Zaščita spletnega mesta

Razvoj in vzdrževanje vašega spletnega mesta imata pomembno vlogo pri vaši spletni navzočnosti. Kibernetski incidenti, kot je kraja podatkov o vaših strankah, bi lahko na več ravneh pomembno vplivali na vaše podjetje ali blagovno znamko:

• izguba ugleda blagovne znamke
• prekinitev vaših storitev
• izguba zaupanja strank
• regulativne sankcije in tožbe

Kibernetski incidenti, ki zadevajo spletne trgovine, lahko zajemajo:

• krajo podatkov o strankah
• spremembe informacij na platformi za e-trgovanje
• zaprtje spletnega mesta
• uhajanje zaupnih poslovnih informacij

Zelo pomembno je tudi, da pred morebitno kršitvijo varnosti veste, katere občutljive informacije imate na svojem spletnem mestu. Premisliti bi morali o naslednjem:

• Katere informacije so bistvene za poslanstvo vašega podjetja?
• Kje se nahajajo?
• Kako hitro jih je mogoče obnoviti, če so ukradene v primeru napada?

Svoje sisteme bi morali tudi celovito pregledati, si zabeležiti najpomembnejše sestavine in vsemu slediti. Zagotovite, da niste edina oseba v vaši organizaciji, ki ve za ta pregled, zavedajte pa se tudi, da se dostop do vseh podatkovnih sistemov lahko zagotovi le na podlagi „potrebe po seznanitvi".

Varovanje informacij na vašem spletnem mestu

Pomembno je premisliti o tem, kako ključni vidiki informacijske varnosti – zaupnost, celovitost in razpoložljivost – veljajo za vaše spletno mesto in storitve, ter določiti potrebne zahteve o ravni storitev. Vedeti morate, da se te zahteve lahko razlikujejo odvisno od tega, katere druge elemente ste se odločili vključiti.

Če želite, da bo vaš sistem varen, morate zagotoviti, da so naslednje komponente zaščitene:

• Zaupnost: to pomeni varovanje informacij, kot so številke kreditnih ali debetnih kartic in drugih osebnih informacij, pred razkritjem nepooblaščenim strankam. To lahko dosežete z:
  • vzpostavitvijo ustreznega mehanizma avtentikacije (kot so rešitve večfaktorske avtentikacije, pri katerih uporabnik zagotovi dva ali več načinov preverjanja istovetnosti)
  • uporabo šifriranih povezav (HTTPS; varnostni protokol SSL) zaradi zagotovitve, da imajo dostop do občutljivih informacij samo pravi ljudje
• Celovitost: to pomeni zagotovitev, da informacije ostanejo točne in zaupanja vredne, tako da se zaščitijo pred spremembami, ki bi jih uvedle nepooblaščene osebe. To je mogoče doseči z:
  • vsakodnevnim preverjanjem, ali so bile datoteke morebiti spremenjene
  • načrtovanjem varnostnih testov za vaše spletno mesto in storitve, da se izognete napadom
  • vzpostavitvijo sistema proti vsiljivcem
• Razpoložljivost: to pomeni zagotovitev, da v primeru, ko spletno mesto gostite sami, to spletno mesto ves čas deluje. To lahko zagotovite z:
  • uporabo podpornega sistema napajanja v izrednih razmerah
  • natančnim vzdrževanjem vse programske opreme

Kako se odzvati na varnostne incidente

Pomembno je, da je v primeru kršitve varnosti na voljo izvedljiv načrt, ki določa specifične konkretne ukrepe in postopke, ki jim je treba slediti v primeru varnostnega incidenta. Postopki morajo obravnavati vprašanja:

• kdo je glavni odgovorni
• kako se obrniti na kritično osebje
• kateri podatki, mreže in storitve imajo prednost pri obnovitvi
• koga je treba obvestiti (lastnike podatkov, stranke ali partnerska podjetja), če so izpostavljeni njihovi podatki ali podatki, ki vplivajo na njihove mreže

Če odkrijete kršitev, izvedite naslednje korake:

• stranke obvestite o tem, kar se je zgodilo, kar lahko zagotovi ohranitev zaupanja
• zagotovite, da so na tekočem tudi vsi relevantni akterji, ki sodelujejo v vaši spletni trgovini. V primeru odkritja varnostne težave imenujte stalno pooblaščeno osebo za informacijsko tehnologijo
• ugotovite razlog kršitve, kar podprete z dokumentiranimi dokazi, ki jih je po potrebi mogoče uporabiti na sodišču
• če so prizadete finančne informacije, kot so podatki o kreditnih karticah, morate obvestiti ponudnika, odgovornega za vaše finančne transakcije

Oblikovati morate tudi politiko obveščanja o kršitvi varnosti podatkov, ki bi lahko bila vključena v vašo izjavo o varstvu osebnih podatkov, zajemati pa mora informacije o tem, kako in kdaj boste obvestili stranke v primeru kršitve varnosti osebnih podatkov. Upoštevajte, da morate ob vsaki ugotovitvi kršitve varnosti podatkov v skladu s pravili GDPR obvestiti tudi nadzorni organ za varstvo podatkov.

Na nacionalni ravni so za obravnavanje varnostnih incidentov (kot sta poročanje in odziv na varnostne grožnje) odgovorne skupine varnostnih strokovnjakov, ki se imenujejo Computer Emergency Response Teams (skupine za odzivanje na računalniške grožnje) (CERT). Lahko vam zagotovijo informacije o tem, kaj storiti in na koga se obrniti za pomoč, če ste žrtev kakršnega koli kibernetskega napada. Objavljajo tudi opozorila o ranljivostih in grožnjah v vaši državi.

Spoštovanje določb o varstvu podatkov

Splošna uredba o varstvu podatkov določa obveznosti za podjetja, ki zbirajo, hranijo ali upravljajo osebne podatke. Glavna cilja GDPR sta preglednost in obveščanje javnosti o uporabi podatkov.

Za več informacij o skupnih določbah GDPR in o njihovi uporabi za vaše podjetje obiščite podrazdelek o varstvu podatkov.

Tisti del vaše spletne trgovine, ki ga GDPR najbolj zadeva, je izjava (ali politika) o varstvu osebnih podatkov. Ta izjava je javni dokument, ki ga izda vaše podjetje in v katerem pojasnjuje, kako obdeluje osebne podatke in kako uporablja načela varstva podatkov. Če vaše spletno mesto neposredno zbira osebne podatke uporabnika, se mora izjava o varstvu osebnih podatkov prikazati v trenutku, ko se to zgodi.

Izjava o varstvu osebnih podatkov mora biti:

• napisana v jedrnatem, preglednem in razumljivem jeziku
• preprosto dostopna
• zagotovljena brezplačno in posredovana pravočasno

Ugotovite, kaj mora vsebovati vaša izjava o varstvu osebnih podatkov

• Osebne podatke zbirate neposredno od individualnih uporabnikov
• Osebne podatke prejemate od tretjih strank 

Izjava o varstvu osebnih podatkov, prikazana v vaši spletni trgovini, mora vključevati naslednje informacije:

• identifikacijske in kontaktne podatke o vašem podjetju, njegovem imenovanem zastopniku in pooblaščeni osebi za varstvo podatkov en
• namene, za katere vaše podjetje obdeluje osebne podatke uporabnikov, in pravno podlago za to
• zakonite interese vašega podjetja za obdelavo osebnih podatkov
• vse prejemnike podatkov uporabnikov
• ali se osebni podatki prenašajo v državo zunaj EU
• obdobje hrambe podatkov
• pravice uporabnikov v zvezi z njihovimi obdelanimi podatki, zlasti pravice do:
  • preklica soglasja kadar koli
  • vložitve pritožbe pri nadzornem organu
• ali se osebni podatki uporabnikov zagotavljajo na podlagi zakonskih ali pogodbenih obveznosti
• ali je vzpostavljen avtomatiziran sistem odločanja, ki vključuje profiliranje podatkov (postopek, s katerim se že zbrani podatki analizirajo v statistične namene)

Izjava o varstvu osebnih podatkov, prikazana v vaši spletni trgovini, mora vključevati naslednje informacije:

• identifikacijske in kontaktne podatke o vašem podjetju, njegovem imenovanem zastopniku in pooblaščeni osebi za varstvo podatkov
• namene, za katere vaše podjetje obdeluje osebne podatke uporabnikov, in pravno podlago za to
• zakonite interese vašega podjetja za obdelavo osebnih podatkov
• vse prejemnike podatkov uporabnikov
• ali se osebni podatki prenašajo v državo zunaj EU
• obdobje hrambe podatkov
• pravice uporabnikov v zvezi z njihovimi obdelanimi podatki, zlasti pa:
  • njihovo pravico do preklica soglasja kadar koli
  • njihovo pravico do vložitve pritožbe pri nadzornem organu
• kategorije osebnih podatkov, ki jih je pridobilo vaše podjetje
• ali je vzpostavljen avtomatiziran sistem odločanja, ki vključuje profiliranje podatkov

Izjave o varstvu zasebnih podatkov morajo biti v pisni obliki in predložene elektronsko (kjer je to primerno), objavljene v posebnem razdelku vašega spletnega mesta (npr.  Politika varstva osebnih podatkov en ) in neposredno dostopne s katere koli strani ali podstrani spletnega mesta.

Za več podrobnosti in koristnih nasvetov glede oblikovanja politike varstva osebnih podatkov se lahko obrnete na te praktične smernice en .