Tänk på säkerheten

En viktig del av arbetet med din webbplats är att utveckla och underhålla den. It-säkerhetsincidenter, t.ex. stöld av kunduppgifter, kan få mycket allvarliga följder för ditt företag och varumärke, t.ex.

• försämrat anseende
• avbrott i verksamheten
• förlust av kundernas förtroende
• böter och stämningar.

It-säkerhetsincidenter som påverkar webbutiken inträffar när

• kunduppgifter stjäls
• informationen på e-handelsplattformen förvanskas
• webbplatsen kraschar
• konfidentiella affärsuppgifter läcker ut.

Med tanke på att risken för intrång är stor är det viktigt att du gör klart för dig vilken information på din webbplats som är känslig. Tänk på följande:

• Vilken information är avgörande för att ditt företag ska fungera?
• Var finns den?
• Hur snabbt kan den återställas om den blir stulen?

Du bör också göra en fullständig systemgranskning, identifiera de viktigaste aspekterna och hålla koll på allting. Se till att du inte är den enda personen i organisationen som känner till systemgranskningen men kom också ihåg att bara ge tillgång till de olika datasystemen till de personer som verkligen behöver dem.

Skydda informationen på din webbplats

Du bör noga tänka igenom hur it-säkerhetens viktigaste aspekter – sekretess, integritet, tillgänglighet – ska tillämpas på din webbplats och dina tjänster och därefter avgöra vilka krav som måste vara uppfyllda. Tänk på att kraven varierar beroende på vilka andra komponenter du vill integrera.

Om du vill att ditt system ska vara säkert måste du se till att följande aspekter är skyddade:

• Sekretess: Skydda uppgifter som kredit- och debetkortsnummer och andra personuppgifter så att inga obehöriga kommer åt dem. Du kan bl.a. använda
  • en beprövad autentiseringsmekanism (t.ex. flerfaktorautentisering som bygger på att användaren verifierar sin identitet på minst två sätt)
  • krypterade anslutningar (säkerhetsprotokoll som HTTPS och SSL) så att inga obehöriga får se känsliga uppgifter.
• Integritet: Skydda uppgifterna mot att de ändras av obehöriga så att de alltid är korrekta och tillförlitliga. Du kan bl.a.
  • köra dagliga kontroller för att upptäcka ändrade filer
  • säkerhetstesta din webbplats och dina tjänster för att undvika attacker
  • ha ett system för intrångsskydd.
• Tillgänglighet: Se till att webbplatsen alltid är i gång om du själv är värd för den. Du kan bl.a.
  • ha ett reservkraftsystem för strömavbrott
  • minutiöst underhålla all maskinvara.

Hantera säkerhetsincidenter

Vid säkerhetsintrång är det viktigt att ha en handlingsplan med specifika och konkreta åtgärder och rutiner. Av rutinerna ska framgå

• vem som har huvudansvaret
• hur man kontaktar kritisk personal
• vilka data, nätverk och tjänster som ska återvinnas först
• vem som ska underrättas (uppgiftsägare, kunder och partnerföretag) om deras data eller nätverk berörs.

Gör följande om du upptäcker ett intrång:

• Informera dina kunder om vad som hänt, vilket kan bidra till att du har deras fortsatta förtroende.
• Se till att alla relevanta aktörer som arbetar med din webbutik är medvetna om det inträffade. Du bör ha en it-tekniker i ständig beredskap om det upptäcks ett säkerhetsproblem.
• Ta reda på orsaken och dokumentera allt om du skulle vilja ta ärendet till domstol.
• Om finansiell information berörs, t.ex. kreditkortsuppgifter, måste du informera din betaltjänstleverantör.

Du bör också ha en policy för hur du informerar om dataintrång. Policyn kan ingå i ditt meddelande om skydd av personuppgifter och ska redogöra för hur och när du underrättar dina kunder om intrång i deras personuppgifter. Tänk också på att du enligt allmänna dataskyddsförordningen måste underrätta dataskyddsmyndigheten om alla dataintrång.

På nationell nivå finns it-incidenthanteringsorganisationer (CERT) som består av säkerhetsexperter med ansvar för säkerhetsincidenter (t.ex. rapportering och hantering av säkerhetshot). De kan informera dig om vad du ska göra och vem som kan hjälpa dig om du råkar ut för en it-attack. De slår också larm om de upptäcker säkerhetsluckor och hot i ditt land.

Skydd av personuppgifter

Enligt den allmänna dataskyddsförordningen måste företag som samlar in, lagrar och hanterar personuppgifter fullgöra vissa skyldigheter. Den allmänna dataskyddsförordningens viktigaste mål är att sörja för öppenhet och informera allmänheten om hur deras uppgifter används.

Läs mer om den allmänna dataskyddsförordningen och hur den påverkar din verksamhet i avsnittet om skydd av personuppgifter.

Den del av din webbutik som påverkas mest av den allmänna dataskyddsförordningen är meddelandet (reglerna) om skydd av personuppgifter. Genom detta meddelande informerar du allmänheten om hur ditt företag behandlar och skyddar personuppgifter. Meddelandet ska visas när din webbplats samlar in personuppgifter direkt från en användare.

Meddelandet ska vara

• klart, tydligt och begripligt
• lättillgängligt
• gratis och tillhandahållas snabbt.

Vad ska meddelandet om skydd av personuppgifter innehålla?

• Du samlar in personuppgifter direkt från privatpersoner
• Du får personuppgifter från externa aktörer 

Webbutikens meddelande om skydd av personuppgifter bör informera om

• företagets namn och kontaktuppgifter, företrädare och dataskyddsombud en
• syftet med och den rättsliga grunden för behandlingen
• varför ditt företag har ett berättigat intresse av att behandla personuppgifter
• alla mottagare av uppgifter om användarna
• huruvida personuppgifter överförs till ett land utanför EU
• hur länge uppgifterna sparas
• användarnas rättigheter när det gäller deras behandlade uppgifter, särskilt rätten att
  • när som helst dra tillbaka sitt samtycke
  • lämna in klagomål till en tillsynsmyndighet
• huruvida personuppgifterna tillhandahålls på grund av lagstadgade eller avtalsenliga förpliktelser
• automatiserat beslutsfattande, t.ex. profilering (en process där insamlade data analyseras av statistiska skäl).

Webbutikens meddelande om skydd av personuppgifter bör informera om

• företagets namn och kontaktuppgifter, företrädare och dataskyddsombud
• syftet med och den rättsliga grunden för behandlingen
• varför ditt företag har ett berättigat intresse av att behandla personuppgifter
• alla mottagare av uppgifter om användarna
• huruvida personuppgifter överförs till ett land utanför EU
• hur länge uppgifterna sparas
• användarnas rättigheter när det gäller deras behandlade uppgifter, särskilt rätten att
  • när som helst dra tillbaka sitt samtycke
  • lämna in klagomål till en tillsynsmyndighet
• vilka kategorier av personuppgifter som inhämtas av ditt företag
• automatiserat beslutsfattande, t.ex. profilering.

Ditt meddelande om skydd av personuppgifter måste vara skriftligt och finnas i elektronisk form (i tillämpliga fall), publiceras i en särskild sektion på webbplatsen (exempel:  Skydd av personuppgifter en ) och kunna nås från webbplatsens alla sidor.

Mer information och bra tips om hur du utformar ditt meddelande om skydd av personuppgifter hittar du i kommissionens riktlinjer en .