Vietnes aizsardzība

Jūsu vietnes izstrāde un uzturēšana ir svarīga jūsu klātbūtnei tiešsaistē. Kiberdrošības incidentiem, piemēram, jūsu klientu datu zādzībai, var būt liela ietekme uz jūsu uzņēmumu vai zīmolu vairākos līmeņos:

  • zīmola labās slavas zudums
  • pakalpojumu pārrāvums
  • klientu uzticības zaudēšana
  • regulatīvas sankcijas un tiesas prāvas

Kiberdrošības incidenti, kas ietekmē tiešsaistes veikalus, var būt šādi:

  • klientu datu zādzība
  • sagrozījumi informācijā par e-komercijas platformu
  • vietnes aizvēršana
  • konfidenciālas komercinformācijas noplūde

Ļoti svarīgi ir arī pirms drošības pārkāpuma apzināties, kāda neizpaužama informācija atrodas jūsu vietnē. Jums jāapsver šādi aspekti:

  • Kāda informācija jūsu uzņēmuma darbībai ir izšķirīga?
  • Kur tā glabājas?
  • Cik ātri to var atjaunot, ja uzbrukuma gadījumā tā tiek nozagta?

Jums arī jāveic pilnīga savu sistēmu revīzija, jāapzinās vissvarīgākie komponenti un jāseko visam līdzi. Pārliecinieties, ka organizācijā neesat vienīgā persona, kas zina par šo revīziju, bet arī ņemiet vērā, ka piekļuve visām datu sistēmām būtu piešķirama tikai tiem, kam tā vajadzīga darbam.

Informācijas aizsardzība jūsu vietnē

Ir svarīgi apsvērt, kā informācijas drošības galvenie aspekti – konfidencialitāte, neskartība un pieejamība – attiecas uz jūsu vietni un pakalpojumiem un nosaka nepieciešamās pakalpojumu līmeņa prasības. Ņemiet vērā, ka šīs prasības var atšķirties pēc tā, kādus citus elementus esat nolēmuši iekļaut.

Ja vēlaties, lai jūsu sistēma ir droša, jums ir jāpārliecinās, ka ir aizsargāti šādi komponenti:

  • Konfidencialitāte. Tas nozīmē tādu informāciju kā kredītkaršu/debetkaršu numuri un citādu personisku informāciju aizsargāt no izpaušanas nepiederīgām personām. To var izdarīt tā:
    • izveidot pienācīgu autentifikācijas mehānismu (piemēram, daudzfaktoru autentifikācijas risinājumus, kas balstās uz to, ka lietotājs nodrošina divus vai vairāk veidus viņa personības pārbaudei)
    • izmantot šifrētus savienojumus (HTTPS; SSL drošības protokolu), lai nodrošinātu, ka piekļuve neizpaužamai informācijai ir tikai "pareizajiem" cilvēkiem
  • Neskartība. Tas nozīmē gādāt, ka informācija paliek precīza un uzticama, aizsargājot to no sagrozīšanas, ko var izdarīt nepiederīgas personas. To var panākt tā:
    • mainīto datņu ikdienas pārbaude
    • drošības pārbaužu paredzēšana jūsu vietnei un pakalpojumiem, lai izvairītos no uzbrukumiem
    • ielaušanās novēršanas sistēmas izveide
  • Pieejamība. Tas nozīmē gādāt, lai jūsu vietne ir ieslēgta un darbojas visu laiku, ja jūs paši mitināt savu vietni. To var nodrošināt tā:
    • ieviest ārkārtas rezerves elektroapgādes sistēmu
    • stingri uzturēt kārtībā visu aparatūru

Kā reaģēt uz drošības incidentiem

Ir svarīgi, lai drošības pārkāpuma gadījumiem būtu izstrādāts darbotiesspējīgs plāns, kurā paredzēti īpaši, konkrēti pasākumi un procedūras, kas veicamas drošības incidenta novēršanai. Procedūrās jāpievēršas šādiem jautājumiem:

  • kam ir galvenā atbildība,
  • kā sazināties ar kritiski svarīgajiem darbiniekiem,
  • kādi dati, tīkli un pakalpojumi jānosaka par prioritāriem darba atjaunošanai,
  • kas jāinformē (datu īpašnieki, klienti vai partneruzņēmumi), ja uzbrukumam pakļauti viņu dati vai dati, kas ietekmē viņu tīklus

Ja konstatējat pārkāpumu, rīkojieties šādi:

  • informējiet klientus par notikušo, jo tas palīdz saglabāt uzticēšanos
  • pārliecinieties, ka ir informēti arī visi attiecīgie tiešsaistes veikalā iesaistītie dalībnieki Ir jānorīko pastāvīgs IT darbinieks gadījumiem, kad tiek atklāta drošības problēma
  • nosakiet ielaušanās cēloni, ar dokumentētiem pierādījumiem, ko beigās var izmantot tiesā
  • ja tiek ietekmēta finansiālā informācija, piemēram, kredītkartes dati, jums ir jāinformē pakalpojumu sniedzējs, kas apkalpo jūsu finansiālos darījumus

Jums jāizveido arī datu aizsardzības pārkāpumu izziņošanas kārtība, ko var iekļaut jūsu paziņojumā par privātumu, un tajā jānorāda, kā un kad jūs informēsit klientus par persondatu pārkāpumu. Jāņem vērā arī tas, ka pēc VDAR noteikumiem jums pienākas ziņot pārraugošajai datu aizsardzības iestādei, kolīdz uzzināt par datu aizsardzības pārkāpumu.

Valstu līmenī par drošības incidentu pārvaldību atbild datorapdraudējumu reaģēšanas vienības (CERT) – drošības ekspertu grupas (ziņošana un reaģēšana uz briesmām drošībai). Tās jums var sniegt informāciju par to, ko darīt un kā vērsties pēc palīdzības, ja jums draud kiberuzbrukums. Tās arī publicē brīdinājumus par neaizsargātību un apdraudējumiem jūsu valstī.

Datu aizsardzības likumīgums

Vispārīgā datu aizsardzības regula uzliek pienākumus uzņēmumiem, kuri ievāc, glabā un pārvalda persondatus. VDAR divi galvenie mērķi ir pārredzamība un sabiedrības informēšana par to, kā tiek izmantoti cilvēku dati.

Lai iegūtu sīkākas ziņas par VDAR vispārējiem noteikumiem un to, kā tie skar jūsu uzņēmumu, ielūkojieties apakšiedaļā par datu aizsardzību!

Jūsu tiešsaistes veikala daļa, uz kuru VDAR attiecas visvairāk, ir paziņojums par privātumu (vai politika). Šis paziņojums ir jūsu uzņēmuma izdots publisks dokuments, kurā paskaidrots, kā tas apstrādā persondatus un kā piemēro datu aizsardzības principus. Ja jūsu vietne tieši vāc lietotāja persondatus, privātuma paziņojums jāparāda tajā brīdī, kad tas tiek darīts.

Paziņojums par privātumu jāraksta

  • kodolīgi, pārredzami un saprotami,
  • tam jābūt viegli pieejamam,
  • to sniedz par brīvu un piegādā laicīgi

Uzziniet, kas jāiekļauj paziņojumā par privātumu!

Jūsu tiešsaistes veikalā publicētajā paziņojumā par privātumu jāiekļauj šāda informācija:

  • uzņēmuma, tā ieceltā pārstāvja un datu aizsardzības speciālista en personība un kontaktinformācija
  • ar kādu mērķi jūsu uzņēmums apstrādā lietotāju persondatus, un to juridiskais pamats
  • jūsu uzņēmuma leģitīmās intereses apstrādāt persondatus
  • visi lietotāju datu saņēmēji
  • vai persondati tiek pārsūtīti uz valsti ārpus ES
  • datu saglabāšanas laiks
  • lietotāju tiesības rīkoties ar saviem apstrādātajiem datiem, it īpaši tiesības:
    • atsaukt piekrišanu jebkurā brīdī
    • iesniegt sūdzību uzraudzības iestādē
  • vai lietotāju persondati tiek sniegti, pamatojoties uz tiesību aktos vai līgumos noteiktiem pienākumiem
  • vai ir ieviesta automatizēta lēmumu pieņemšanas sistēma, kas ietver datu profilēšanu (process, ar kuru savāktos datus analizē statistikas vajadzībām)

Jūsu tiešsaistes veikalā publicētajā paziņojumā par privātumu jāiekļauj šāda informācija:

  • uzņēmuma, tā ieceltā pārstāvja un datu aizsardzības speciālista identitāte un kontaktinformācija
  • ar kādu mērķi jūsu uzņēmums apstrādā lietotāju persondatus, un to juridiskais pamats
  • uzņēmuma leģitīmās intereses apstrādāt persondatus
  • visi lietotāju datu saņēmēji
  • vai persondati tiek pārsūtīti uz valsti ārpus ES
  • datu saglabāšanas laiks
  • lietotāju tiesības rīkoties ar saviem apstrādātajiem datiem, it īpaši:
    • tiesības jebkurā brīdī atsaukt piekrišanu
    • tiesības iesniegt sūdzību uzraudzības iestādei
  • jūsu uzņēmuma iegūto persondatu kategorijas
  • vai ir ieviesta automatizēta lēmumu pieņemšanas sistēma, kas ietver datu profilēšanu

Paziņojumi par persondatu aizsardzību ir jāsniedz rakstiski un jāpiegādā elektroniski (attiecīgā gadījumā), un jāpublicē īpašā jūsu vietnes sadaļā (piemēram: "Privātuma politika" en ), un tiem jābūt tieši pieejamiem no katras vietnes lapas vai apakšlapas.

Sīkās ziņas un derīgus padomus par privātuma politikas plānošanu varat saņemt šajās lietišķajās "Vadlīnijās" en .

ES tiesību akti

Jums vajadzīgs atbalsts no palīdzības dienesta?

Sazinieties ar specializētiem palīdzības dienestiem

Vai jums ir jautājumi par uzņēmuma pārrobežu darbību, piemēram, eksportu uz citu ES valsti vai darbības paplašināšanu tajā? Ja ir, varat saņemt bezmaksas padomu no Enterprise Europe Network.

Jūs varat arī izmantot palīdzības dienestu meklētāju, lai atrastu jums vajadzīgo palīdzību.

Pēdējā pārbaude: 24/05/2024
Kopīgot šo lapu