Как сохранить конфиденциальность данных | Статьи SEOnews
Почему главно оберегать индивидуальные данные?
Под индивидуальными данными (ПД) мы разумеем всякую информацию, с поддержкою которой можнож идентифицировать личность жителя нашей планеты. Компании собирают ПД в рекламных целях – чтоб удержать покупателя, повысить качество профилактики и нарастить объемы продаж.
Зная индивидуальные сведения о клиенте, вы поддерживаете связь в комфортном для него канале: приветствуете в чат-боте, подсказываете о брошенной корзине в push-уведомлениях, присылаете персонализированные акции по SMS. Чтоб усовершенствовать воронку продаж, можнож заавтоматизировать ее, объединив все каналы с CRM-системой.
Многосторонняя работа с клиентской базой подсобляет развивать бизнес. К примеру, дозволяет творить релевантные предложения и отыскивать слабенькие места в воронке. Но для составления профиля клиента главно получить его добровольное согласие на обработку ПД и беречь секретность инфы под семью печатями. Даже ежели юзер регится в вашем прибавлении для заказа пиццы.
В мировой практике знаменито много случаев, когда собственные данные юзеров «утекали» в веб. В итоге учащались эпизоды мошенничества в соцсетях, кражи собственных данных и инфецирования компов вирусами. Законопреступнику довольно получить доступ к базе одной компании, чтоб овладевать банковскими данными тыщи клиентов и вывести средства со счетов.
Самые ухищренные представляются сотрудниками банков и пробуют войти в доверие, зная лишь ФИО, адресок проживания и место работы жертвы. Также в заключительные годы участилась продажа баз с контактными данными. Разговаривая обычным языком, хоть какой бизнесмен может покупать информацию о возможной ЦА и применять ее для рекламы услуг. Такие события тоже числятся преступными.
Чем опасна утечка данных?Изъясняем на примерах
Нередко утечки ПД происходят по халатности рядового персонала и управляющих. Также по вине взломщиков или бесчестных соперников.
В 2018 году в руинтернете возникли скриншоты со сведениями покупателей из CRM-системы Ozon, включая номера, ID, суммы заказов и наиболее 450 000 логинов email. Маркетплейс объяснил утечку недобросовестностью сотрудника: скриншоты содержали переписку от личика 1-го и такого же профессионала. Правда, опосля инцидента СМИ выпустили фрагмент рабочего чата, который подтверждал: пароли заказчиков хранились в незашифрованном виде.
Компания не уведомила клиентов о произошедшем, чем вызвала больший энтузиазм у контролирующих служб. Но история закончилась для Ozon благоприятно: тогда к теме сохранности данных относились не так серьезно, и трибунал решил не назначать штраф.
Практически все помнят недавний вариант с «Яндекс Едой». 1 марта 2022 года клиенты узнали, что в Сеть попали их номера телефонов и детали заказов за заключительные 6 месяцев – на наиболее 58 000 адресов.
Отметим, что компания сама сказала клиентам о случившемся, ссылаясь на «недобросовестные действия» сотрудника. Невзирая на это, несколько юзеров подали коллективный иск, требуя по 100 000 рублей компенсации каждому, что является наибольшим наказанием. Позднее столичный трибунал обязал компанию выплатить штраф в размере 60 000 рублей.
Еще досаднее, когда в общий доступ «утекают» данные клиентов лабораторий и клиник. Так, весной 2022 года в даркнет попали собственные сведения 30 млн пациентов сети лабораторий «Гемотест» – объемом на 300 гб. Причина – хакерская атака базы. Позднее в СМИ заговорили о продаже украденной инфы третьим личикам.
Лаборатория заявила, что нашла взлом еще 22 апреля и инициировала внутреннюю проверку. Спустя практически три месяца трибунал провозгласил штраф – 60 000 рублей. Наверное для большой сети, входящей в топ-5 лабораторий Рф, сумма не сильно стукнула по бюджету. Наиболее критичным оказалось утратить доверие клиентов.
Как отреагировало законодательство?Для пресечения повторных рисков Минцифры убыстрила согласование законопроекта, который предугадывал оборотный штраф в размере 1% за утечку инфы и 3%, ежели допустившая ситуацию компания скрыла инцидент.
Как обстоят дела с сиим в Беларуси?
В Беларуси не настолько не мало звучных эпизодов с утечкой данных, но они все-же есть. Вспомним историю сети «Соседи»: в июле 2022 года в вольный доступ попали email и мобильные номера 634 000 юзеров сайта. Компания обратилась в правоохранительные органы и разослала покупателям электронные письма с прощениями, заверив: слив не коснулся имен и паролей к собственным кабинетам.
Позднее сеть ужесточила защитные мероприятия и уволила нескольких служащих, имевших доступ к инфы о покупателях. В качестве доборной меры ввела авторизацию через SMS-пароль.
Напомним, процесс управления клиентскими данными в РБ регулирует Закон «О охране индивидуальных данных» от 7 мая 2021 года. Сообразно ему, юрлица должны соблюдать требования при работе с информацией о клиентах:
- Запрашивать согласие на обработку в письменной или электронной форме (электронный документ, отметка на сайте, получение письма на email) .
- Прозрачно указывать цели и сроки соглашения, также список событий и самих данных, нужных компании.
- Обрабатывать ПД лишь в нужном объеме и в согласовании с заявленными целями.
- Обеспечивать сохранность сведений на всех шагах обработки.
- При изменении сначало заявленных целей второй раз получать согласие на обработку.
Главно учитывать, что клиент вправе отозвать свое согласие в хоть какой момент и без изъяснения обстоятельств. В таком случае бизнесмен должен удалить информацию о потребителе в течение 15 дней (с момента получения заявления) и уведомить клиента о этом.
Преступная обработка данных или нарушение верховодил их охраны влечет штраф до 200 базисных величин (6400 BYN по состоянию на 2022 год) .
Информационная сохранность: как защитить данные клиентов?
По прогнозам Risk Based Security, в наиблежайшие 4–5 лет издержки на борьбу с киберпреступностью будут раз в год расти на 15%. Обезопасить бизнес в 2022 году можнож десятками способов. Осмотрим главные из их.
Запрашивайте согласие. Получайте от клиентов разрешение на сбор, хранение и обработку сведений. Ежели на сайте оставляют email (чтоб получить известие о статусе заказа) , то удалите информацию опосля доставки. Ежели далее желаете уведомлять покупателя о новостях, укажите срок хранения почты и спросите разрешение на рассылку.
Творите внутренние инструкции. Нередко рядовые сотрудники «сливают» ПД по неосмотрительности: запамятывают внутренние верховодила компании или не знают законов. В ваших интересах прописать аннотации, смонтировать подписи о ознакомлении и нередко проводить ликбез по информационной сохранности. Не пренебрегайте про NDA – уговор о неразглашении конфиденциальной инфы.
Используйте надежную CRM. В превосходную систему заложен набор приборов по охране данных. При этом любая CRM дает свои решения: двухфакторную авторизацию, работу с определенного IP или разделение прав, при котором лишь доверенные личика получают доступ к ключевым клиентам. Не разумеете, какую «црмку» выбрать, спросите у коллег по бизнесу, что употребляют они.
Сочиняйте модель угроз. Разработайте методичку с вероятными рисками системы сохранности. Документ включает причины, которые могут привести к нарушению приватности, доступности или целостности данных. Так вы поймете, как предотвратить утечки и какие каналы необходимо подстраховать. К примеру, банковские данные и сведения о здоровье идет оберегать наиболее серьезно, чем просто имя клиента.
Оберегайте сайт SSL-сертификатом. Клиент желает быть уверенным, что сведения о нем останутся в сохранности. Ежели находится эталон шифрования, то юзер увидит значок закрытого замка в поле браузера и усвоит: такому сайту можнож доверять.
Берегите базу на проверенном хостинге. Большие провайдеры имеют достаточный опыт для надежного хранения инфы: их серверы сосредоточены в дата-центрах и защищены от отключения кормления. Пользуясь услугой хостинга, вы получаете сертификат SSL, защищаете себя от DDoS-атак и взломов. Также сможете вернуть сайт из копии, ежели инфецирование все-же вышло.
Используйте СЗИ. Средства охраны инфы – это аппаратные комплексы и антивирусные ПО, которые защищают коммерческую сеть от вредного проникания извне и предостерегают утечки. Ежели у компании есть техно база, но вы не разумеете, как сделать ее работу, закажите аттестацию СЗИ.
Чего же не стоит делать?
- Разглашать ПД третьим личикам без согласия потребителя. Но сведения можнож передавать контролирующим органам, контрагентам и партнерам, которые обрабатывают данные по уговору.
- Беречь сведения в всех базах, ежели клиент отозвал согласие. В случае, ежели по любым причинам удалить сведения невероятно, по закону РБ довольно прекратить их обработку.
- Соединять базы, содержащие ПД для различных целей. К примеру, номер телефона для звонков нельзя применять в целях почтовой рассылки – это облагается штрафом.
В спорных вариантах обратитесь к юристу по информационной сохранности. Спец в деталях скажет, что предугадать, чтоб не «влететь на штраф». А ввести техно сочиняющую – установить хедер Set-Cookie или защитить сайт от XSS-атак – поможет команда разрабов, которая занимается вашим сайтом.
Какой делаем вывод?
В утечке данных приятного малюсенько – как для клиента, так и для компании. Но и оговаривать в хитрых замыслах бизнесменов не стоит. Онлайн-пространство живо развивается и подсвечивает новейшие трудности, решение которых мы непременно обретаем. Основное осмысливать, что обеспечение приватности – не одноразовое мероприятие.
Оберегайте данные непрерывно. Да, это просит вашего старания, но никакие вложения в сохранность не сравнятся с последствиями утечки в виде штрафов, проверок и утраты доверия со стороны клиентов. Ежели опосля чтения статьи закралось колебание насчет защищенности данных, пройдите аттестацию. Функцию можнож заказать у хостинг-провайдера: он проверит вашу систему, выявит опасности утечек и решит технические трудности.
Статьи
Комментариев 0