Biztonságos webhely működtetése

Ha vállalkozása az interneten is jelen van, Önnek feltétlenül gondoskodnia kell a céges webhely fejlesztéséről és karbantartásáról. Az ügyféladatok ellopása és a kiberbiztonságot veszélyeztető egyéb események több szinten is komoly következményekkel járhatnak. Előfordulhat, hogy:

  • a cég hírneve csorbát szenved;
  • zavarok, fennakadások nehezítik a szolgáltatások teljesítését;
  • az ügyfelek elfordulnak a cégtől;
  • a hatóságok szankciókat szabnak ki, illetve perek indulnak a vállalkozás ellen.

A webshopok esetében a következő kiberbiztonsági eseményekkel kell számolni:

  • az ügyféladatok ellopása;
  • az elektronikus kereskedelmi platformon található információk megváltoztatása;
  • a webhely leállása;
  • bizalmas üzleti információk kiszivárgása.

Az esetleges biztonsági problémákra való tekintettel azt is nagyon fontos tudnia, milyen érzékeny információk találhatók meg cége webhelyén. Ezzel összefüggésben a következőket célszerű átgondolnia:

  • Milyen információkra van feltétlenül szükség a cég működéséhez?
  • Hol találhatók ezek az adatok?
  • Milyen gyorsan lehet ezeket az információkat pótolni adatlopás esetén?

Ezenfelül teljeskörűen át kell vizsgálnia adatrendszereit, számba kell vennie a legfontosabb alkotóelemeket, és nyomon kell követnie minden változást. Feltétlenül gondoskodjon arról, hogy a cégnél Önön kívül más is tudjon erről a rendszerauditról, ugyanakkor azt is szem előtt kell tartania, hogy az adatrendszerekhez csak a szükséges ismeret elve alapján szabad hozzáférést biztosítani.

Adatvédelem a céges webhelyen

Fontos átgondolni, hogy a cég webhelyére és szolgáltatásaira mennyiben vonatkoznak az információbiztonság alapvető szempontjai – a titoktartás, az integritás és a hozzáférhetőség –, és meg kell határozni a szolgáltatási szintre vonatkozó követelményeket. Ezek a követelmények módosulhatnak annak függvényében, hogy Ön milyen egyéb szempontoknak kíván érvényt szerezni.

Ahhoz, hogy a rendszer biztonságos legyen, Önnek gondoskodnia kell a következők védelméről:

  • Titoktartás: a személyes adatok, köztük a hitelkártya- és a betétikártya-adatok védelme révén meg kell akadályoznia, hogy ezek az információk olyan személyek tudomására jussanak, akik erre nem jogosultak. Erről úgy gondoskodhat, hogy:
    • megfelelő hitelesítési mechanizmust léptet életbe (például olyan, többtényezős hitelesítési megoldásokat, amelyek megkövetelik, hogy a felhasználó legalább kétféleképpen igazolja személyazonosságát);
    • titkosított kapcsolatot (lásd: HTTPS, SSL biztonsági protokoll) használ, hogy csak a megfelelő személyek férhessenek hozzá az érzékeny információkhoz.
  • Integritás: annak érdekében, hogy az információk folyamatosan pontosak és megbízhatóak legyenek, meg kell akadályoznia, hogy illetéktelen felek megváltoztassák őket. Ezt úgy érheti el, hogy:
    • napi rendszerességgel ellenőrzi, nem került-e sor a fájlok módosítására;
    • biztonsági tesztelésnek veti alá a cég webhelyét és szolgáltatásait a kibertámadások megelőzése érdekében;
    • behatolásvédelmi rendszert telepít.
  • Hozzáférhetőség: ha Ön üzemelteti a webhelyet, biztosítania kell, hogy a webhely fennakadások nélkül, folyamatosan működjön. Ezt úgy tudja megoldani, hogy:
    • tartalék áramellátó rendszert telepít az esetleges meghibásodások esetére;
    • minden hardvereszközt gondosan karbantart.

Teendők biztonsági események esetén

Fontos, hogy arra az esetre, ha sérül a biztonság, rendelkezzen olyan, végrehajtható tervvel, mely felvázolja, milyen konkrét intézkedéseket és eljárásokat léptessen életbe a biztonsági eseményekre válaszul. Az eljárásoknak rögzíteniük kell:

  • kié az elsődleges felelősség;
  • hogyan kell felvenni a kapcsolatot a kulcsfontosságú munkakörökben dolgozó munkatársakkal;
  • mely adatok, hálózatok és szolgáltatások helyreállítását kell előnyben részesíteni;
  • kiket (adattulajdonosokat, ügyfeleket, illetve partnervállalkozásokat) kell értesíteni, ha adataik vagy a hálózataik szempontjából fontos adatok illetéktelenek tudomására jutnak.

Ha biztonsági eseményt észlel, tegye a következőket:

  • tájékoztassa ügyfeleit a történtekről, ami elősegítheti, hogy továbbra is bizalommal viseltessenek a cége iránt;
  • gondoskodjon arról, hogy a webáruháza tevékenysége szempontjából releváns szereplők mindegyike értesüljön az esetről – célszerű állandó informatikai megbízottat is kijelölnie arra az esetre, ha biztonsági problémára derül fény;
  • állapítsa meg, milyen okból sérült a biztonság, és a bizonyítékokat dokumentálja, hogy – ha szükséges – a bíróság előtt is felhasználhassa őket;
  • ha az esemény pénzügyi információkkal kapcsolatos, például hitelkártyaadatok biztonságát is érinti, tájékoztassa a pénzügyi tranzakcióit kezelő szolgáltatót.

A fentieken túlmenően le kell fektetnie, hogy adatvédelmi incidens esetén hogyan és mikor fogja a történtekről értesíteni az ügyfeleit. Az erre vonatkozó információkat belefoglalhatja az adatvédelmi nyilatkozatba. Arra is ügyelnie kell, hogy az általános adatvédelmi rendelet értelmében az adatvédelmi felügyeleti hatóságot is értesítenie kell a történtekről, amint tudomást szerez az adatvédelmi incidensről.

Tagállami szinten a biztonsági események kezeléséért (pl. a biztonsági fenyegetések bejelentéséért és az elhárításukat szolgáló intézkedések meghozataláért) felelős biztonsági szakértőket az ún. CERT csoportok, azaz a számítógépes vészhelyzeteket elhárító csoportok tömörítik. Ők tanácsot tudnak Önnek adni azt illetően, mit tegyen és kihez forduljon segítségért, ha cégét kibertámadás éri. Ezek a csoportok figyelmeztetéseket tesznek közzé az adott országban tapasztalható sebezhetőségekről és biztonsági fenyegetésekről.

Az adatvédelmi szabályok betartása

Az általános adatvédelmi rendelet kötelezettségeket fogalmaz meg a személyes adatokat gyűjtő, tároló és kezelő vállalkozásokra vonatkozóan. A rendelet két fő célt szolgál: az egyik az átláthatóság, a másik, hogy az emberek tájékoztatást kapjanak arról, hogyan használják fel az adataikat.

Látogasson el portálunk adatvédelemről szóló oldalára, ha többet szeretne megtudni a rendelet általános rendelkezéseiről és arról, milyen esetekben vonatkoznak ezek az előírások az Ön cégére.

Az általános adatvédelmi rendeletnek a webshopok esetében leginkább az adatvédelmi nyilatkozat (illetve az adatvédelmi politika) tekintetében van jelentősége. Az adatvédelmi nyilatkozat a vállalkozás által kiadott nyilvános dokumentum, amelyben a cég ismerteti, hogyan kezeli a személyes adatokat, és milyen módon alkalmazza az adatvédelmi elveket a gyakorlatban. Ha az Ön cégének webhelye közvetlenül gyűjti a felhasználók személyes adatait, az adatvédelmi nyilatkozatot az adatgyűjtés pillanatában kell a felületen megjeleníteni.

Az adatvédelmi nyilatkozatot:

  • lényegre törő, világos és közérthető nyelvezeten kell megfogalmazni;
  • könnyen hozzáférhetővé kell tenni;
  • ingyen és kellő időben kell a felhasználók rendelkezésére bocsátani.

Az adatvédelmi nyilatkozat kötelező elemei

Az Ön webáruházának online felületén megjelenített adatvédelmi nyilatkozatnak a következő információkat kell tartalmaznia:

  • az Ön vállalkozásának, valamint a cég kinevezett képviselőjének és adatvédelmi tisztviselőjének en azonosítását szolgáló információk és elérhetőségei;
  • a személyes adatok kezelésének célja, valamint az adatkezelés jogalapja;
  • cégének személyesadat-kezeléshez fűződő jogos érdekei;
  • a személyes adatok címzettjei;
  • továbbítja-e a cég a személyes adatokat nem uniós országba;
  • az adattárolás időtartama;
  • a felhasználókat az adatkezelés tárgyát képező adataik tekintetében megillető jogok:
    • a jog, hogy hozzájárulásukat bármikor visszavonják,
    • a jog, hogy panaszt intézzenek valamelyik felügyeleti hatósághoz;
  • jogszabályon vagy szerződéses kötelezettségen alapul-e a felhasználók személyes adatainak szolgáltatása;
  • automatizált-e a döntéshozatal, és a rendszer végez-e profilalkotást (azaz a már összegyűjtött adatokat elemzi-e statisztikai célból).

Az Ön webáruházának online felületén megjelenített adatvédelmi nyilatkozatnak a következő információkat kell tartalmaznia:

  • az Ön vállalkozásának, valamint a cég kinevezett képviselőjének és adatvédelmi tisztviselőjének azonosítását szolgáló információk és elérhetőségei;
  • a személyes adatok kezelésének célja, valamint az adatkezelés jogalapja;
  • cégének személyesadat-kezeléshez fűződő jogos érdekei;
  • a személyes adatok címzettjei;
  • továbbítja-e a cég a személyes adatokat nem uniós országba;
  • az adattárolás időtartama;
  • a felhasználókat az adatkezelés tárgyát képező adataik tekintetében megillető jogok:
    • a jog, hogy hozzájárulásukat bármikor visszavonják,
    • a jog, hogy panaszt intézzenek valamelyik felügyeleti hatósághoz;
  • a cég birtokába került személyes adatok kategóriái;
  • automatizált-e a döntéshozatal, és végez-e a rendszer profilalkotást.

Az adatvédelmi nyilatkozatot írásba kell foglalni, és (adott esetben) elektronikus úton a felhasználók rendelkezésére bocsátani. A nyilatkozatot közzé kell tenni a webhely meghatározott részén (például az itt látható módon: Adatvédelmi politika en ), melyhez a felhasználók a webhely bármelyik oldaláról vagy aloldaláról közvetlenül hozzáférhetnek.

Ha Ön segítséget szeretne kapni az adatvédelmi politika kidolgozásához, illetve az adatvédelmi nyilatkozat megfogalmazásához, olvassa el gyakorlati iránymutatásainkat en , melyek további információkkal és hasznos tanácsokkal szolgálnak a témában.

EU-jogszabályok

Tanácsra vagy segítségre van szüksége?

Vegye fel a kapcsolatot a szakosodott segítségnyújtó szolgálatokkal

Kérdése van határokon átnyúló vállalati tevékenységgel kapcsolatban (export, a tevékenység kiterjesztése más uniós tagállamokra stb.)? Ha igen, akkor az Enterprise Europe Network díjmentesen segíthet Önnek.

Igénybe veheti támogató szolgálat kereső is, ahol elirányítjuk az Önnek leginkább megfelelő segítségnyújtó szolgálathoz.

Utolsó frissítés: 24/05/2024
Oldal megosztása