Veebisaidi turvamine

Teie veebisaidi arendamisel ja haldamisel on oluline roll teie esindatuses internetis. Küberintsidentidel, näiteks klientide andmete vargusel, võib olla suur mõju teie ettevõttele või kaubamärgile mitmel tasandil:

  • kaubamärgi maine kaotus;
  • teie teenuste katkemine;
  • klientide usalduse kaotus;
  • regulatiivsed sanktsioonid ja kohtuasjad.

E-poode mõjutavad küberintsidendid võivad endast kujutada järgmist:

  • klientide andmete vargus;
  • muudatused e-kaubanduse platvormil olevas teabes;
  • veebisaidi sulgemine;
  • konfidentsiaalse äriteabe lekkimine.

Samuti on väga oluline, et teate juba enne turvarikkumist, millist tundlikku teavet teie veebisait sisaldab. Peaksite seejuures kaaluma järgmist.

  • Milline teave on teie ettevõtte jaoks hädavajalik?
  • Kus see asub?
  • Kui kiiresti saab selle taastada, kui see ründe korral varastatakse?

Samuti peaksite oma süsteeme põhjalikult auditeerima, kõige olulisemad komponendid teadmiseks võtma ja kõike jälgima. Veenduge, et te ei ole oma organisatsioonis ainus isik, kes on auditist teadlik, ning pidage meeles ka seda, et juurdepääs kõigile andmesüsteemidele peaks olema tagatud üksnes teadmisvajaduse alusel.

Teie veebisaidil oleva teabe kaitsmine

Oluline on kaaluda, kuidas infoturbe põhiaspektid – konfidentsiaalsus, terviklus ja käideldavus – kehtivad teie veebisaidi ja teenuste suhtes, ning määrata kindlaks vajalikud teenuse taseme nõuded. Palun pange tähele, et need nõuded võivad olla erinevad, sõltuvalt sellest, milliseid muid elemente olete otsustanud integreerida.

Kui soovite, et teie süsteem oleks turvaline, peate tagama järgmiste komponentide kaitse:

  • Konfidentsiaalsus: see tähendab, et selliseid andmeid nagu krediit-/deebetkaardi numbrid ja muud isikuandmed tuleb kaitsta volitamata isikutele avalikustamise eest. Saate seda teha:
    • luues nõuetekohase autentimismehhanismi (nt mitmikautentimine, mis toetub sellele, et kasutaja kasutab kahte või enamat viisi oma isikusamasuse tõendamiseks);
    • kasutades krüpteeritud ühendusi (HTTPS, SSL-protokoll), eesmärgiga tagada, et tundlikule teabele on juurdepääs ainult õigetel inimestel.
  • Terviklus: see tähendab, et tagatakse teabe täpsus ja usaldusväärsus, kaitstes seda volitamata isikute poolse muutmise eest. Selle võib saavutada järgmiselt:
    • kontrollida igapäevaselt muudetud faile;
    • näha rünnakute vältimiseks ette veebisaidi ja teenuste turvalisuse testimine;
    • luua sissetungitõrje süsteem.
  • Käideldavus: see tähendab, et ise veebisaidi majutusega tegeledes peaksite veenduma, et see toimib kogu aeg. Saate seda tagada:
    • rakendades hädaolukorras varutoitesüsteemi;
    • hooldades rangelt kogu riistvara.

Kuidas reageerida turvaintsidentidele?

On oluline, et turvarikkumise jaoks oleks välja töötatud tegevusplaan, milles nähakse ette konkreetsed meetmed ja menetlused turvaintsidendiga tegelemiseks. Menetlustes tuleks käsitleda järgmist:

  • kellel on juhtiv vastutus;
  • kuidas võtta ühendust kriitilise tähtsusega töötajatega;
  • millised andmed, võrgud ja teenused tuleks taastamisel esikohale seada;
  • keda tuleb teavitada (andmete omanikud, kliendid või partnerettevõtted), kui nende andmed või nende võrku mõjutavad andmed on ohus.

Kui avastate rikkumise, järgige järgmisi etappe:

  • teavitage kliente sellest, mis juhtus, sest see võib tagada jätkuva usalduse;
  • veenduge, et ka kõik teie e-poega seotud osalejad on sellest teadlikud. Turvaprobleemi avastamise korral peate määrama alalise IT-ametniku;
  • tegema kindlaks rikkumise põhjuse koos dokumentaalsete tõenditega, mida saab lõpuks kohtus kasutada;
  • kui finantsteavet (näiteks krediitkaardi andmeid) on mõjutatud, peate sellest teavitama oma finantstehingutega tegelevat teenuseosutajat.

Samuti peaksite kehtestama andmetega seotud rikkumistest teatamise poliitika, mis võiks sisalduda teie teates isikuandmete kaitse põhimõtete kohta. Selles tuleks märkida, kuidas ja millal teavitate oma kliente isikuandmete rikkumisest. Samuti peate arvesse võtma, et isikuandmete kaitse üldmääruse eeskirjade kohaselt peate andmekaitseasutust teavitama, kui saite teadlikuks mis tahes andmetega seotud rikkumisest.

Riiklikul tasandil on infoturbeintsidentidega tegelevad rühmad (CERT) turvaekspertide rühmad, kes vastutavad turvaintsidentide haldamise eest (näiteks julgeolekuohtudest teatamine ja neile reageerimine). Nad võivad anda teavet selle kohta, mida teha ja kelle poole pöörduda, kui olete mis tahes liiki küberründe all. Samuti avaldavad nad teateid haavatavuste ja ohtude kohta teie riigis.

Andmekaitsenõuete järgimine

Isikuandmete kaitse üldmäärus sisaldab isikuandmete kogumise, säilitamise ja haldamisega tegelevate ettevõtjate kohustusi. Isikuandmete kaitse üldmääruse kaks peamist eesmärki on läbipaistvus ja üldsuse teavitamine sellest, kuidas nende andmeid kasutatakse.

Lisateavet isikuandmete kaitse üldmääruse üldsätete ja nende kohaldamise kohta teie ettevõtte suhtes leiate andmekaitset käsitlevast alajaotisest.

See osa teie e-poest, mida isikuandmete kaitse üldmäärus kõige rohkem puudutab, on teade (või poliitika) isikuandmete kaitse põhimõtete kohta. See teade on teie ettevõtte välja antud avalik dokument, milles selgitatakse, kuidas ta töötleb isikuandmeid ja kohaldab andmekaitse põhimõtteid. Kui teie veebisait kogub kasutaja isikuandmeid otse, tuleks kohe kuvada teade isikuandmete kaitse põhimõtete kohta.

See teade peaks olema:

  • kirjutatud sisutihedalt, läbipaistvalt ja arusaadavas sõnastuses;
  • hõlpsasti kättesaadav;
  • tasuta ja õigeaegselt kättesaadav.

Uurige, mida peaks teie isikuandmete kaitse põhimõtete teade sisaldama

Teie e-poes kuvatav isikuandmete kaitse põhimõtete teade peaks sisaldama järgmist teavet:

  • teie ettevõtte, selle määratud esindaja ja andmekaitseametniku en nimi ja kontaktandmed;
  • põhjused, miks teie ettevõte töötleb kasutajate isikuandmeid, ja õiguslik alus nende töötlemiseks;
  • teie ettevõtte õigustatud huvi isikuandmete töötlemise vastu;
  • kõik kasutajate andmete saajad;
  • kas isikuandmeid edastatakse väljaspool ELi asuvatesse riikidesse;
  • andmete säilitamise aeg;
  • kasutajate õigused seoses nende töödeldud andmetega, eelkõige järgmised õigused:
    • võtta nõusolek igal ajal tagasi;
    • õigus esitada järelevalveasutusele kaebus;
  • kas kasutajate isikuandmeid esitatakse seadusjärgsete või lepinguliste kohustuste alusel;
  • kas on kehtestatud automatiseeritud otsustussüsteem, mis hõlmab andmete profiilianalüüsi (protsess, mille käigus juba kogutud andmeid statistilistel põhjustel analüüsitakse).

Teie e-poes kuvatav teade isikuandmete kaitse põhimõtete kohta peaks sisaldama järgmist teavet:

  • teie ettevõtte, selle määratud esindaja ja andmekaitseametniku nimi ja kontaktandmed;
  • põhjused, miks teie ettevõte töötleb kasutajate isikuandmeid, ja õiguslik alus nende töötlemiseks;
  • teie ettevõtte õigustatud huvi isikuandmete töötlemise vastu;
  • kõik kasutajate andmete saajad;
  • kas isikuandmeid edastatakse väljaspool ELi asuvatesse riikidesse;
  • andmete säilitamise aeg;
  • kasutajate õigused seoses nende töödeldud andmetega, eelkõige:
    • õigus nõusolek igal ajal tagasi võtta;
    • õigus esitada järelevalveasutusele kaebus;
  • teie ettevõtte poolt kogutud isikuandmete liigid;
  • kas on kehtestatud automatiseeritud otsustussüsteem, mis hõlmab andmete profiilianalüüsi.

Teated isikuandmete kaitse põhimõtete kohta tuleb esitada kirjalikult ja (vajaduse korral) elektrooniliselt ning avaldada teie veebisaidi konkreetses osas (näiteks:  Isikuandmete kaitse põhimõtted en ) ja need peavad olema veebisaidil kättesaadavad igalt lehelt või alamlehelt.

Lisateavet ja kasulikke nõuandeid isikuandmete kaitse põhimõtete koostamise kohta leiate nendest praktilistest juhistest en .

ELi õigusaktid

Vajate nõuandeteenistuse abi?

Võtke ühendust spetsiaalse nõuandeteenistusega

Teil on küsimusi seoses piiriülese ettevõtlusega, nt teise ELi riiki eksportimise või sinna oma ettevõtte laiendamisega? Sellisel juhul saab Enterprise Europe Network teile anda tasuta nõuandeid.

Enda jaoks sobiva abi leidmiseks võite kasutada ka abiteenuse otsingut.

Viimati ajakohastatud: 03/06/2022
Jaga lehekülge