Zabezpečení internetových stránek

Při vašem působení na internetu si zvláštní pozornost zaslouží vývoj a údržba vašich internetových stránek. Kybernetické bezpečnostní incidenty, jako je krádež údajů o vašich zákaznících, by mohly mít na váš podnik nebo značku zničující dopad, a to hned na několika úrovních:

• ztráta dobrého jména značky
• přerušení vašich služeb
• ztráta důvěry zákazníků
• správní sankce a soudní řízení

Internetové obchody čelí především těmto kybernetickým bezpečnostním incidentům:

• krádež údajů o zákaznících
• zásah do informací na platformě elektronického obchodování za účelem jejich manipulace
• nefunkčnost internetových stránek
• únik důvěrných obchodních informací

Je rovněž velmi důležité, abyste si ještě před případným narušením bezpečnosti uvědomili, jaké citlivé informace na svých stránkách máte. Měli byste si udělat analýzu:

• Které z těchto informací jsou životně důležité pro chod našeho podniku?
• Kde jsou uloženy?
• Jak rychle je lze obnovit, pokud dojde v případě útoku k jejich odcizení?

Měli byste rovněž provést úplný audit svých systémů, uvědomit si jejich nejdůležitější prvky a veškerou aktivitu trasovat. Informace o tomto auditu by mělo ve vašem podniku znát více osob, ale zároveň by měl být přístup ke všem datovým systémům povolen pouze na základě zásady „vědět jen to nejnutnější".

Ochrana informací na vašich internetových stránkách

Je důležité se zamyslet nad tím, jak na svých internetových stránkách a ve svých službách uplatňujete základní aspekty zabezpečení informací (důvěrnost, integrita a dostupnost), a určit požadavky na úroveň zabezpečení. Upozorňujeme, že tyto požadavky se mohou lišit v závislosti na tom, které další prvky jste se rozhodli do vašich stránek integrovat.

Chcete-li, aby byl váš systém bezpečný, musíte zajistit ochranu těchto prvků:

• Zachování důvěrnosti: to znamená chránit informace, jako jsou čísla kreditních/debetních karet a další osobní údaje, před vyzrazením neoprávněným stranám. K tomu musíte:
  • zavést řádný autentizační mechanismus (jako je multifaktorová autentizace, která spočívá v tom, že uživatel musí svou totožnost ověřit 2 nebo více způsoby)
  • používání šifrovaných spojení (HTTPS, bezpečnostní protokol SSL), které zajistí, že k citlivým informacím budou mít přístup pouze oprávněné osoby
• Integrita: to znamená zajistit přesnost a důvěryhodnost informací a chránit je před pozměňováním ze strany neoprávněných osob. Toho lze dosáhnout:
  • každodenním vyhledáváním pozměněných souborů
  • pravidelným testováním bezpečnosti vašich internetových stránek a služeb, aby se zabránilo útokům
  • zřízením systému prevence průniku
• Dostupnost: to znamená zajistit, aby vaše internetové stránky, které máte na svém vlastním serveru, nepřetržitě fungovaly. Za tímto účelem musíte:
  • zřídit nouzový systém záložního napájení
  • provádět důslednou údržbu veškerého technického vybavení

Jak reagovat na kybernetické bezpečnostní incidenty

V případě narušení bezpečnosti musíte mít v záloze akční plán, který stanoví konkrétní opatření a postupy pro řešení bezpečnostního incidentu. V tomto plánu je potřeba určit:

• kdo nese hlavní odpovědnost
• jak kontaktovat kriticky důležité pracovníky
• jaká data, sítě a služby by měly být přednostně obnoveny
• kdo musí být informován (vlastníci údajů, zákazníci nebo partnerské společnosti) v případě ohrožení osobních údajů nebo údajů ovlivňující sítě

Pokud zjistíte narušení bezpečnosti, udělejte následující:

• Informujte své zákazníky o tom, co se stalo – tím si můžete udržet jejich důvěru.
• Dohlédněte na to, aby byli rovněž informováni všichni příslušní aktéři, kteří jsou zapojeni do vašeho internetového obchodu. V případě zjištění bezpečnostního problému byste měli přijmout stálého IT pracovníka.
• Zjistěte příčinu porušení ochrany a zdokumentujte všechny důkazy, které pak lze případně použít u soudu.
• Pokud dojde k ohrožení finančních informací, jako jsou údaje o kreditních kartách, musíte o tom informovat poskytovatele, který vaše finanční transakce vyřizuje.

Měli byste rovněž přijmout strategii oznamování narušení bezpečnosti osobních údajů, kterou můžete zahrnout do vašeho prohlášení o ochraně soukromí a v níž uvedete, jak a kdy budete své zákazníky informovat, pokud dojde k porušení ochrany osobních údajů. Nezapomeňte, že jakmile se o jakémkoli porušení ochrany údajů dozvíte, máte podle nařízení GDPR povinnost informovat dozorový úřad pro ochranu údajů.

Na vnitrostátní úrovni fungují skupiny pro reakci na počítačové hrozby (CERT), což jsou týmy bezpečnostních odborníků odpovědné za řešení bezpečnostních incidentů (např. podávání zpráv o bezpečnostních hrozbách a reakce na ně). Ty vám mohou poradit, co dělat a na koho se obrátit s žádostí o pomoc, pokud jste cílem kybernetického útoku. Zveřejňují rovněž upozornění na zranitelná místa a hrozby ve vaší zemi.

Soulad s předpisy o ochraně osobních údajů

V obecném nařízení o ochraně osobních údajů (GDPR) jsou uvedeny povinnosti podniků, které shromažďují, uchovávají a spravují osobní údaje. Ke dvěma hlavním cílům nařízení GDPR patří transparentnost a informování veřejnosti o tom, jak jsou jejich údaje využívány.

Více informací o obecných ustanoveních GDPR a o tom, jak se vztahují na váš podnik, najdete v kapitole o ochraně osobních údajů.

Nařízení GDPR se zejména týká prohlášení o ochraně soukromí (nebo politiky ochrany soukromí), které musíte umístit na stránky vašeho internetového obchodu. Toto prohlášení je veřejným dokumentem, v němž váš podnik vysvětluje, jak zpracovává osobní údaje a jak uplatňuje zásady ochrany údajů. Pokud vaše internetové stránky shromažďují osobní údaje uživatelů přímo, mělo by být prohlášení o ochraně soukromí zobrazeno v okamžiku, kdy k tomu dochází.

Prohlášení o ochraně soukromí musí být:

• stručné, transparentní a srozumitelné
• snadno přístupné
• poskytnuto zdarma a včas

Co by mělo obsahovat prohlášení o ochraně soukromí?

• Shromažďujete osobní údaje přímo od jednotlivých uživatelů
• Dostáváte osobní údaje od třetích stran

Prohlášení o ochraně soukromí umístěné na stránkách vašeho internetového obchodu by mělo obsahovat tyto informace:

• totožnost a kontaktní údaje vašeho podniku, jmenovaného zástupce a pověřence pro ochranu osobních údajů en
• za jakým účelem a z jakých právních důvodů váš podnik osobní údaje uživatelů zpracovává
• oprávněné zájmy vašeho podniku na zpracování osobních údajů
• všichni příjemci osobních údajů uživatelů
• zda jsou osobní údaje předávány do země mimo EU
• po jakou dobu se údaje uchovávají
• práva uživatelů v souvislosti se zpracováním jejich osobních údajů, konkrétně jejich právo:
  • kdykoli odvolat souhlas se zpracováním
  • podat stížnost u dozorového úřadu
• zda jsou osobní údaje uživatelů poskytovány na základě zákonných nebo smluvních povinností
• zda je používán automatizovaný systém rozhodování, který zahrnuje profilování údajů (analýza shromážděných údajů ze statistických důvodů)

Prohlášení o ochraně soukromí umístěné na stránkách vašeho internetového obchodu by mělo obsahovat tyto informace:

• totožnost a kontaktní údaje vašeho podniku, jmenovaného zástupce a pověřence pro ochranu osobních údajů
• za jakým účelem a z jakých právních důvodů váš podnik osobní údaje uživatelů zpracovává
• oprávněné zájmy vašeho podniku na zpracování osobních údajů
• všichni příjemci osobních údajů uživatelů
• zda jsou osobní údaje předávány do země mimo EU
• po jakou dobu se údaje uchovávají
• práva uživatelů v souvislosti se zpracováním jejich osobních údajů, konkrétně:
  • právo kdykoli souhlas se zpracováním odvolat
  • právo podat stížnost u dozorového úřadu
• které kategorie osobních údajů váš podnik získává
• zda je používán automatizovaný systém rozhodování, který zahrnuje profilování údajů

Prohlášení o ochraně soukromí musí být poskytnuto písemně a (případně) předáno elektronicky, musí být zveřejněno ve zvláštní části vašich internetových stránek (např. v sekci Ochrana soukromí en ) a musí být přístupné z jakékoli stránky nebo podstránky vašeho webu.

Další podrobnosti a užitečné rady, jak vypracovat politiku ochrany soukromí, najdete v těchto praktických pokynech en .