Sådan sikrer du dit website

Udviklingen og vedligeholdelsen af dit website spiller en vigtig rolle for din tilstedeværelse på internettet. Cybersikkerhedshændelser såsom tyveri af dine kunders data kan på flere områder have stor indvirkning på din virksomhed eller dit brand:

  • tab af omdømme for dit brand
  • afbrydelse af dine tjenester
  • tab af kundernes tillid
  • lovbestemte sanktioner og retssager.

Cybersikkerhedshændelserne, der påvirker din onlinebutik, kan f.eks. være:

  • tyveri af kundernes data
  • ændringer af oplysninger på e-handelsplatformen
  • nedlukning af websitet
  • lækage af fortrolige forretningsoplysninger.

Det er også meget vigtigt, at du noterer, hvilke følsomme oplysninger du har på dit website, inden et sikkerhedsbrud. Du skal overveje følgende:

  • Hvilke oplysninger kan din virksomhed ikke fungere uden?
  • Hvor befinder de sig?
  • Hvor hurtigt kan de genoprettes, hvis de bliver stjålet under et angreb?

Du skal også foretage en fuldstændig gennemgang af dine systemer, hvor du bemærker, hvilke bestanddele der er de vigtigste, og registrerer det. Sørg for, at du ikke er den eneste person i din organisation, som er opmærksom på denne gennemgang, men husk også på, at adgang til alle datasystemer kun bør gives efter "need to know"-princippet.

Beskyt oplysningerne på dit website

Det er vigtigt at overveje, hvordan de centrale aspekter af informationssikkerhed – fortrolighed, integritet og tilgængelighed – gælder for dit website og dine tjenester, og fastslå, hvilke krav til serviceniveau der er behov for. Bemærk, at disse krav kan afhænge af, hvilke andre elementer du har besluttet at integrere.

Hvis du ønsker, at dit system skal være sikkert, skal du sikre dig, at følgende komponenter er beskyttet:

  • Fortrolighed: Dette betyder, at oplysninger såsom kredit- og debetkortnumre og andre personlige oplysninger ikke videregives til uautoriserede parter. Det kan du sikre ved at:
    • oprette en velfungerende autentifikationsmekanisme (f.eks. løsninger med multifaktorautentificering, som beror på, at brugerne beviser deres identitet på to eller flere måder)
    • bruge krypterede forbindelser (HTTPS; SSL-sikkerhedsprotokoller) til at sikre, at det kun er de rette personer, som har adgang til følsomme oplysninger.
  • Integritet: Dette betyder, at oplysninger forbliver nøjagtige og pålidelige ved at beskytte dem mod at blive ændret af uautoriserede parter. Dette kan opnås ved at:
    • foretage daglig kontrol, hvor man ser efter ændrede filer
    • planlægge sikkerhedstestning af dit website og dine tjenester for at undgå angreb
    • oprette et system, der forebygger indtrængen.
  • Tilgængelighed: Dette betyder, at du skal sørge for, at brugerne altid kan få adgang til dit website, hvis du selv er vært for det. Det kan du sikre ved at:
    • indføre en nødstrømsforsyning
    • vedligeholde al din hardware konstant.

Sådan reagerer du på sikkerhedshændelser

Det er vigtigt, at der udarbejdes en handlingsplan i tilfælde af et sikkerhedsbrud, som indeholder specifikke, konkrete foranstaltninger og procedurer, som skal følges efter en sikkerhedshændelse. Procedurerne bestemmer:

  • hvem der har hovedansvaret
  • hvordan man kontakter kritisk personale
  • hvilke data, netværk og tjenester der skal prioriteres til genopretningen
  • hvem der skal underrettes (dataejere, kunder eller partnervirksomheder), hvis deres data eller data, der påvirker deres netværk, eksponeres.

Hvis du opdager et sikkerhedsbrud, skal du følge disse trin:

  • Oplys dine kunder om, hvad der er sket, så du kan beholde deres tillid.
  • Sørg for, at du også oplyser alle relevante aktører i din onlinebutik. Du bør udpege en permanent IT-medarbejder, som kan håndtere situationen, når du konstaterer et sikkerhedsproblem.
  • Fastslå årsagen til bruddet med dokumentation, der i sidste ende kan anvendes i retten.
  • Hvis bruddet påvirker finansielle oplysninger, såsom kreditkortoplysninger, skal du oplyse den udbyder, der håndterer dine finansielle transaktioner, om det.

Du skal også have en politik for anmeldelse af brud på datasikkerheden, som kan indgå i din meddelelse om beskyttelse af privatlivets fred, og den skal angive, hvordan og hvornår du vil underrette dine kunder, hvis der er brud på persondatasikkerheden. Du skal også tage højde for, at du i henhold til databeskyttelsesforordningen skal underrette datatilsynsmyndigheden, når du bliver opmærksom på et brud på persondatasikkerheden.

På nationalt plan er IT-beredskabsenheder(CERT'er) hold bestående af sikkerhedseksperter, som er ansvarlige for at håndtere sikkerhedshændelser (f.eks. rapportering af og reaktion på sikkerhedstrusler). De kan oplyse dig om, hvad du skal gøre, og hvem du skal henvende dig til for at få hjælp, hvis du er under nogen form for cyberangreb. De offentliggør også advarsler om sårbarheder og trusler i dit land.

Overholdelse af databeskyttelsesreglerne

Den generelle forordning om databeskyttelse (GDPR) indeholder forpligtelser for virksomheder, der indsamler, lagrer og håndterer personoplysninger. De to vigtigste mål for GDPR er gennemsigtighed og oplysning af offentligheden om, hvordan deres data anvendes.

Du kan læse mere om de generelle bestemmelser i GDPR og om, hvordan de gælder for din virksomhed, i afsnittet om databeskyttelse.

GDPR har primært indflydelse på din onlinebutiks meddelelse om beskyttelse af privatlivets fred (eller privatlivspolitikken). Denne meddelelse er et offentligt dokument udstedt af din virksomhed, hvori det forklares, hvordan den behandler personoplysninger og anvender databeskyttelsesprincipperne. Hvis dit website direkte indsamler en brugers personoplysninger, skal meddelelsen om beskyttelse af privatlivets fred vises på det tidspunkt, hvor det sker.

Meddelelsen om beskyttelse af privatlivets fred skal være:

  • skrevet i et kortfattet, gennemsigtigt og forståeligt sprog
  • lettilgængelig
  • gratis og gives i god tid.

Find ud af, hvad din meddelelse om beskyttelse af privatlivets fred skal indeholde

Den meddelelse om beskyttelse af privatlivets fred, der vises i din onlinebutik, skal indeholde følgende oplysninger:

  • identifikations- og kontaktoplysninger for din virksomhed, dens udpegede repræsentant og dens databeskyttelsesrådgiver en
  • din virksomheds formål med at behandle brugernes personoplysninger og retsgrundlaget for denne behandling
  • din virksomheds legitime interesse i at behandle personoplysningerne
  • alle modtagere af brugernes data
  • om personoplysningerne overføres til et land uden for EU
  • perioden, som dataene opbevares i
  • brugernes rettigheder i forbindelse med deres behandlede data, navnlig deres ret til at:
    • trække deres samtykke tilbage når som helst
    • indgive en klage til en tilsynsmyndighed.
  • om brugernes personoplysninger stilles til rådighed på grundlag af lovbestemte eller kontraktlige forpligtelser
  • om der er indført et system til automatiske afgørelser, hvilket omfatter dataprofilering (den proces, hvor data, der allerede er indsamlet, analyseres i statistisk øjemed).

Den meddelelse om beskyttelse af privatlivets fred, der vises i din onlinebutik, skal indeholde følgende oplysninger:

  • identifikations- og kontaktoplysninger for din virksomhed, dens udpegede repræsentant og dens databeskyttelsesrådgiver
  • din virksomheds formål med at behandle brugernes personoplysninger og retsgrundlaget for denne behandling
  • din virksomheds legitime interesse i at behandle personoplysningerne
  • alle modtagere af brugernes data
  • om personoplysningerne overføres til et land uden for EU
  • perioden, som dataene opbevares i
  • brugernes rettigheder i forbindelse med deres behandlede data, navnlig:
    • deres ret til at trække deres samtykke tilbage når som helst
    • deres ret til at indgive en klage til en tilsynsmyndighed.
  • de kategorier af personoplysninger, som din virksomhed har modtaget
  • om der er indført et system til automatiske afgørelser, hvilket omfatter dataprofilering.

Meddelelser om beskyttelse af privatlivets fred skal gives skriftligt og indgives elektronisk (om relevant), og de skal offentliggøres på et særligt afsnit på dit website (f.eks.: privatlivspolitik en ) og være tilgængelige direkte fra alle sider eller undersider på websitet.

Du kan finde flere oplysninger og nyttige råd om udformningen af din privatlivspolitik i disse praktiske retningslinjer en .

EU-lovgivning

Har du brug for støtte fra hjælpetjenesterne?

Kontakt de specialiserede hjælpetjenester

Har du spørgsmål vedrørende drift af en grænseoverskridende virksomhed, f.eks. eksport eller udvidelse til et andet EU-land? Så kan Enterprise Europe Network tilbyde dig gratis rådgivning.

Du kan også bruge vejviser til bistandstjenester til at finde den rette hjælpe- eller rådgivningstjeneste.

Senest tjekket: 24/05/2024
Del denne side