В современном мире электронная коммерция играет все большую роль в экономике и обществе. Онлайн-покупатели и продавцы обмениваются не только товарами и услугами, но и своими личными данными: номера карт, адреса, пароли и другая конфиденциальная информация. Однако эта информация может попасть в руки злоумышленников, которые могут использовать ее для мошенничества, кражи, шантажа и других преступлений. Поэтому защита данных в электронной коммерции является одной из самых важных и сложных задач для любого онлайн-бизнеса. О том как делать это правильно мы спросили у эксперта и директора компании провайдера электронных платежей Assist Belarus Вячеслава Сенина.
Чтобы обеспечить безопасность своего онлайн-бизнеса от кибератак, необходимо принять ряд мер, которые можно разделить на три уровня: технический, юридический и организационный.
Технический уровень защиты данных включает в себя использование различных технологий и инструментов для защиты данных от несанкционированного доступа, изменения, уничтожения или раскрытия. К таким технологиям и инструментам относятся:
Шифрование данных. Шифрование — это процесс преобразования данных в непонятный код, который можно расшифровать только с помощью специального ключа. Шифрование помогает защитить данные от перехвата, подделки и взлома. Шифрование может применяться как к данным, хранящимся на сервере или компьютере, так и к данным, передаваемым по сети. Для шифрования данных в электронной коммерции рекомендуется использовать стандарты, такие как SSL (Secure Sockets Layer) или TLS (Transport Layer Security), которые обеспечивают безопасное соединение между браузером и веб-сайтом.
Аутентификация и авторизация. Аутентификация — это процесс проверки подлинности пользователя или устройства, которые пытаются получить доступ к данным. Авторизация — это процесс определения прав и разрешений пользователя или устройства на доступ к данным. Аутентификация и авторизация помогают защитить данные от неуполномоченного использования. Для аутентификации и авторизации в электронной коммерции рекомендуется использовать методы, такие как пароли, биометрия, одноразовые коды, цифровые подписи и сертификаты.
Резервное копирование и восстановление данных. Резервное копирование — это процесс создания дубликата данных на другом носителе или в другом месте, который можно использовать в случае потери или повреждения исходных данных. Восстановление — это процесс возвращения данных в исходное состояние из резервной копии. Резервное копирование и восстановление данных помогают защитить данные от случайного удаления, сбоя системы, физического повреждения или стихийного бедствия. Для резервного копирования и восстановления данных в электронной коммерции рекомендуется использовать надежные и защищенные сервисы — облачное хранилище, внешние жесткие диски или флеш-накопители.
Юридический уровень защиты данных включает в себя соблюдение различных законов и норм, которые регулируют обработку и защиту данных в электронной коммерции. К таким законам и нормам относятся:
GDPR (General Data Protection Regulation). GDPR — это европейский регламент, который устанавливает правила и требования по защите персональных данных граждан Европейского союза. GDPR вступил в силу в мае 2018 года и применяется ко всем организациям, которые собирают, хранят, обрабатывают или передают персональные данные граждан ЕС, независимо от их местоположения. GDPR предоставляет гражданам ЕС ряд прав, таких как право на информацию, право на доступ, право на исправление, право на удаление, право на ограничение обработки, право на переносимость данных и право на возражение. GDPR также устанавливает обязанности для организаций: получение согласия, обеспечение безопасности, уведомление о нарушениях, проведение оценки воздействия на защиту данных и назначение сотрудника по защите данных. GDPR предусматривает серьезные штрафы за нарушение его положений, которые могут достигать 20 миллионов евро или 4% от годового оборота организации, в зависимости от того, что больше.
CCPA (California Consumer Privacy Act). CCPA — это калифорнийский закон, который устанавливает правила и требования по защите персональных данных жителей Калифорнии. CCPA вступил в силу в январе 2020 года и применяется ко всем организациям, которые собирают, хранят, обрабатывают или передают персональные данные жителей Калифорнии, если они имеют годовой доход более 25 миллионов долларов, обрабатывают данные более 50 тысяч потребителей или получают более 50% своего дохода от продажи персональных данных. CCPA предоставляет жителям Калифорнии ряд прав, таких как право на информацию, право на доступ, право на удаление, право на отказ от продажи и право на недискриминацию. CCPA также устанавливает обязанности для организаций, такие как получение согласия, обеспечение безопасности, уведомление о нарушениях, предоставление уведомления о конфиденциальности и назначение сотрудника по защите данных. CCPA является одним из самых строгих законов о защите данных в США и влияет на многие компании, в том числе те, которые занимаются электронной коммерцией.
Организационный уровень защиты данных включает в себя создание и поддержание культуры и политики безопасности данных внутри организации, а также обучение и информирование сотрудников и клиентов о важности и способах защиты данных. К таким мерам относятся:
Разработка и внедрение политики безопасности данных. Политика безопасности данных — это документ, который определяет цели, принципы, правила и процедуры по обеспечению безопасности данных в организации. Политика безопасности данных должна соответствовать законодательству, стандартам и лучшим практикам по защите данных, а также учитывать специфику и риски деятельности организации. Политика безопасности данных должна быть одобрена руководством, распространена среди сотрудников и клиентов, регулярно пересматриваться и обновляться.
Проведение обучения и аудита по безопасности данных. Обучение по безопасности данных — это процесс повышения квалификации и осведомленности сотрудников и клиентов о важности и способах защиты данных. Обучение по безопасности данных должно быть обязательным, периодическим, практическим и адаптированным к разным ролям и уровням доступа. Аудит по безопасности данных — это процесс проверки и оценки эффективности и соответствия мер по защите данных, принятых в организации. Аудит по безопасности данных должен быть независимым, систематическим, документированным и направленным на выявление и устранение уязвимостей и нарушений.
Разработка и реализация плана реагирования на инциденты с данными. План реагирования на инциденты с данными — это документ, который определяет действия, которые должны быть предприняты в случае нарушения безопасности данных в организации. План реагирования на инциденты с данными должен содержать определение и классификацию инцидентов, процедуры по их обнаружению, анализу, изоляции, устранению, восстановлению и предотвращению, а также роли и обязанности участников процесса реагирования, средства связи и документации, а также меры по информированию и компенсации пострадавших.
«Защита данных в век развития киберпреступлений становится одной из основных задач электронной коммерции, так как от нее зависит не только законность, но и репутация, конкурентоспособность и доверие клиентов. Для обеспечения безопасности данных необходимо принимать комплексные меры на техническом, юридическом и организационном уровнях, а также постоянно следить за изменениями в законодательстве, стандартах и лучших практиках по защите данных. Беларусь сегодня также уделяет не мало внимания о защите персональных данных. Любой бизнес должен это понимать и обеспечивать необходимый уровень безопасности для работы с такими данными. Компании, которые оказывают услуги, например, интернет-эквайринг должны внимательно относится к вопросам сертификации и не экономить средства для обучения своих сотрудников и инвестирования в защитные механизмы предоставляемых услуг своим клиентам. Ведь экономика должна быть не просто экономной, но и эффективной, а главное безопасной для клиента. И тогда количество киберпреступлений будет как минимум держать паритет, а не показывать рост в новостных сводках СМИ. Конечно же, полностью исключить кибермошенничество невозможно, ведь присутствует и человеческий фактор, но там, где партнер по бизнесу должен закрывать «под ключ» всю техническую часть, и вопросы безопасности бизнеса для которого оказывается услуга, должны стоять на первом месте», — резюмировал Вячеслав Сенин.
