«Чужое» облако или свой ЦОД? Как интернет-магазинам защищать персональные данные
Что должен делать интернет-магазин для защиты персональных данных?
Закон «О защите персональных данных» — один из немногих в Беларуси, которые предусматривают рискориентированный подход, поясняет ведущий юрисконсульт ActiveCloud Инга Ходорович. Это значит, что каждый оператор (уполномоченное лицо) исходя из своих бизнес-процессов самостоятельно определяет перечень необходимых и достаточных мер для обеспечения защиты персональных данных.
— Но есть и ряд обязательных мер, которые должен реализовать каждый, на кого распространяется Закон «О защите персональных данных», в том числе интернет магазины, — поясняет юрист. — Большинство мер относится к правовым и организационным.
В частности, напоминает Инга Ходорович, в каждой компании должно быть назначено структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных; подготовлен пакет документов, определяющих политику в отношении обработки персональных данных, другие внутренние документы — например, изменения в должностные инструкции тех работников, которые осуществляют обработку персональных данных, и т. д.
Эксперт рассказывает, что белорусские интернет-магазины часто неправильно интерпретируют нормы закона и из-за этого допускают нарушения:
— Некоторые считают, что они не обрабатывают персональные данные клиентов, а значит, их не касаются требования закона. Но ведь обработка данных — это не только активное их использование, но их хранение, сбор, любое действие. Если вы берете у клиента, например, номер телефона и помещаете его в CRM-систему, вы уже обрабатываете персональные данные, а значит, должны соблюдать законодательство.
Инга Ходорович напоминает, что для обработки персональных данных в рекламных целях интернет-магазины обязаны получать согласие пользователя — и оно должно быть свободным, однозначным и информированным:
— Согласие обязательно должен дать клиент — то есть вы не можете по умолчанию за него поставить галочку в строке «согласен на обработку персональных данных» и надеяться, что он ее не снимет. Это нарушение, за которое бизнес может понести ответственность. Точно так же нельзя делать, например, маркетинговые рассылки на всех клиентов по принципу «пока он не откажется». Вначале вы должны получить согласие на маркетинговую рассылку — и только потом ее производить.
В согласии на обработку персональных данных интернет-магазин должен четко объяснить клиенту, для каких целей эти данные нужны: например, для регистрации в личном кабинете или получения маркетинговых рассылок и т. д.
Согласие на обработку персональных данных должно быть представлено отдельным текстом, пользователь не обязан выискивать его на сайте самостоятельно.
— Встречаются ситуации, когда интернет-магазины как бы берут согласие, но ссылку дают на политику — и в этом объемном документе компания предлагает пользователю самому найти условия предоставления согласия, — приводит пример специалист ActiveCloud.
Одно из частых нарушений, которые допускают интернет-магазины, — избыточный сбор персональных данных.
— Например, для того чтобы доставить пользователю товар, бизнесу достаточно знать лишь его имя, номер телефона и адрес доставки. Однако на практике часто встречаются ситуации, когда заодно запрашивают и идентификационный номер человека, и дату его рождения, и количество членов семьи, и что угодно еще. Такой сбор данных для этой цели является избыточным, это нарушение, — говорит юрист.
С другой стороны, поясняет эксперт, если бизнесу действительно хочется направлять индивидуализированные тематические маркетинговые рассылки, он может запросить эти сведения для новой цели — например, для тематических маркетинговых рассылок — и получить на это отдельное согласие либо не получить ни данных, ни согласия. Тут исключительно выбор пользователя.
— Главный принцип: новая цель обработки — новое согласие пользователя, — обращает внимание Инга Ходорович.
Интернет-магазинам нужно иметь в виду, что любой человек имеет право в любой момент отозвать свое согласие на обработку персональных данных, — и механизм отзыва должен быть реализован просто.
— Отказаться от рассылки должно быть не сложнее, чем на нее согласиться, — это самый важный принцип, — подчеркивает специалист.
Как понять, все ли делаешь правильно?
Инга Ходорович рекомендует не игнорировать помощь уполномоченного органа по защите прав субъектов персональных данных: по ее мнению, специалисты Национального центра защиты персональных данных проделали для белорусских организаций серьезную работу — и собрали на своем сайте много полезной информации.
— На сайте центра можно найти «портфель оператора», а также все необходимые формы и образцы документов, которые разработаны практически под любой бизнес, — их нужно только адаптировать под себя, — объясняет специалист ActiveCloud. — Изучив эту информацию, любой интернет-магазин независимо от масштаба может определиться, куда и как двигаться дальше.
Ошибки технические: работа с неаттестованными системами защиты информации
Информационные системы (ресурсы) интернет-магазина должны быть определенным образом защищены, системы защиты — аттестованы. Тогда, говорит директор по информационной безопасности ActiveCloud Антон Грецкий, можно будет надеяться, что вы со своей стороны полностью реализовали меры по технической и криптографической защите персональных данных.
— Работа без аттестации системы защиты информации — наиболее частое нарушение среди белорусских компаний. Думаю, около 80% интернет-магазинов не используют защищенные системы защиты информации (СЗИ), — утверждает эксперт.
Собеседник обращает внимание, что неважно, какой способ размещения и хранения персональных данных выбирает компания — СЗИ в собственном центре обработки данных или, например, защищенное облако. Это не отменяет необходимости аттестации своей системы.
Антон Грецкий рекомендует хранить информацию ограниченного распространения, к которой относятся и персональные данные, в защищенном облаке:
— Оптимальным будет размещение в защищенном аттестованном облаке E-Cloud Protected— это облачная платформа, которая имеет аттестат соответствия требованиям по защите информации, предусмотренным приказом ОАЦ № 66 «О некоторых вопросах технической и криптографической защиты информации». Она подходит для аттестации систем защиты информации информационных систем классов 3ин/3спец/3бг/3юл.
Е-Cloud Protected — это готовое решение для компаний, которые хотят оптимизировать затраты на построение и содержание защищенной IT-инфраструктуры.
— Есть два варианта: пройти аттестацию или не работать с персональными данными. Все остальное незаконно. Аттестация — это процедура, которая подтверждает, что система защиты информации компании состоит из необходимых компонентов и выполняет свой функционал. Ее проводят компании, которые имеют специальное разрешение — лицензию Оперативно-аналитического центра, — рассказывает Антон Грецкий.
К выбору лицензиата для аттестации эксперт предлагает подходить очень тщательно: по его словам, на рынке встречаются компании с малым опытом, которые аттестуют по формальному признаку, не предоставляют поддержку и т. д.
— Грубо говоря — они «продают» аттестаты, а не проводят фактическую процедуру. Компании с именем, которые дорожат своей репутацией, подходят к делу совершенно иным образом, — отмечает собеседник.
По словам Антона Грецкого, например, специалисты ActiveCloud проводят процедуру аттестации максимально быстро — при активном взаимодействии с заказчиком срок не превышает 40 дней, — и тщательно: собирают все данные о СЗИ, ее функционале, разбираются в организационной структуре компании, ее бизнес-процессах, готовят пакет необходимых документов, проводят испытания. И только когда все в порядке, компании выдается аттестат соответствия.
Также специалисты помогут организовать все необходимые технические средства и меры защиты информации — оптимальные для конкретного интернет-магазина, например. Сейчас своими силами «собрать» СЗИ, говорит Антон Грецкий, компаниям непросто: в условиях санкций есть сложности с приобретением легальных продуктов и лицензий.
— Не стоит забывать, что важными критериями успеха являются компетенции людей, которые этим занимаются, и дальнейшая поддержка. Не каждая компания может позволить себе привлечь действительно хорошего технического специалиста, который самостоятельно организует систему защиты персональных данных, и действительно компетентного юриста, который будет оказывать информационную поддержку в этих вопросах. Клиенты же ActiveCloud получают и необходимый IT-консалтинг, — подчеркивает директор по информационной безопасности.
Если все сделать правильно, нас не взломают?
Утечка персональных данных в результате взлома систем защиты информации компании — довольно частая проблема,с которым сталкиваются белорусские организации, в частности интернет-магазины.
Антон Грецкий констатирует: какой бы безупречной ни была техническая часть защиты, гарантировать, что взлом системы невозможен, не может ни один специалист.
— Основная причина утечки данных — человеческий фактор на стороне заказчика, самого бизнеса. Именно люди — «дыра» в информационной безопасности бизнеса, — подчеркивает специалист. — Грамотность в сфере информационной безопасности у нас пока на очень низком уровне. Если сотрудник хранит пароль от рабочей «учетки» на стикере, приклеенном к монитору, то никакое защищенное облако, никакая внутренняя или внешняя система защиты информации не обеспечат бизнесу секьюрность.
Антон Грецкий рекомендует не игнорировать простейшие правила кибербезопасности для сотрудников любого бизнеса.
1. Для каждого аккаунта, который используется в работе компании, должен быть создан отдельный сложный пароль. Его следует менять не реже чем раз в полгода (по строгому стандарту — раз в 90 дней).
2. «Соблюдайте гигиену» в работе с электронной почтой: не открывайте письма, которые кажутся вам подозрительными (получены от неизвестного отправителя, содержат ссылки или прикрепленные файлы).
— Если сотрудники понимают, что такое фишинг, и аккуратны с почтой, это сильно повышает секьюрность в компании, — уверен эксперт.
3. Никому не передавайте данные своей учетной записи.
4. Не обсуждайте, не «светите» в соцсетях и личных переписках внутреннюю информацию о компании.
5. Правильно выстройте HR-процессы в компании: очень важны корректные наем и увольнение сотрудников.
Антон Грецкий уверен: если в компании выполнять хотя бы эти простейшие правила, то вероятность взлома ее ресурсов серьезно сократится: злоумышленники скорее будут взламывать тех, кто ничего не предпринял для информационной безопасности, а таких, предполагает собеседник, в Беларуси пока, увы, абсолютное большинство.
Компания ActiveCloud предлагает пройти аттестацию системы защиты информации (СЗИ) интернет-магазина, которая позволит соблюсти требования законодательства по обеспечению информационной безопасности IT-инфраструктуры, информационных систем и обрабатываемых данных. Чтобы записаться на консультацию и зафиксировать специальную цену, оставьте, пожалуйста, заявку по ссылке.
Фото: Freepik, Envato Elements
Партнерский материал