Verkkosivuston suojaaminen

Verkkosivuston kehittäminen ja ylläpito ovat tärkeä osa yrityksesi läsnäoloa verkossa. Kyberturvallisuuteen liittyvät tapaukset, kuten asiakkaiden tietojen varastaminen, voivat vaikuttaa merkittävästi liiketoimintaasi tai brändiisi useilla eri tasoilla:

• brändin maineenmenetys
• palvelujen häiriytyminen
• asiakkaiden luottamuksen menettäminen
• sääntelylliset seuraamukset ja oikeusriidat.

Verkkokauppoihin vaikuttavat kyberturvallisuusloukkaukset voivat olla esimerkiksi jotakin seuraavista:

• asiakkaiden tietojen varastaminen
• sähköisen kaupankäyntialustan tietojen manipulointi
• verkkosivuston sulkeminen
• luottamuksellisten yritystietojen vuotaminen.

Sinun on myös erittäin tärkeää olla tietoinen yrityksesi sivustolla olevista arkaluontoisista tiedoista jo ennen tietoturvaloukkauksia. Ota huomioon seuraavat asiat:

• Mitkä tiedot ovat liiketoimintasi kannalta tärkeitä?
• Missä tiedot sijaitsevat?
• Kuinka nopeasti tiedot voidaan palauttaa, jos ne varastetaan hyökkäyksessä?

Sinun olisi myös tehtävä täydellinen järjestelmien tarkastus, eriteltävä tärkeimmät komponentit ja seurattava kaikkea. Varmista, ettet ole organisaatiosi ainoa henkilö, joka on tietoinen tästä tarkastuksesta, mutta muista myös, että pääsy kaikkiin tietojärjestelmiin on myönnettävä vain tarpeen mukaan.

Verkkosivuston tietojen suojaaminen

On tärkeää pohtia, miten tietoturvan keskeisiä näkökohtia (luottamuksellisuus, eheys ja käytettävyys) sovelletaan yrityksesi sivustoon ja palveluihin, ja määrittää tarvittavat palvelutasovaatimukset. Huomaa, että nämä vaatimukset voivat vaihdella sen mukaan, mitä muita elementtejä olet päättänyt integroida osaksi yrityksesi sivustoa.

Jos haluat järjestelmän olevan turvassa, varmista, että seuraavat osat on otettu huomioon:

• Luottamuksellisuus: Tämä tarkoittaa, että luotto- ja maksukorttien numeroita tai muita henkilökohtaisia tietoja ei saa luovuttaa ulkopuolisille. Tämä voidaan toteuttaa
  • ottamalla käyttöön asianmukainen tunnistusmekanismi (kuten useaan tekijään perustuvat tunnistusratkaisut, joissa käyttäjä varmentaa henkilöllisyytensä vähintään kahdella tavalla)
  • käyttämällä salattuja yhteyksiä (HTTPS- ja SSL-suojausprotokollat), joilla varmistetaan, että vain oikeilla henkilöillä on pääsy arkaluontoisiin tietoihin.
• Eheys: Tämä tarkoittaa sitä, että tietojen oikeellisuus ja luotettavuus varmistetaan suojaamalla ne ulkopuolisten tekemiltä muutoksilta. Tämä voidaan saavuttaa
  • tarkistamalla muutetut tiedostot päivittäin
  • ennakoimalla sivuston ja palveluiden tietoturvatestausta, jotta voidaan välttää hyökkäykset
  • asentamalla tunkeutumisenestojärjestelmä.
• Käytettävyys: Tämä tarkoittaa sen varmistamista, että yrityksesi sivusto on käytössä koko ajan, jos isännöit sitä itse. Tämä voidaan varmistaa
  • ottamalla käyttöön hätävarajärjestelmä
  • ylläpitämällä kaikkia laitteita tarkasti.

Kyberhäiriötilanteisiin reagoiminen

On tärkeää, että kyberhäiriöitä varten on laadittu toteuttamiskelpoinen suunnitelma. Sen tulee sisältää konkreettisia toimenpiteitä ja menettelyitä kyberhäiriön toteamisen jälkeen. Menettelyissä olisi käsiteltävä seuraavia asioita:

• kuka on päävastuussa
• miten otetaan yhteys kriittiseen henkilöstöön
• mitkä tiedot, verkot ja palvelut olisi asetettava palautuksessa etusijalle
• kenelle on ilmoitettava (tietojen omistajat, asiakkaat tai kumppaniyritykset), jos heidän tietonsa tai heidän verkkoihinsa vaikuttavat tiedot ovat esillä.

Jos havaitset tietoturvaloukkauksen, toimi seuraavasti:

• kerro asiakkaillesi, mitä on tapahtunut (tällä saatat varmistaa, että he luottavat sinuun jatkossakin)
• varmista, että myös kaikki verkkokauppaasi liittyvät asiaankuuluvat toimijat ovat tietoisia asiasta, ja nimeä vakituinen tietotekniikan vastuuhenkilö tietoturvaongelmien varalle
• määritä tietoturvaloukkauksen syy ja dokumentoi todisteet, joita voidaan käyttää tuomioistuinkäsittelyssä
• jos tietoturvaloukkaus vaikuttaa taloudellisiin tietoihin, kuten luottokorttitietoihin, ilmoita siitä yrityksesi rahansiirtoja käsittelevälle palveluntarjoajalle.

Sinun on myös luotava tietoturvaloukkausten ilmoituskäytäntö, joka voidaan sisällyttää tietosuojaselosteeseen. Sinun on määriteltävä, miten ja milloin ilmoitat asiakkaillesi henkilötietojen tietoturvaloukkauksesta. Sinun on myös otettava huomioon, että Spania mukaisesti sinun on ilmoitettava valvovalle tietosuojaviranomaiselle, kun saat tietää tietoturvaloukkauksesta.

Kansallisen tason tietotekniikan kriisiryhmät ovat turvallisuusasiantuntijoiden ryhmiä, jotka vastaavat kyberhäiriöiden hallinnasta (kuten raportoinnista ja tietoturvauhkiin vastaamisesta). Ne voivat antaa sinulle tietoja siitä, mitä tehdä ja keneltä voit saada apua, jos yrityksesi joutuu kyberhyökkäyksen kohteeksi. Ne myös julkaisevat ilmoituksia haavoittuvuuksista ja uhista maassasi.

Tietosuojasääntöjen noudattaminen

Yleinen tietosuoja-asetus sisältää henkilötietojen keräämistä, tallentamista ja hallintaa koskevia velvoitteita yrityksille. Yleisen tietosuoja-asetuksen kaksi päätavoitetta ovat läpinäkyvyys ja tiedottaminen yleisölle siitä, miten heidän tietojaan käytetään.

Lisätietoja yleisen tietosuoja-asetuksen yleisistä säännöksistä ja niiden soveltamisesta yritykseesi on tietosuojaa käsittelevässä alaosiossa.

Se verkkokaupan osa, jota yleinen tietosuoja-asetus koskee eniten, on tietosuojaseloste (tai tietosuojaperiaatteet). Tämä seloste on yrityksen julkaisema julkinen asiakirja, jossa selitetään, miten se käsittelee henkilötietoja ja soveltaa tietosuojaperiaatteita. Jos yrityksesi sivusto kerää käyttäjän henkilötietoja suoraan, tietosuojaselosteen olisi tultava näkyviin heti, kun sivusto aloittaa tietojen keräämisen.

Tietosuojaselosteen on oltava seuraavanlainen:

• tiivistetysti, läpinäkyvästi ja selkeästi kirjoitettu
• helposti saatavilla
• maksutta ja tarpeeksi nopeasti toimitettu.

Ota selvää, mitä tietosuojaselosteen on sisällettävä

• Keräät henkilötietoja suoraan yksittäisiltä käyttäjiltä
• Saat henkilötietoja kolmansilta osapuolilta

Verkkokaupassa näkyvässä tietosuojaselosteessa on oltava seuraavat tiedot:

• yrityksesi, sen nimetyn edustajan ja tietosuojavastaavan en henkilöllisyys- ja yhteystiedot
• tarkoitus, jota varten yrityksesi käsittelee käyttäjien henkilötietoja, ja käsittelyn oikeudelliset perusteet
• yrityksesi henkilötietojen käsittelyä koskevat oikeutetut edut
• kaikki käyttäjien tietoja vastaanottavat tahot
• se, siirretäänkö henkilötietoja EU:n ulkopuoliseen maahan
• tietojen säilytysaika
• käyttäjien oikeudet käsiteltyjen tietojensa osalta, erityisesti heidän oikeutensa
  • peruuttaa suostumus milloin tahansa
  • tehdä valitus valvontaviranomaiselle
• se, onko käyttäjien henkilötiedot toimitettu lakisääteisten velvoitteiden vai sopimusvelvoitteiden perusteella
• se, käytetäänkö automaattista päätöksentekojärjestelmää, kuten tietojen profilointia (prosessi, jossa jo kerättyjä tietoja analysoidaan tilastollisiin tarkoituksiin).

Verkkokaupassa näkyvässä tietosuojaselosteessa on oltava seuraavat tiedot:

• yrityksesi, sen nimetyn edustajan ja tietosuojavastaavan henkilöllisyys- ja yhteystiedot
• tarkoitus, jota varten yrityksesi käsittelee käyttäjien henkilötietoja, ja käsittelyn oikeudelliset perusteet
• yrityksesi henkilötietojen käsittelyä koskevat oikeutetut edut
• kaikki käyttäjien tietoja vastaanottavat tahot
• se, siirretäänkö henkilötietoja EU:n ulkopuoliseen maahan
• tietojen säilytysaika
• käyttäjien oikeudet käsiteltyjen tietojensa osalta, erityisesti heidän oikeutensa
  • peruuttaa suostumus milloin tahansa
  • tehdä valitus valvontaviranomaiselle
• yrityksesi saamien henkilötietojen ryhmät
• se, käytetäänkö automaattista päätöksentekojärjestelmää, kuten tietojen profilointia.

Tietosuojaseloste on annettava kirjallisesti ja toimitettava sähköisesti (tarvittaessa), ja se on julkaistava verkkosivuston tietyssä osassa (esimerkiksi yksityisyydensuoja en ). Lisäksi selosteen on oltava käytettävissä suoraan mistä tahansa sivuston sivulta tai alasivulta.

Lisätietoja ja hyödyllisiä neuvoja tietosuojaperiaatteiden laatimisesta on näissä käytännön suuntaviivoissa en .