186.000€. Además, la AEPD les impuso la obligación de adoptar medidas técnicas y organizativas como el cambio de las contraseñas de administración utilizadas en el sitio web afectado y la actualización de todos los componentes del sitio web, así como la regularización de los contratos de encargo no realizados.