[go: up one dir, main page]

Interneto svetainės apsauga

Tai, kaip jūsų interneto svetainė yra kuriama ir prižiūrima, yra svarbi jūsų veiklos internete dalis. Kibernetiniai incidentai, tokie kaip jūsų klientų duomenų vagystė, gali turėti didelę įtaką jūsų įmonei ar prekės ženklui daugeliu lygmenų:

  • pakenkti prekės ženklo reputacijai,
  • sukelti sutrikimų teikiant paslaugas,
  • lemti klientų nepasitikėjimą,
  • dėl jų gali būti skiriamos teisinės sankcijos ir pareiškiami ieškiniai.

Internetines parduotuves gali ištikti tokie kibernetiniai incidentai kaip:

  • klientų duomenų vagystė,
  • pakeista informacija elektroninės prekybos platformoje,
  • uždaryta internetinė svetainė,
  • nutekinta konfidenciali įmonės informacija.

Svarbu, kad prieš bet kokį saugumo pažeidimą atkreiptumėte dėmesį į tai, kokia neskelbtina informacija kaupiama jūsų svetainėje. Turėtumėte apsvarstyti šiuos dalykus:

  • Kokia informacija yra labai svarbi jūsų įmonei?
  • Kur ji saugoma?
  • Jei kibernetinio išpuolio metu ją pavogtų, kaip greitai galėtumėte ją atkurti?

Taip pat turėtumėte atlikti išsamų savo sistemų auditą, atkreipti dėmesį į svarbiausias sudedamąsias dalis ir viską sekti. Užtikrinkite, kad ir kiti organizacijos darbuotojai žinotų apie šį auditą, tačiau taip pat nepamirškite, kad prieiga prie visų duomenų sistemų turėtų būti suteikta tik remiantis būtinumo žinoti principu.

Apsaugokite informaciją savo interneto svetainėje

Svarbu apmąstyti, kaip pagrindiniai informacijos saugumo aspektai – konfidencialumas, vientisumas ir prieinamumas – taikomi jūsų interneto svetainei ir paslaugoms, ir nustatyti reikalingus paslaugų lygio reikalavimus. Atkreipkite dėmesį, kad šie reikalavimai gali skirtis priklausomai nuo to, kokius dar aspektus nusprendėte integruoti.

Jei norite, kad jūsų sistema būtų saugi, užtikrinkite, kad būtų apsaugoti šie aspektai:

  • Konfidencialumas: tai reiškia, kad tokia informacija kaip kreditinės ir (arba) debeto kortelės numeriai ir kiti asmens duomenys turi būti apsaugota nuo atskleidimo leidimo neturinčioms šalims. Tai galite padaryti:
    • sukurdami tinkamą tapatumo nustatymo mechanizmą (tokį kaip daugiaelemenčio tapatumo nustatymo sprendimas, kurį taikant vartotojas turi patvirtinti savo tapatybę dviem ar daugiau būdų),
    • naudodami šifruotą ryšį (HTTP, SSL saugumo protokolą), kad užtikrintumėte, kad tik reikiami asmenys turėtų prieigą prie neskelbtinos informacijos.
  • Vientisumas: tai reiškia, jog turite užtikrinti, kad informacija būtų tiksli ir patikima, apsaugodami ją, kad leidimo neturinčios šalys jos negalėtų pakeisti. Tai galima padaryti:
    • kasdien patikrinant, ar failai nebuvo pakeisti,
    • numatant jūsų interneto svetainės ir paslaugų saugumo patikrinimus tam, kad būtų išvengta išpuolių,
    • sukuriant įsibrovimo prevencijos sistemą.
  • Prieinamumas: tai reiškia, jog turite užtikrinti, kad, jei patys valdote savo svetainę, ji visą laiką veiktų. Tai galite padaryti:
    • įdiegdami avarinę atsarginę energijos sistemą,
    • griežtai tikrindami visą aparatinę įrangą.

Kaip reaguoti į saugumo incidentus?

Svarbu, kad saugumo pažeidimo atveju būtų parengtas veiksmų planas, kuriame būtų numatytos specialios ir konkrečios priemonės ir procedūros, kaip elgtis įvykus saugumo incidentui. Šiose procedūrose turi būti numatyta:

  • kam tenka pagrindinė atsakomybė,
  • kaip susisiekti su svarbiausiais darbuotojais,
  • kokius duomenis, tinklus ir paslaugas reikėtų atkurti pirmiausia,
  • kam reikia pranešti (duomenų savininkams, klientams ar partnerių įmonėms), jei jų duomenys arba duomenys, turintys įtakos jų tinklams, buvo paviešinti.

Jei nustatėte pažeidimą, atlikite toliau nurodytus veiksmus:

  • informuokite savo klientus apie tai, kas atsitiko, kad užtikrintumėte tolesnį jų pasitikėjimą;
  • užtikrinkite, kad visi suinteresuotieji subjektai, susiję su jūsų internetinės parduotuvės veikla, taip pat būtų informuoti. Turėtumėte paskirti nuolatinį už IT reikalus atsakingą pareigūną tiems atvejams, jei būtų nustatyta saugumo problema;
  • nustatykite pažeidimo priežastį ir kaupkite dokumentais pagrįstus įrodymus, kuriuos galiausiai galėtumėte panaudoti teisme;
  • privalote informuoti teikėją, tvarkantį jūsų finansinius sandorius, jei tokia finansinė informacija kaip kreditinės kortelės duomenys buvo paveikta.

Taip pat turėtumėte sukurti pranešimų apie duomenų pažeidimus politiką, kuri galėtų būti įtraukta į jūsų privatumo pranešimą, ir joje turėtų būti nurodyta, kaip ir kada savo klientams pranešite apie tai, jei jų asmens duomenys buvo pažeisti. Taip pat privalote atsižvelgti į tai, kad pagal BDAR taisykles, sužinoję apie bet kokį duomenų pažeidimą, turite pranešti duomenų apsaugos institucijai.

Nacionaliniu lygmeniu kompiuterinių incidentų tyrimo tarnybos (CERT) yra saugumo ekspertų tarnybos, atsakingos už saugumo incidentų valdymą (pavyzdžiui, pranešant ir reaguojant į saugumo grėsmes). Jos gali jums suteikti informacijos apie tai, ką daryti ir į ką kreiptis pagalbos, jei patiriate bet kokio tipo kibernetinį išpuolį. Jos taip pat skelbia įspėjimus apie pažeidžiamumus ir grėsmes jūsų šalyje.

Duomenų apsaugos reikalavimų laikymasis

Bendrajame duomenų apsaugos reglamente nustatomi įpareigojimai, kaip įmonės turi rinkti, saugoti ir tvarkyti asmens duomenis. BDAR siekia dviejų pagrindinių tikslų: užtikrinti skaidrumą ir informuoti visuomenę apie tai, kaip naudojami jų duomenys.

Norėdami gauti daugiau informacijos apie bendrąsias BDAR nuostatas ir kaip jos taikomos jūsų įmonei, apsilankykite duomenų apsaugos poskirsnyje.

Jūsų internetinei parduotuvei aktualiausios tos BDAR nuostatos, kurios yra susijusios su privatumo pranešimu (arba politika). Šis pranešimas yra viešas jūsų įmonės dokumentas, kuriame paaiškinama, kaip ji tvarko asmens duomenis ir taiko duomenų apsaugos principus. Jei jūsų internetinė svetainė tiesiogiai renka vartotojo asmens duomenis, privatumo pranešimas turėtų būti rodomas tuo metu, kai tai daroma.

Privatumo pranešimas turėtų būti:

  • parašytas glausta, aiškia ir suprantama kalba,
  • lengvai prieinamas,
  • nemokamas ir atsiųstas laiku.

Sužinokite, kokia informacija turi būti įtraukta į jūsų privatumo pranešimą

Į jūsų internetinėje parduotuvėje rodomą privatumo pranešimą turėtų būti įtraukta ši informacija:

  • jūsų įmonės, jos paskirto atstovo ir jos duomenų apsaugos pareigūno en tapatybė ir kontaktinė informacija;
  • tikslai, kuriais jūsų įmonė tvarko vartotojų asmens duomenis, ir teisiniai pagrindai, kuriais remdamasi ji tai daro;
  • jūsų įmonės teisėti interesai tvarkyti asmens duomenis;
  • visi vartotojų duomenų gavėjai;
  • informacija apie tai, ar asmens duomenys perduodami ES nepriklausančiai šaliai;
  • duomenų saugojimo laikotarpis;
  • informacija apie vartotojų teises, susijusias su tvarkomais jų duomenimis, ypač jų teises:
    • bet kuriuo metu atšaukti savo sutikimą,
    • pateikti skundą priežiūros institucijai;
  • ar vartotojų asmens duomenys teikiami pagal įstatyminius ar sutartinius įsipareigojimus;
  • ar veikia automatizuota sprendimų priėmimo sistema, apimanti duomenų profiliavimą (procesą, kurio metu analizuojami jau surinkti duomenys dėl su statistika susijusių priežasčių).

Į jūsų internetinėje parduotuvėje rodomą privatumo pranešimą turėtų būti įtraukta ši informacija:

  • jūsų įmonės, jos paskirto atstovo ir jos duomenų apsaugos pareigūno tapatybė ir kontaktinė informacija;
  • tikslai, kuriais jūsų įmonė tvarko vartotojų asmens duomenis, ir teisiniai pagrindai, kuriais remdamasi ji tai daro;
  • jūsų įmonės teisėti interesai tvarkyti asmens duomenis;
  • visi vartotojų duomenų gavėjai;
  • informacija apie tai, ar asmens duomenys perduodami ne ES priklausančiai šaliai;
  • duomenų saugojimo laikotarpis;
  • informacija apie vartotojų teises, susijusias su tvarkomais duomenimis, o būtent:
    • jų teisę bet kuriuo metu atšaukti savo sutikimą,
    • jų teisę pateikti skundą priežiūros institucijai;
  • jūsų įmonės gaunamų asmens duomenų kategorijos;
  • informacija apie tai, ar veikia automatizuota sprendimų priėmimo sistema, apimanti duomenų profiliavimą.

Privatumo pranešimai turi būti pateikti raštu ir elektroniniu būdu (kai taikoma) ir paskelbti konkrečiame jūsų interneto svetainės skirsnyje (pavyzdžiui, „Privatumo politika" en ), taip pat turi būti tiesiogiai prieinami iš bet kurio svetainės puslapio ar puslapio dalies.

Norėdami gauti daugiau informacijos ir naudingų patarimų, kaip parengti savo privatumo politiką, galite peržiūrėti šias praktines gaires en .

ES teisės aktai

Pagalbos tarnybos

Specializuotos pagalbos tarnybos

Turite klausimų dėl verslo veiklos užsienyje, pavyzdžiui, eksporto arba verslo plėtros kitoje ES šalyje? Jei taip, Enterprise Europe Network gali duoti nemokamų patarimų.

Leškoti tinkamos pagalbos taip pat galite naudodamiesi pagalbos paslaugos ieškikliu.

Paskutinį kartą tikrinta 2024-05-24
Pasidalyti šiuo puslapiu