Bisnode måste skärpa säkerheten
Integritetsskyddsmyndigheten har granskat kreditupplysningsföretaget Bisnode Kredit och har då särskilt undersökt hur bolaget verifierar identiteten på användare som ska ta del av kreditupplysningsinformation.
Bolaget har fyra olika sätt att autentisera användare, det vill säga att verifiera identiteten. Detta görs via antingen e-post, en app eller ett sms som innehåller en länk eller en kod. Integritetsskyddsmyndigheten anser att vanlig, oskyddad e-post inte kan användas för att säkerställa identiteten på den som loggar in och förelägger företaget att upphöra med den inloggningsmetoden.
- Att autentisera användare via en app eller ett sms som innehåller en länk eller en kod skulle kunna ge tillräckligt hög säkerhet, men eftersom företaget inte kontrollerar att den mobiltelefon som knyts till användarens konto hos Bisnode verkligen hör till användaren i fråga så uppnår företaget inte heller med de tre andra sätten tillräckligt hög nivå av säkerhet, säger Integritetsskyddsmyndighetens it-säkerhetsspecialist Magnus Bergström.
Integritetsskyddsmyndighetens förelägger därför Bisnode att ändra sina rutiner för att höja säkerheten. Ska sms-verifiering användas måste registreringen av användare kopplas till ett i förväg känt telefonnummer. Ska företagets app användas för autentisering måste företaget säkerställa vem som står bakom registreringen av appen.
Läs Integritetsskyddsmyndighetens beslut i pdf-format (pdf, 328 kB)
Fler nyheter inom ämnet
-
IMY och fyra banker i GDPR-projekt för minskad penningtvätt
24 september 2024 -
Integritetsskyddsmyndigheten får ökade anslag
19 september 2024 -
EDPB:s GDPR-guide för små och medelstora företag nu på svenska
17 september 2024 -
Sanktionsavgifter mot Apoteket och Apohem för överföring av personuppgifter till Meta
30 augusti 2024
Fler nyheter inom ämnet
-
IMY och fyra banker i GDPR-projekt för minskad penningtvätt
24 september 2024 -
Integritetsskyddsmyndigheten får ökade anslag
19 september 2024 -
EDPB:s GDPR-guide för små och medelstora företag nu på svenska
17 september 2024 -
Sanktionsavgifter mot Apoteket och Apohem för överföring av personuppgifter till Meta
30 augusti 2024