Zabezpečenie webového sídla

Vývoj a údržba webového sídla je dôležitým prvkom vašej prítomnosti online. Kybernetické bezpečnostné incidenty ako krádež údajov vašich zákazníkov môžu mať závažný vplyv na vaše podnikanie alebo značku na viacerých úrovniach:

• strata dobrej povesti značky,
• prerušenie poskytovania vašich služieb,
• strata dôvery vašich zákazníkov,
• regulačné sankcie a súdne konania.

Kybernetické bezpečnostné incidenty, ktoré ovplyvňujú e-shopy, môžu zahŕňať napríklad:

• krádež údajov zákazníkov,
• zmeny v informáciách na platforme elektronického obchodu,
• zrušenie webového sídla,
• únik dôverných obchodných informácií.

Takisto je veľmi dôležité vedieť, aké citlivé informácie máte na webovom sídle, ešte pred akýmkoľvek narušením bezpečnosti. Mali by ste zvážiť tieto skutočnosti:

• Aké informácie sú pre vaše podnikanie zásadné?
• Kde sú umiestnené?
• Ako rýchlo ich dokážete obnoviť v prípade, že budú ukradnuté pri útoku?

Mali by ste vykonať aj úplný audit svojich systémov, zaznamenať tie najdôležitejšie prvky a všetko sledovať. Uistite sa, že nie ste jediná osoba vo vašej organizácii, ktorá vie o tomto audite, ale myslite aj na to, že prístup do všetkých systémov údajov by ste mali udeľovať iba na základe potreby poznať.

Ochrana informácií na vašom webovom sídle

Je dôležité uvažovať o tom, ako sa na vaše webové sídlo a služby vzťahujú základné aspekty informačnej bezpečnosti – dôvernosť, integrita a dostupnosť –, a určiť potrebné požiadavky na úroveň služieb. Vezmite do úvahy, že v závislosti od toho, aké ďalšie prvky ste sa rozhodli integrovať, sa tieto požiadavky môžu líšiť.

Ak chcete, aby bol váš systém bezpečný, musíte sa uistiť, že nasledujúce prvky budú chránené:

• Dôvernosť: to znamená ochranu informácií, ako sú čísla kreditných/debetných kariet a iné osobné informácie, pred ich poskytnutím neoprávneným stranám. Môžete to urobiť takto:
  • nastavte dostatočný mechanizmus overovania totožnosti (ako sú riešenia viacstupňovej autentifikácie založené na tom, že používateľ poskytne dva alebo viac spôsobov overenia svojej identity),
  • používajte zašifrované prepojenia (HTTPS, bezpečnostný protokol SSL), aby ste zabezpečili, že prístup k citlivým informáciami budú mať iba autorizované osoby.
• Integrita: to znamená, že musíte zabezpečiť presnosť a dôveryhodnosť informácií tak, že zabránite tomu, aby do nich zasahovali neoprávnené strany. Možno to dosiahnuť takto:
  • každý deň vykonajte kontrolu zmenených súborov,
  • naplánujte testovanie bezpečnosti vášho webového sídla a služieb, aby ste sa vyhli útokom,
  • nastavte systém prevencie prienikov.
• Dostupnosť: to znamená, že zabezpečíte nepretržitú prevádzku a funkčnosť webového sídla, ak si hosting zabezpečujete sami. Môžete to zabezpečiť:
  • zavedením núdzového záložného elektrického systému,
  • dôslednou údržbou všetkých hardvérov.

Ako reagovať na bezpečnostné incidenty

Je dôležité, aby ste pre prípad narušenia bezpečnosti mali vypracovaný vykonateľný plán s osobitnými konkrétnymi opatreniami a postupmi, ktoré sa majú uplatniť pri bezpečnostnom incidente. Postupy by mali byť zamerané na tieto aspekty:

• kto má hlavnú zodpovednosť,
• ako kontaktovať kritický personál,
• aké údaje, siete a služby by mali byť obnovené prioritne,
• koho je potrebné upozorniť (vlastníkov údajov, zákazníkov alebo partnerské spoločnosti), ak sú ich údaje alebo údaje ovplyvňujúce ich siete zverejnené.

Ak zistíte narušenie, postupujte takto:

• informujte o tom, čo sa stalo, svojich zákazníkov, čím si môžete zachovať ich dôveru,
• uistite sa, že sú informovaní aj všetci relevantní aktéri zapojení do prevádzky vášho e-shopu. Mali by ste určiť stáleho IT pracovníka pre prípad zistenia bezpečnostného problému,
• stanovte príčinu narušenia bezpečnosti, zdokumentujte dôkazy, ktoré prípadne môžu byť použité na súde,
• ak sú zasiahnuté finančné údaje, ako napríklad údaje z kreditných kariet, musíte informovať poskytovateľa zabezpečujúceho vaše finančné transakcie.

Takisto by ste mali vytvoriť pravidlá oznamovania porušenia ochrany údajov, ktoré môžu byť zahrnuté vo vašom vyhlásení o ochrane súkromia a v ktorých by malo byť určené, ako a kedy upozorníte zákazníkov v prípade, že dôjde k porušeniu ochrany osobných údajov. Musíte vziať do úvahy aj fakt, že podľa pravidiel všeobecného nariadenia o ochrane údajov máte povinnosť informovať dozorný orgán pre ochranu osobných údajov, hneď ako sa dozviete o porušení ochrany údajov.

Na vnútroštátnej úrovni pôsobia tímy reakcie na núdzové počítačové situácie (CERT) zodpovedné za riadenie bezpečnostných incidentov (vrátane hlásení a reakcií na bezpečnostné hrozby). Môžu vám poskytnúť informácie o tom, ako postupovať a na koho sa obrátiť s prosbou o pomoc, ak ste sa stali obeťou akéhokoľvek kybernetického útoku. Takisto zverejňujú upozornenia na zraniteľnosť a hrozby vo vašej krajine.

Dodržiavanie zásad ochrany údajov

Vo všeobecnom nariadení o ochrane údajov sú uvedené povinnosti podnikov, ktoré zhromažďujú, ukladajú a spravujú osobné údaje. Dva základné ciele všeobecného nariadenia o ochrane údajov sú transparentnosť a informovanie verejnosti o tom, ako sú údaje používané.

Pre viac informácií o všeobecných ustanoveniach všeobecného nariadenia o ochrane údajov a o tom, ako sa vzťahujú na váš podnik, si pozrite časť o  ochrane osobných údajov.

Pokiaľ ide o váš e-shop, všeobecné nariadenie o ochrane údajov sa týka najmä časti s vyhlásením o ochrane súkromia (alebo pravidlami). Toto vyhlásenie je verený dokument vydaný vaším podnikom, v ktorom je vysvetlené, ako spracúva osobné údaje a ako uplatňuje zásady ochrany údajov. Ak vaše webové sídlo zhromažďuje osobné údaje používateľa priamo, vyhlásenie o ochrane súkromia by sa malo objaviť v momente, keď sa to deje.

Vyhlásenie o ochrane súkromia by malo byť:

• napísané stručne, transparentne a zrozumiteľne,
• ľahko prístupné,
• poskytnuté bezplatne a zobrazené včas.

Prečítajte si, čo by malo obsahovať vaše vyhlásenie o ochrane súkromia

• Zhromažďujete osobné údaje priamo od jednotlivých používateľov
• Osobné údaje získavate od tretích strán 

Vyhlásenie o ochrane súkromia zobrazené vo vašom e-shope by malo obsahovať nasledujúce informácie:

• identifikačné a kontaktné údaje vášho podniku, vymenovaného zástupcu a  zodpovednej osoby en ,
• účely, na ktoré váš podnik spracúva osobné údaje používateľov, a právne dôvody, prečo tak robí,
• oprávnený záujem vášho podniku na spracovaní osobných údajov,
• informácie o všetkých príjemcoch údajov používateľov,
• informácie o tom, či dochádza k prenosu osobných údajov do krajiny mimo EÚ,
• obdobie uchovávania údajov,
• práva používateľov v súvislosti s ich spracúvanými údajmi, konkrétne ich právo:
  • kedykoľvek súhlas odvolať,
  • podať sťažnosť dozornému orgánu,
• informácie o tom, či sú osobné údaje používateľov poskytované na základe zákonných alebo zmluvných povinností,
• informácie o tom, či používate automatizovaný systém rozhodovania, ktorý zahŕňa profilovanie údajov (proces, pri ktorom sa zo štatistických dôvodov analyzujú už zhromaždené údaje).

Vyhlásenie o ochrane súkromia zobrazené vo vašom e-shope by malo obsahovať nasledujúce informácie:

• identifikačné a kontaktné údaje vášho podniku, vymenovaného zástupcu a zodpovednej osoby,
• účely, na ktoré váš podnik spracúva osobné údaje používateľov, a právne dôvody, prečo tak robí,
• oprávnený záujem vášho podniku na spracovaní osobných údajov,
• informácie o všetkých príjemcoch údajov používateľov,
• informácie o tom, či dochádza k prenosu osobných údajov do krajiny mimo EÚ,
• obdobie uchovávania údajov,
• práva používateľov v súvislosti s ich spracúvanými údajmi, a to konkrétne:
  • právo kedykoľvek súhlas odvolať,
  • právo podať sťažnosť dozornému orgánu,
• kategórie osobných údajov, ktoré váš podnik získava,
• informáciu o tom, či používate automatizovaný systém rozhodovania, ktorý zahŕňa profilovanie údajov.

Vyhlásenia o ochrane súkromia musia byť poskytnuté písomne, dodané elektronicky (ak sa to hodí), zverejnené v konkrétnej časti vášho webového sídla (napríklad:  Zásady ochrany osobných údajov en ) a musia byť dostupné priamo z každej stránky alebo podstránky webového sídla.

Ďalšie podrobnosti a užitočné rady týkajúce sa vypracovania zásad ochrany osobných údajov nájdete v týchto praktických usmerneniach en .