Информация о клиентах помогает выстраивать коммуникацию с аудиторией и расти в прибыли. Но без надежной защиты становится «оружием» в руках мошенников, ставя под угрозу личные данные покупателей и репутацию компании. Как защитить персональные данные клиентов и не допустить утечки информации? Рассказывает команда Grizzly Digital Company.
Почему важно защищать персональные данные?
Под персональными данными (ПД) мы понимаем любую информацию, с помощью которой можно идентифицировать личность человека. Компании собирают ПД в маркетинговых целях – чтобы удержать покупателя, повысить качество обслуживания и нарастить объемы продаж.
Зная персональные сведения о клиенте, вы поддерживаете связь в удобном для него канале: приветствуете в чат-боте, напоминаете о брошенной корзине в push-уведомлениях, присылаете персонализированные акции по SMS. Чтобы усовершенствовать воронку продаж, можно автоматизировать ее, объединив все каналы с CRM-системой.
Всесторонняя работа с клиентской базой помогает развивать бизнес. Например, позволяет создавать релевантные предложения и искать слабые места в воронке. Однако для составления профиля клиента важно получить его добровольное согласие на обработку ПД и хранить секретность информации под семью замками. Даже если пользователь регистрируется в вашем приложении для заказа пиццы.
В мировой практике известно немало случаев, когда личные данные пользователей «утекали» в интернет. В результате учащались эпизоды мошенничества в соцсетях, кражи личных данных и заражения компьютеров вирусами. Преступнику достаточно получить доступ к базе одной компании, чтобы завладеть банковскими данными тысячи клиентов и вывести средства со счетов.
Самые ухищренные представляются сотрудниками банков и пытаются войти в доверие, зная лишь ФИО, адрес проживания и место работы жертвы. Также в последние годы участилась продажа баз с контактными данными. Говоря простым языком, любой предприниматель может купить информацию о потенциальной ЦА и использовать ее для рекламы услуг. Такие действия тоже считаются незаконными.
Чем опасна утечка данных? Объясняем на примерах
Часто утечки ПД происходят по халатности рядового персонала и руководителей. А также по вине хакеров или недобросовестных конкурентов.
В 2018 году в рунете появились скриншоты со сведениями покупателей из CRM-системы Ozon, включая номера, ID, суммы заказов и более 450 000 логинов email. Маркетплейс объяснил утечку недобросовестностью сотрудника: скриншоты содержали переписку от лица одного и того же специалиста. Правда, после инцидента СМИ опубликовали фрагмент рабочего чата, который доказывал: пароли заказчиков хранились в незашифрованном виде.
Компания не уведомила клиентов о произошедшем, чем вызвала больший интерес у контролирующих служб. Однако история закончилась для Ozon благополучно: тогда к теме безопасности данных относились не так серьезно, и суд решил не назначать штраф.
Многие помнят недавний случай с «Яндекс Едой». 1 марта 2022 года клиенты узнали, что в Сеть попали их номера телефонов и детали заказов за последние 6 месяцев – на более 58 000 адресов.
Отметим, что компания сама сообщила клиентам о случившемся, ссылаясь на «недобросовестные действия» сотрудника. Несмотря на это, несколько пользователей подали коллективный иск, требуя по 100 000 рублей компенсации каждому, что является максимальным наказанием. Позже московский суд обязал компанию выплатить штраф в размере 60 000 рублей.
Еще неприятнее, когда в общий доступ «утекают» данные клиентов лабораторий и клиник. Так, весной 2022 года в даркнет попали личные сведения 30 млн пациентов сети лабораторий «Гемотест» – объемом на 300 гигабайт. Причина – хакерская атака базы. Позднее в СМИ заговорили о продаже украденной информации третьим лицам.
Лаборатория заявила, что обнаружила взлом еще 22 апреля и инициировала внутреннюю проверку. Спустя почти три месяца суд назначил штраф – 60 000 рублей. Наверняка для крупной сети, входящей в топ-5 лабораторий России, сумма не сильно ударила по бюджету. Более критичным оказалось потерять доверие клиентов.
Как отреагировало законодательство? Для пресечения повторных рисков Минцифры ускорила согласование законопроекта, который предусматривал оборотный штраф в размере 1% за утечку информации и 3%, если допустившая ситуацию компания скрыла инцидент.
Как обстоят дела с этим в Беларуси?
В Беларуси не так много громких эпизодов с утечкой данных, но они все-таки есть. Вспомним историю сети «Соседи»: в июле 2022 года в свободный доступ попали email и мобильные номера 634 000 пользователей сайта. Компания обратилась в правоохранительные органы и разослала покупателям электронные письма с извинениями, заверив: слив не коснулся имен и паролей к личным кабинетам.
Позже сеть ужесточила защитные мероприятия и уволила нескольких сотрудников, имевших доступ к информации о покупателях. В качестве дополнительной меры внедрила авторизацию через SMS-пароль.
Напомним, процесс управления клиентскими данными в РБ регулирует Закон «О защите персональных данных» от 7 мая 2021 года. Согласно ему, юрлица обязаны соблюдать требования при работе с информацией о клиентах:
- Запрашивать согласие на обработку в письменной или электронной форме (электронный документ, отметка на сайте, получение письма на email).
- Прозрачно указывать цели и сроки соглашения, а также перечень действий и самих данных, необходимых компании.
- Обрабатывать ПД только в необходимом объеме и в соответствии с заявленными целями.
- Обеспечивать безопасность сведений на всех этапах обработки.
- При изменении первоначально заявленных целей повторно получать согласие на обработку.
Важно учесть, что клиент вправе отозвать свое согласие в любой момент и без объяснения причин. В таком случае предприниматель обязан удалить информацию о потребителе в течение 15 дней (с момента получения заявления) и уведомить клиента об этом.
Незаконная обработка данных или нарушение правил их защиты влечет штраф до 200 базовых величин (6400 BYN по состоянию на 2022 год).
Информационная безопасность: как защитить данные клиентов?
По прогнозам Risk Based Security, в ближайшие 4–5 лет затраты на борьбу с киберпреступностью будут ежегодно расти на 15%. Обезопасить бизнес в 2022 году можно десятками способов. Рассмотрим основные из них.
Запрашивайте согласие. Получайте от клиентов разрешение на сбор, хранение и обработку сведений. Если на сайте оставляют email (чтобы получить сообщение о статусе заказа), то удалите информацию после доставки. Если дальше хотите уведомлять покупателя о новинках, укажите срок хранения почты и спросите разрешение на рассылку.
Создавайте внутренние инструкции. Часто рядовые сотрудники «сливают» ПД по неосторожности: забывают внутренние правила компании или не знают законов. В ваших интересах прописать инструкции, собрать подписи об ознакомлении и регулярно проводить ликбез по информационной безопасности. Не забудьте про NDA – договор о неразглашении конфиденциальной информации.
Используйте надежную CRM. В хорошую систему заложен набор инструментов по защите данных. Причем каждая CRM предлагает свои решения: двухфакторную авторизацию, работу с определенного IP или разделение прав, при котором только доверенные лица получают доступ к ключевым клиентам. Не знаете, какую «црмку» выбрать, спросите у коллег по бизнесу, что используют они.
Составляйте модель угроз. Разработайте методичку с возможными рисками системы безопасности. Документ включает факторы, которые могут привести к нарушению приватности, доступности или целостности данных. Так вы поймете, как предотвратить утечки и какие каналы нужно подстраховать. Например, банковские данные и сведения о здоровье следует защищать более серьезно, чем просто имя клиента.
Защищайте сайт SSL-сертификатом. Клиент хочет быть уверенным, что сведения о нем останутся в безопасности. Если присутствует стандарт шифрования, то пользователь увидит значок закрытого замка в поле браузера и поймет: такому сайту можно доверять.
Храните базу на проверенном хостинге. Крупные провайдеры имеют достаточный опыт для надежного хранения информации: их серверы сосредоточены в дата-центрах и защищены от отключения питания. Пользуясь услугой хостинга, вы получаете сертификат SSL, оберегаете себя от DDoS-атак и взломов. А также можете восстановить сайт из копии, если заражение все-таки произошло.
Используйте СЗИ. Средства защиты информации – это аппаратные комплексы и антивирусные ПО, которые оберегают коммерческую сеть от вредоносного проникновения извне и предупреждают утечки. Если у компании есть техническая база, но вы не понимаете, как наладить ее работу, закажите аттестацию СЗИ.
Чего не стоит делать?
- Разглашать ПД третьим лицам без согласия потребителя. Однако сведения можно передавать контролирующим органам, контрагентам и партнерам, которые обрабатывают данные по договору.
- Хранить сведения в любых базах, если клиент отозвал согласие. В случае, если по каким-либо причинам удалить сведения невозможно, по закону РБ достаточно прекратить их обработку.
- Объединять базы, содержащие ПД для разных целей. Например, номер телефона для звонков нельзя использовать в целях почтовой рассылки – это облагается штрафом.
В спорных случаях обратитесь к юристу по информационной безопасности. Специалист в деталях расскажет, что предусмотреть, чтобы не «влететь на штраф». А внедрить техническую составляющую – установить хедер Set-Cookie или защитить сайт от XSS-атак – поможет команда разработчиков, которая занимается вашим сайтом.
Какой делаем вывод?
В утечке данных приятного мало – как для клиента, так и для компании. Но и обвинять в коварных умыслах предпринимателей не стоит. Онлайн-пространство быстро развивается и подсвечивает новые проблемы, решение которых мы обязательно находим. Главное понимать, что обеспечение приватности – не одноразовое мероприятие.
Защищайте данные постоянно. Да, это требует вашего усердия, но никакие вложения в безопасность не сравнятся с последствиями утечки в виде штрафов, проверок и потери доверия со стороны клиентов. Если после прочтения статьи закралось сомнение насчет защищенности данных, пройдите аттестацию. Процедуру можно заказать у хостинг-провайдера: он проверит вашу систему, выявит риски утечек и решит технические проблемы.