Bisnode måste skärpa säkerheten

18 april 2017

Datainspektionen riktar kritik mot hur kreditupplysningsföretaget Bisnode verifierar identiteten på de som använder företagets tjänster.

Datainspektionen har granskat kreditupplysningsföretaget Bisnode Kredit och har då särskilt undersökt hur bolaget verifierar identiteten på användare som ska ta del av kreditupplysningsinformation.

Bolaget har fyra olika sätt att autentisera användare, det vill säga att verifiera identiteten. Detta görs via antingen e-post, en app eller ett sms som innehåller en länk eller en kod. Datainspektionen anser att vanlig, oskyddad e-post inte kan användas för att säkerställa identiteten på den som loggar in och förelägger företaget att upphöra med den inloggningsmetoden.

- Att autentisera användare via en app eller ett sms som innehåller en länk eller en kod skulle kunna ge tillräckligt hög säkerhet, men eftersom företaget inte kontrollerar att den mobiltelefon som knyts till användarens konto hos Bisnode verkligen hör till användaren i fråga så uppnår företaget inte heller med de tre andra sätten tillräckligt hög nivå av säkerhet, säger Datainspektionens it-säkerhetsspecialist Magnus Bergström.

Datainspektionens förelägger därför Bisnode att ändra sina rutiner för att höja säkerheten. Ska sms-verifiering användas måste registreringen av användare kopplas till ett i förväg känt telefonnummer. Ska företagets app användas för autentisering måste företaget säkerställa vem som står bakom registreringen av appen.

Läs Datainspektionens beslut i pdf-format

För mer information kontakta
IT-säkerhetsspecialist Magnus Bergström, telefon 070-433 87 60
Pressekreterare Per Lövgren, telefon 070-736 10 80

RSS
Här kan du prenumerera på våra nyheter via RSS.