Án phạt được đưa ra liên quan đến dữ liệu thông tin trên thẻ tín dụng của khoảng 500.000 khách hàng bị đánh cắp trong khoảng thời gian từ tháng 6 đến tháng 9 năm ngoái, ICO cho biết.
Theo IAG, đề xuất án phạt mà ICO đưa ra tương đương với 1,5% tổng doanh thu của BA trong năm 2017.
ICO cho rằng, nguyên nhân dẫn đến tin tặc tấn công thông tin trên trang web của BA được cho là sự yếu kém trong an ninh mạng. Theo báo cáo, các thủ phạm đã đánh cắp dữ liệu bao gồm địa chỉ thanh toán, địa chỉ email và thông tin thanh toán thẻ của khách hàng - bao gồm số thẻ, ngày hết hạn…
“Chúng tôi rất bất ngờ và thất vọng về án phạt ban đầu của ICO”, ông Alex Cruz, Chủ tịch kiêm Giám đốc điều hành hãng BA.
“British Airways đã có phản ứng nhanh chóng trước sự việc xảy ra và không tìm thấy bằng chứng về hành vi thiếu trung thực đối với các tài khoản có liên quan tới vụ trộm cắp thông tin khách hàng”, ông cho biết và gửi lời xin lỗi tới các khách hàng nếu có bất cứ sự bất tiện nào xảy ra.
Ông Willie Walsh, Giám đốc điều hành IAG, cho biết BA sẽ phải giải trình với ICO về sự việc liên quan đến án phạt.
“Chúng tôi sẽ có bước đi thích hợp nhằm bảo vệ uy tín cho hãng hàng không, kể cả khiếu nại nếu thấy cần thiết”, ông cho hay.
Trước đó, hãng BA cho biết nhiều thông tin cá nhân và dữ liệu tài chính từ 380.000 thẻ thanh toán của các khách hàng đã bị đánh cắp trong một vụ trộm dữ liệu.
Các đối tượng đã xâm nhập vào trang web và ứng dụng đặt vé di động của BA để lấy thông tin cá nhân, dữ liệu tài chính, tuy nhiên thông tin cá nhân và lịch trình đi lại và hộ chiếu không bị đánh cắp.
Theo ông Alex Cruz, cuộc tấn công hết sức tinh vi, độc hại và vi phạm pháp luật. Tại thời điểm bị đánh cắp, hãng hàng không đã cảnh báo mọi người nên liên hệ với các nhà cung cấp thẻ tín dụng để báo cáo vi phạm
Quy định Bảo vệ Dữ liệu chung của EU (quy định của luật EU về bảo vệ dữ liệu và quyền riêng tư cho tất cả các cá nhân trong Liên minh châu Âu và Khu vực kinh tế châu Âu), có hiệu lực từ ngày 25/5/2018, yêu cầu các công ty thực hiện các biện pháp phòng ngừa liên quan đến kỹ thuật như mã hóa để bảo vệ dữ liệu khách hàng. Quy định này cũng cho biết các công ty phải thông báo cho chính quyền về các vi phạm trong vòng 72 giờ sau khi phát hiện vụ việc./.
Hoài Hà (Theo CNN, Bloomberg)