Εξασφάλιση ιστοτόπου

Η διαδικτυακή σας παρουσία εξαρτάται σε μεγάλο βαθμό από τον ιστότοπο που θα δημιουργήσετε και από το πώς θα τον συντηρείτε. Περιστατικά κυβερνοασφάλειας, όπως η κλοπή δεδομένων των πελατών σας, μπορούν να έχουν σημαντικές επιπτώσεις στην επιχείρηση ή στο εμπορικό σήμα σας σε πολλαπλά επίπεδα:

  • απώλεια της φήμης εμπορικού σήματος
  • διακοπή των υπηρεσιών σας
  • απώλεια της εμπιστοσύνης των πελατών σας
  • κανονιστικές κυρώσεις και αγωγές

Περιστατικά κυβερνοασφάλειας που επηρεάζουν τα διαδικτυακά καταστήματα μπορούν να συνίστανται σε:

  • απώλεια δεδομένων των πελατών
  • αλλοίωση πληροφοριών στην πλατφόρμα ηλεκτρονικού εμπορίου
  • κλείσιμο ιστοτόπου
  • διαρροή εμπιστευτικών επιχειρηματικών πληροφοριών

Είναι επίσης πολύ σημαντικό, πριν από οποιαδήποτε παραβίαση της ασφάλειάς του, να γνωρίζετε ποιες εμπιστευτικές πληροφορίες περιέχονται στον ιστότοπό σας. Θα πρέπει να εξετάσετε τα εξής θέματα:

  • Ποιες πληροφορίες είναι ζωτικής σημασίας για το αντικείμενο της επιχείρησής σας;
  • Σε ποιο σημείο βρίσκονται;
  • Πόσο γρήγορα μπορείτε να τις ανακτήσετε, εάν κλαπούν σε περίπτωση κυβερνοεπίθεσης;

Θα πρέπει επίσης να διενεργήσετε πλήρη έλεγχο των συστημάτων σας, ώστε να γνωρίζετε τις σημαντικότερες συνιστώσες τους και να έχετε τα πάντα υπό παρακολούθηση. Βεβαιωθείτε ότι δεν είστε το μόνο άτομο που γνωρίζει για τον εν λόγω έλεγχο στην επιχείρησή σας. Μη λησμονείτε όμως ότι πρόσβαση σε όλα τα συστήματα δεδομένων πρέπει να διαθέτουν μόνο όσα άτομα είναι ανάγκη να γνωρίζουν.

Προστασία των πληροφοριών στον ιστότοπό σας

Είναι σημαντικό να σκεφτείτε με ποιον τρόπο εφαρμόζονται οι βασικές συνιστώσες της ασφάλειας των πληροφοριών —εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα— στον ιστότοπο και τις υπηρεσίες σας και να καθορίσετε τις απαιτήσεις που χρειάζονται σε επίπεδο υπηρεσιών. Οι απαιτήσεις αυτές ενδέχεται να διαφέρουν ανάλογα με τα υπόλοιπα στοιχεία που αποφασίσατε να ενσωματώσετε.

Εάν επιθυμείτε να θωρακίσετε το σύστημά σας, πρέπει να τηρούνται οι ακόλουθες συνιστώσες:

  • Εμπιστευτικότητα: δηλαδή εξασφαλίζετε ότι πληροφορίες, όπως αριθμοί πιστωτικών/χρεωστικών καρτών και άλλες προσωπικές πληροφορίες, δεν κοινοποιούνται σε μη εξουσιοδοτημένα μέρη. Με ποιον τρόπο;
    • εγκαταστήστε τον κατάλληλο μηχανισμό επαλήθευσης ταυτότητας (όπως είναι οι λύσεις ταυτοποίησης πολλαπλών παραγόντων, οι οποίες καλούν τους χρήστες να παράσχουν 2 ή περισσότερους τρόπους για την επαλήθευση της ταυτότητάς τους)
    • χρησιμοποιήστε κρυπτογραφημένες συνδέσεις (πρωτόκολλο HTTPS· πρωτόκολλο ασφαλείας SSL), έτσι ώστε πρόσβαση σε ευαίσθητες πληροφορίες να έχουν μόνο τα άτομα που χρειάζεται
  • Ακεραιότητα: αυτό σημαίνει ότι οι πληροφορίες παραμένουν ακριβείς και αξιόπιστες μέσω της προστασίας τους από αλλοιώσεις από μη εξουσιοδοτημένα μέρη. Με ποια μέσα μπορείτε να το επιτύχετε αυτό;
    • διενεργήστε καθημερινό έλεγχο για αλλοιωθέντα αρχεία
    • προγραμματίστε δοκιμές ασφαλείας του ιστοτόπου και των υπηρεσιών σας, ώστε να αποφεύγετε επιθέσεις
    • θεσπίστε σύστημα πρόληψης των εισβολών
  • Διαθεσιμότητα: αυτό σημαίνει ότι μεριμνάτε για την αδιάκοπη λειτουργία του ιστοτόπου σας, εάν είστε υπεύθυνοι για τη φιλοξενία (hosting) του δικού σας ιστοτόπου. Πώς μπορείτε να το επιτύχετε αυτό;
    • εγκαταστήστε ένα εφεδρικό σύστημα ηλεκτρικής τροφοδοσίας έκτακτης ανάγκης
    • εξασφαλίστε την αυστηρή συντήρηση όλου του υλισμικού

Πώς πρέπει να αντιδράσετε σε περίπτωση περιστατικού ασφαλείας;

Σε περίπτωση παραβίασης της ασφάλειας του ιστοτόπου σας, είναι σημαντικό να έχετε καταστρώσει ένα σχέδιο δράσης με εξειδικευμένα, συγκεκριμένα μέτρα και διαδικασίες για την αντιμετώπιση περιστατικών ασφαλείας. Οι διαδικασίες θα πρέπει να καθορίζουν:

  • ποιος έχει την κύρια ευθύνη
  • πώς να επικοινωνήσετε με το κρίσιμο προσωπικό
  • ποια δίκτυα, δεδομένα και υπηρεσίες θα πρέπει να ανακτηθούν κατά προτεραιότητα
  • ποια μέρη θα πρέπει να ενημερωθούν (ιδιοκτήτες δεδομένων, πελάτες ή συνεργαζόμενες εταιρείες) σε περίπτωση διαρροής δεδομένων τους ή δεδομένων που επηρεάζουν τα δίκτυά τους

Εάν εντοπίσετε παραβίαση, ακολουθήστε τα εξής βήματα:

  • ανακοινώστε στους πελάτες σας το περιστατικό. Έτσι, θα συνεχίσουν να σας εμπιστεύονται
  • ενημερώστε επίσης όλους όσοι εμπλέκονται στο διαδικτυακό σας κατάστημα. Θα πρέπει να ορίσετε μόνιμο υπάλληλο ΤΠ σε περίπτωση που εντοπίσετε πρόβλημα ασφάλειας
  • καθορίστε την αιτία της παραβίασης, με τεκμηριωμένα αποδεικτικά στοιχεία που μπορούν ενδεχομένως να χρησιμοποιηθούν ενώπιον δικαστηρίου
  • εάν το περιστατικό έχει να κάνει με πληροφορίες χρηματοοικονομικού χαρακτήρα, όπως στοιχεία πιστωτικών καρτών, πρέπει να ενημερώσετε τον πάροχο που χειρίζεται τις χρηματικές συναλλαγές σας

Θα πρέπει επίσης να υιοθετήσετε μια πολιτική ενημέρωσης σε περίπτωση παραβίασης δεδομένων, η οποία θα μπορούσε να περιλαμβάνεται στη δήλωση περί απορρήτου. Στην εν λόγω δήλωση θα πρέπει να περιγράφετε πώς και πότε θα ανακοινώνετε στους πελάτες σας τυχόν παραβίαση των προσωπικών τους δεδομένων. Θα πρέπει επίσης να γνωρίζετε ότι, σύμφωνα με τους κανόνες του ΓΚΠΔ, οφείλετε να γνωστοποιήσετε στην εποπτική αρχή για την προστασία των δεδομένων προσωπικού χαρακτήρα οποιαδήποτε παραβίαση δεδομένων, αμέσως μόλις αποκτήσετε γνώση του γεγονότος.

Σε εθνικό επίπεδο, οι ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT) είναι ομάδες εμπειρογνωμόνων ασφαλείας αρμόδιες για τη διαχείριση περιστατικών ασφαλείας (όπως η υποβολή εκθέσεων και η αντιμετώπιση απειλών ασφαλείας). Μπορούν να σας δώσουν πληροφορίες σχετικά με το τι πρέπει να κάνετε και σε ποιον να απευθυνθείτε για να αντιμετωπίσετε οποιασδήποτε μορφής κυβερνοεπίθεση. Επίσης, δημοσιεύουν προειδοποιήσεις σχετικά με τρωτά σημεία και απειλές στη χώρα σας.

Υπεύθυνος προστασίας δεδομένων

Ο κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα περιέχει υποχρεώσεις για τις επιχειρήσεις που συλλέγουν, αποθηκεύουν και διαχειρίζονται δεδομένα προσωπικού χαρακτήρα. Οι δύο κύριοι στόχοι του ΓΚΠΔ είναι η διαφάνεια και η ενημέρωση του κοινού σχετικά με τον τρόπο χρήσης των δεδομένων τους.

Για περισσότερες πληροφορίες σχετικά με τις γενικές διατάξεις του ΓΚΠΔ και τον τρόπο εφαρμογής τους στην επιχείρησή σας, επισκεφθείτε την υποενότητα για την προστασία των δεδομένων.

Το τμήμα του ηλεκτρονικού σας καταστήματος που αφορά περισσότερο ο ΓΚΠΔ είναι η δήλωση (ή η πολιτική) περί απορρήτου. Η δήλωση αυτή αποτελεί δημόσιο έγγραφο που εκδίδει η επιχείρησή σας. Σε αυτό περιγράφεται ο τρόπος με τον οποίο γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και εφαρμόζονται οι αρχές προστασίας των δεδομένων. Εάν ο ιστότοπός σας συλλέγει απευθείας τα δεδομένα προσωπικού χαρακτήρα ενός χρήστη, η δήλωση περί απορρήτου θα πρέπει να εμφανίζεται τη στιγμή της καταχώρισής τους.

Η δήλωση περί απορρήτου θα πρέπει να συντάσσεται σε

  • σύντομη, διαφανή και κατανοητή γλώσσα
  • να είναι σε εύκολα προσβάσιμη μορφή
  • να παρέχεται δωρεάν και εγκαίρως

Μάθετε τι πρέπει να περιέχει η δήλωση περί απορρήτου

Η δήλωση περί απορρήτου που δημοσιεύεται στο διαδικτυακό κατάστημά σας πρέπει να περιλαμβάνει τις ακόλουθες πληροφορίες:

  • ταυτότητα και στοιχεία επικοινωνίας της επιχείρησής σας, τον εξουσιοδοτημένο αντιπρόσωπό της και τον υπεύθυνο προστασίας των δεδομένων en
  • για ποιον σκοπό επεξεργάζεται η επιχείρησή σας τα δεδομένα προσωπικού χαρακτήρα των χρηστών και ποιοι είναι οι νομικοί λόγοι για την εν λόγω επεξεργασία;
  • το έννομο συμφέρον που επιδιώκει η επιχείρησή σας με την επεξεργασία δεδομένων προσωπικού χαρακτήρα
  • όλους τους αποδέκτες των δεδομένων των χρηστών
  • τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτες χώρες εκτός της ΕΕ;
  • την περίοδο διακράτησης των δεδομένων
  • τα δικαιώματα των χρηστών σε σχέση με τα επεξεργασμένα δεδομένα, ιδίως τα δικαιώματά τους όσον αφορά:
    • την ανάκληση της συγκατάθεσής τους ανά πάσα στιγμή
    • την υποβολή καταγγελίας σε εποπτική αρχή
  • κατά πόσον τα δεδομένα προσωπικού χαρακτήρα των χρηστών συλλέγονται βάσει κανονιστικών ή συμβατικών υποχρεώσεων
  • κατά πόσον έχει θεσπιστεί αυτοματοποιημένο σύστημα λήψης αποφάσεων, το οποίο περιλαμβάνει την κατάρτιση προφίλ δεδομένων (διαδικασία με την οποία τα δεδομένα που έχουν ήδη συλλεγεί αναλύονται για στατιστικούς λόγους)

Η δήλωση περί απορρήτου που δημοσιεύεται στο διαδικτυακό κατάστημά σας πρέπει να περιλαμβάνει τις ακόλουθες πληροφορίες:

  • ταυτότητα και στοιχεία επικοινωνίας της επιχείρησής σας, τον εξουσιοδοτημένο αντιπρόσωπό της και τον υπεύθυνο προστασίας των δεδομένων.
  • για ποιο σκοπό επεξεργάζεται η επιχείρησή σας τα προσωπικά δεδομένα των χρηστών και ποιοι είναι οι νομικοί λόγοι για την εν λόγω επεξεργασία;
  • το έννομο συμφέρον που επιδιώκει η επιχείρησή σας με την επεξεργασία δεδομένων προσωπικού χαρακτήρα
  • όλους τους αποδέκτες των δεδομένων χρηστών
  • τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτες χώρες εκτός της ΕΕ;
  • την περίοδο διακράτησης των δεδομένων
  • τα δικαιώματα των χρηστών σε σχέση με τα επεξεργασμένα δεδομένα, ιδίως όσον αφορά:
    • το δικαίωμα ανάκλησης της συγκατάθεσής τους ανά πάσα στιγμή
    • το δικαίωμά τους να υποβάλλουν καταγγελία σε εποπτική αρχή
  • τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που λαμβάνει η επιχείρησή σας
  • κατά πόσον έχει θεσπιστεί αυτοματοποιημένο σύστημα λήψης αποφάσεων, που περιλαμβάνει την κατάρτιση προφίλ δεδομένων

Οι δηλώσεις περί απορρήτου πρέπει να υποβάλλονται γραπτώς, να διατίθενται ηλεκτρονικά (κατά περίπτωση), να δημοσιεύονται σε ειδική ενότητα του ιστοτόπου σας (για παράδειγμα:  πολιτική απορρήτου en ) και να είναι προσιτές απευθείας από οποιαδήποτε σελίδα ή υποσελίδα του ιστοτόπου.

Για περισσότερες λεπτομέρειες και χρήσιμες συμβουλές για τη σύνταξη της πολιτικής σας περί απορρήτου, μπορείτε να ανατρέξετε στις παρακάτω πρακτικές κατευθυντήριες γραμμές en .

Νομοθεσία της ΕΕ

Χρειάζεστε βοήθεια από τις υπηρεσίες υποστήριξης;

Επικοινωνήστε με ειδικευμένες υπηρεσίες παροχής βοήθειας

Έχετε απορίες σχετικά με τη λειτουργία μιας διασυνοριακής επιχείρησης, π.χ. σχετικά με εξαγωγές ή επέκταση σε άλλη χώρα της ΕΕ; Εάν ναι, το Enterprise Europe Network μπορεί να σας δώσει συμβουλές δωρεάν.

Μπορείτε επίσης να χρησιμοποιήσετε τον μηχανισμός εντοπισμού υπηρεσιών υποστήριξης για να βρείτε την κατάλληλη βοήθεια για εσάς.

Τελευταίος έλεγχος: 03/06/2022
Διαβιβάστε αυτή τη σελίδα