Securizarea unui site

Dezvoltarea și întreținerea site-ului joacă un rol important în prezența dumneavoastră online. Incidentele de securitate cibernetică, cum ar fi furtul de date ale clienților, vă pot afecta grav întreprinderea sau marca:

  • pierderea reputației
  • întreruperea serviciilor
  • pierderea încrederii clienților
  • sancțiuni și procese

Magazinele online pot fi afectate de incidente de securitate cibernetică precum:

  • furtul datelor clienților
  • modificări ale informațiilor de pe platforma de comerț electronic
  • închiderea site-ului
  • scurgerea de informații comerciale confidențiale

Este foarte important să stabiliți ce informații sensibile figurează pe site-ul dumneavoastră, înainte de orice eventuală încălcare a securității. Trebuie să luați în considerare următoarele aspecte:

  • Ce informații sunt esențiale pentru desfășurarea activității dumneavoastră?
  • Unde sunt stocate?
  • Cât de repede pot fi restabilite dacă sunt furate în cazul unui atac?

De asemenea, este bine să efectuați un audit complet al sistemelor dumneavoastră, să luați act de cele mai importante componente și să monitorizați toate aceste elemente. Asigurați-vă că nu sunteți singura persoană din organizație care știe despre acest audit, dar nu uitați nici faptul că accesul la toate sistemele de date ar trebui acordat numai pe baza principiului necesității de a cunoaște.

Protecția informațiilor pe site-ul dumneavoastră

Este important să reflectați asupra modului în care aspectele esențiale ale securității informațiilor – confidențialitatea, integritatea și disponibilitatea – se aplică site-ului și serviciilor dumneavoastră și să stabiliți cerințele necesare pentru nivelul serviciilor. Rețineți că aceste cerințe pot fi diferite în funcție de alte elemente pe care ați decis să le integrați.

Dacă doriți ca sistemul dumneavoastră să fie securizat, trebuie să vă asigurați că următoarele componente sunt protejate:

  • Confidențialitatea: presupune protejarea anumitor informații, precum numerele cardurilor de credit/debit și a altor date cu caracter personal împotriva divulgării către părți neautorizate. Puteți face acest lucru:
    • instituind un mecanism adecvat de autentificare (cum ar fi soluțiile de autentificare multifactorială, care se bazează pe furnizarea de către utilizator a 2 sau mai multe modalități de verificare a identității sale)
    • utilizând conexiuni criptate (HTTPS; protocolul de securitate SSL) pentru a garanta că numai persoanele corespunzătoare au acces la informații sensibile
  • Integritatea: presupune garantarea faptului că informațiile rămân exacte și fiabile, prin protejarea lor împotriva modificării de către părți neautorizate. Puteți face acest lucru:
    • verificând zilnic dacă apar fișiere modificate
    • prevăzând teste de securitate pentru site-ul și serviciile dumneavoastră, pentru a evita atacurile
    • instituind un sistem de prevenire a intruziunilor
  • Disponibilitatea: presupune să vă asigurați că site-ul dumneavoastră funcționează în permanență, dacă vă găzduiți propriul site. Puteți face acest lucru:
    • implementând un sistem electroenergetic de rezervă pentru situații de urgență
    • efectuând o întreținere riguroasă a tuturor echipamentelor informatice

Modalități de reacție la incidentele de securitate

În cazul apariției unei probleme de securitate, este important să existe un plan de acțiune care să prevadă măsuri și proceduri specifice și concrete pentru monitorizarea situației. Procedurile ar trebui să stabilească:

  • cine are responsabilitatea principală
  • cum puteți contacta personalul critic
  • ce date, rețele și servicii ar trebui să fie recuperate cu prioritate
  • ce persoane/entități trebuie să fie informate (proprietarii de date, clienții sau societățile partenere) în cazul în care sunt expuse datele lor sau datele care le afectează rețelele

În cazul în care detectați o încălcare a securității, urmați acești pași:

  • informați-vă clienții cu privire la ceea ce s-a întâmplat, pentru ca aceștia să aibă în continuare încredere în dumneavoastră
  • asigurați-vă că toți actorii relevanți implicați în funcționarea magazinului dumneavoastră online cunosc, de asemenea, situația. Ar trebui să desemnați un responsabil IT permanent în cazul în care se detectează o problemă de securitate
  • stabiliți cauza încălcării, cu dovezi documentate care pot fi utilizate în cele din urmă în instanță
  • dacă sunt afectate informațiile financiare, cum ar fi datele cardurilor de credit, trebuie să informați furnizorul care gestionează tranzacțiile dumneavoastră financiare

De asemenea, ar trebui să elaborați o politică de notificare în caz de încălcare a securității datelor, care ar putea fi inclusă în declarația dumneavoastră de confidențialitate și ar urma să precizeze cum și când vor fi informați clienții ale căror date cu caracter personal au fost afectate. De asemenea, trebuie să țineți seama de faptul că, în temeiul RGPD, aveți obligația de a notifica autoritatea de supraveghere pentru protecția datelor de îndată ce ați luat cunoștință de orice încălcare a securității datelor.

La nivel național, există echipele de intervenție în caz de urgență informatică (CERT), formate din experți care răspund de gestionarea incidentelor de securitate (inclusiv de raportare și de răspunsul la amenințările la adresa securității). Aceste echipe vă pot spune ce trebuie să faceți și la cine să apelați dacă aveți nevoie de ajutor în cazul în care ați fost victima unui atac cibernetic. De asemenea, echipele publică alerte privind vulnerabilitățile și amenințările din țara dumneavoastră.

Respectarea normelor privind protecția datelor

Regulamentul general privind protecția datelor (RGPD) conține obligații pentru întreprinderile care colectează, stochează și gestionează date cu caracter personal. Cele 2 obiective principale ale RGPD sunt transparența și informarea publicului cu privire la modul în care sunt utilizate datele cu caracter personal.

Pentru mai multe informații cu privire la dispozițiile generale ale RGPD și la modul în care acestea se aplică întreprinderii dumneavoastră, consultați subsecțiunea privind protecția datelor.

Partea din magazinul dumneavoastră online pe care RGPD o vizează cel mai mult este declarația (sau politica) de confidențialitate. Această declarație este un document public emis de întreprinderea dumneavoastră, care explică în ce mod prelucrează datele cu caracter personal și cum aplică principiile de protecție a datelor. În cazul în care site-ul dumneavoastră colectează în mod direct datele cu caracter personal ale unui utilizator, declarația de confidențialitate ar trebui să fie afișată în momentul în care sunt colectate datele respective.

Declarația de confidențialitate ar trebui:

  • să fie redactată într-un limbaj concis, transparent și inteligibil
  • să fie ușor accesibilă
  • să fie furnizată gratuit și în timp util

Aflați ce ar trebui să conțină declarația dumneavoastră de confidențialitate

Declarația de confidențialitate afișată de magazinul dumneavoastră online ar trebui să includă următoarele informații:

  • identitatea și datele de contact ale întreprinderii dumneavoastră, ale reprezentantului desemnat și ale responsabilului cu protecția datelor en
  • scopurile în care întreprinderea dumneavoastră prelucrează datele cu caracter personal ale utilizatorilor și temeiurile juridice aferente
  • interesele legitime ale întreprinderii dumneavoastră față de prelucrarea datelor cu caracter personal
  • toți destinatarii datelor utilizatorilor
  • posibilitatea ca datele cu caracter personal să fie transferate către o țară din afara UE
  • perioadele de păstrare a datelor
  • drepturile utilizatorilor în relație cu datele care le sunt prelucrate, în special:
    • dreptul de a-și retrage consimțământul în orice moment
    • dreptul de a depune o plângere la o autoritate de supraveghere
  • existența unor obligații statutare sau contractuale pe care se bazează furnizarea de către utilizatori a datelor
  • eventuala existență a unui sistem decizional automatizat, care include crearea de profiluri (procesul prin care datele deja colectate sunt analizate din motive statistice)

Declarația de confidențialitate afișată de magazinul dumneavoastră online ar trebui să includă următoarele informații:

  • identitatea și datele de contact ale întreprinderii dumneavoastră, ale reprezentantului desemnat și ale responsabilului cu protecția datelor
  • scopurile în care întreprinderea dumneavoastră prelucrează datele cu caracter personal ale utilizatorilor și temeiurile juridice aferente
  • interesele legitime ale întreprinderii dumneavoastră față de prelucrarea datelor cu caracter personal
  • toți destinatarii datelor utilizatorilor
  • posibilitatea ca datele cu caracter personal să fie transferate către o țară din afara UE
  • perioadele de păstrare a datelor
  • drepturile utilizatorilor în relație cu datele care le sunt prelucrate, în special:
    • dreptul de a-și retrage consimțământul în orice moment
    • dreptul de a depune o plângere la o autoritate de supraveghere
  • categoriile de date cu caracter personal obținute de întreprinderea dumneavoastră
  • eventuala existență a unui sistem decizional automatizat, care include crearea de profiluri de date

Notificările în materie de confidențialitate trebuie să fie furnizate în scris, transmise pe cale electronică (dacă este cazul), publicate într-o secțiune specifică a site-ului (de exemplu: Politica de confidențialitate en ) și accesibile direct de pe orice pagină sau subpagină a site-ului.

Pentru mai multe detalii și recomandări utile privind elaborarea politicii dumneavoastră de confidențialitate, puteți consulta aceste orientări en .

Legislația UE

Aveți nevoie de ajutorul serviciilor de asistență?

Contactați serviciile specializate de asistență

Aveți întrebări despre desfășurarea unei activități economice la nivel transfrontalier, de exemplu exportul sau extinderea în altă țară din UE? Dacă da, Enterprise Europe Network (Enterprise Europe Network) vă poate oferi consiliere gratuită.

Puteți utiliza instrument de găsire servicii de asistență pentru a găsi ajutorul potrivit pentru dumneavoastră.

Ultima verificare: 24/05/2024
Partajați această pagină