Безопасный отдел продаж. Как сохранить конфиденциальность данных?

Как защитить персональные данные клиентов и не допустить утечки информации? Рассказывает команда Grizzly Digital Company.

Почему важно защищать персональные данные?

Под персональными данными (ПД) мы понимаем любую информацию, с помощью которой можно идентифицировать личность человека. Компании собирают ПД в маркетинговых целях — чтобы удержать покупателя, повысить качество обслуживания и нарастить объемы продаж.

Всесторонняя работа с клиентской базой помогает развивать бизнес. Например, позволяет создавать релевантные предложения и искать слабые места в воронке. Однако для составления профиля клиента важно получить его добровольное согласие на обработку ПД и хранить секретность информации под семью замками. Даже если пользователь регистрируется в вашем приложении для заказа пиццы.

В мировой практике известно немало случаев, когда личные данные пользователей «утекали» в интернет. В результате учащались эпизоды мошенничества в соцсетях, кражи личных данных и заражения компьютеров вирусами. Преступнику достаточно получить доступ к базе одной компании, чтобы завладеть банковскими данными тысячи клиентов и вывести средства со счетов.

Самые ухищренные представляются сотрудниками банков и пытаются войти в доверие — зная лишь ФИО, адрес проживания и место работы жертвы. Также в последние годы участилась продажа баз с контактными данными. Говоря простым языком, любой предприниматель может купить информацию о потенциальной ЦА и использовать ее для рекламы услуг. Такие действия тоже считаются незаконными.

Чем опасна утечка данных? Объясняем на примерах

Часто утечки ПД происходят по халатности рядового персонала и руководителей. А также по вине хакеров или недобросовестных конкурентов.

В 2018 году в рунете появились скриншоты со сведениями покупателей из CRM-системы Ozon, включая номера, ID, суммы заказов и более 450 000 логинов e-mail. Маркетплейс объяснил утечку недобросовестностью сотрудника: скриншоты содержали переписку от лица одного и того же специалиста. Правда, после инцидента СМИ опубликовали фрагмент рабочего чата, который доказывал: пароли заказчиков хранились в незашифрованном виде.

Компания не уведомила клиентов о произошедшем, чем вызвала больший интерес у контролирующих служб. Однако история закончилась для Ozon благополучно: тогда к теме безопасности данных относились не так серьезно, и суд решил не назначать штраф.

Многие помнят недавний случай с «Яндекс.Едой». 1 марта 2022 года клиенты узнали, что в Сеть попали их номера телефонов и детали заказов за последние 6 месяцев — на более 58 000 адресов.

Отметим, что компания сама сообщила клиентам о случившемся, ссылаясь на «недобросовестные действия» сотрудника. Несмотря на это, несколько пользователей подали коллективный иск, требуя по 100 000 RUB компенсации каждому — что является максимальным наказанием. Позже московский суд обязал компанию выплатить штраф в размере 60 000 RUB.

Еще неприятнее, когда в общий доступ «утекают» данные клиентов лабораторий и клиник. Так, весной 2022 года в даркнет попали личные сведения 30 млн пациентов сети лабораторий «Гемотест» — объемом на 300 гигабайт. Причина — хакерская атака базы. Позднее в СМИ заговорили о продаже украденной информации третьим лицам.

Лаборатория заявила, что обнаружила взлом еще 22 апреля и инициировала внутреннюю проверку. Спустя почти три месяца суд назначил штраф — 60 000 RUB. Наверняка для крупной сети, входящей в топ-5 лабораторий России, сумма не сильно ударила по бюджету. Более критичным оказалось потерять доверие клиентов.

Как отреагировало законодательство? Для пресечения повторных рисков Минцифры ускорила согласование законопроекта, который предусматривал оборотный штраф в размере 1% за утечку информации и 3%, если допустившая ситуацию компания скрыла инцидент.

Как обстоят дела с этим в Беларуси?

В Беларуси не так много громких эпизодов с утечкой данных, но они все-таки есть. Вспомним историю сети «Соседи»: в июле 2022 года в свободный доступ попали e-mail и мобильные номера 634 000 пользователей сайта. Компания обратилась в правоохранительные органы и разослала покупателям электронные письма с извинениями, заверив: слив не коснулся имен и паролей к личным кабинетам.

Позже сеть ужесточила защитные мероприятия и уволила нескольких сотрудников, имевших доступ к информации о покупателях. В качестве дополнительной меры — внедрила авторизацию через SMS-пароль.

Напомним, процесс управления клиентскими данными в РБ регулирует Закон «О защите персональных данных» от 7 мая 2021 года. Согласно ему, юрлица обязаны соблюдать требования при работе с информацией о клиентах:

● Запрашивать согласие на обработку в письменной или электронной форме (электронный документ, отметка на сайте, получение письма на e-mail).

● Прозрачно указывать цели и сроки соглашения, а также перечень действий и самих данных, необходимых компании.

● Обрабатывать ПД только в необходимом объеме и в соответствии с заявленными целями.

● Обеспечивать безопасность сведений на всех этапах обработки.

● При изменении первоначально заявленных целей повторно получать согласие на обработку.

Важно учесть, что клиент в праве отозвать свое согласие в любой момент и без объяснения причин. В таком случае предприниматель обязан удалить информацию о потребителе в течение 15 дней (с момента получения заявления) и уведомить клиента об этом.

Незаконная обработка данных или нарушение правил их защиты влечет штраф до 200 базовых величин (6400 BYN по состоянию на 2022 год).

Информационная безопасность: как защитить данные клиентов?

По прогнозам Risk Based Security, в ближайшие 4–5 лет затраты на борьбу с киберпреступностью будут ежегодно расти на 15%. Обезопасить бизнес в 2022 году можно десятками способов: рассмотрим основные из них.

Запрашивайте согласие. Получайте от клиентов разрешение на сбор, хранение и обработку сведений. Если на сайте оставляют e-mail (чтобы получить сообщение о статусе заказа), то удалите информацию после доставки. Если дальше хотите уведомлять покупателя о новинках — укажите срок хранения почты и спросите разрешение на рассылку.

Создавайте внутренние инструкции. Часто рядовые сотрудники «сливают» ПД по неосторожности: забывают внутренние правила компании или не знают законов. В ваших интересах прописать инструкции, собрать подписи об ознакомлении и регулярно проводить ликбез по информационной безопасности. Не забудьте про NDA — договор о неразглашении конфиденциальной информации.

Используйте надежную CRM. В хорошую систему заложен набор инструментов по защите данных. Причем каждая CRM предлагает свои решения: двухфакторную авторизацию, работу с определенного IP или разделение прав — при котором только доверенные лица получают доступ к ключевым клиентам. Не знаете, какую «црмку» выбрать — спросите у коллег по бизнесу, что используют они.

Составляйте модель угроз. Разработайте методичку с возможными рисками системы безопасности. Документ включает факторы, которые могут привести к нарушению приватности, доступности или целостности данных. Так вы поймете, как предотвратить утечки и какие каналы нужно подстраховать. Например, банковские данные и сведения о здоровье следует защищать более серьезно, чем просто имя клиента.

Защищайте сайт SSL-сертификатом. Клиент хочет быть уверенным, что сведения о нем останутся в безопасности. Если присутствует стандарт шифрования, то пользователь увидит значок закрытого замка в поле браузера и поймет: такому сайту можно доверять.

Храните базу на проверенном хостинге. Крупные провайдеры имеют достаточный опыт для надежного хранения информации: их серверы сосредоточены в дата-центрах и защищены от отключения питания. Пользуясь услугой хостинга, вы получаете сертификат SSL, оберегаете себя от DDoS-атак и взломов. А также можете восстановить сайт из копии, если заражение все-таки произошло.

Используйте СЗИ. Средства защиты информации — это аппаратные комплексы и антивирусные ПО, которые оберегают коммерческую сеть от вредоносного проникновения извне и предупреждают утечки. Если у компании есть техническая база, но вы не понимаете, как наладить ее работу, — закажите аттестацию СЗИ.

Чего не стоит делать?

● Разглашать ПД третьим лицам без согласия потребителя. Однако сведения можно передавать контролирующим органам, контрагентам и партнерам — которые обрабатывают данные по договору.

● Хранить сведения в любых базах, если клиент отозвал согласие. В случае, если по каким-либо причинам удалить сведения невозможно, по закону РБ достаточно прекратить их обработку.

● Объединять базы, содержащие ПД для разных целей. Например, номер телефона для звонков нельзя использовать в целях почтовой рассылки — это облагается штрафом.

В спорных случаях обратитесь к юристу по информационной безопасности. Специалист в деталях расскажет, что предусмотреть, чтобы не «влететь на штраф». А внедрить техническую составляющую — установить хедер Set-Cookie или защитить сайт от XSS-атак — поможет команда разработчиков, которая занимается вашим сайтом.

Какой делаем вывод?

В утечке данных приятного мало — как для клиента, так и для компании. Но и обвинять в коварных умыслах предпринимателей не стоит. Онлайн-пространство быстро развивается и подсвечивает новые проблемы, решение которых мы обязательно находим. Главное понимать, что обеспечение приватности — не одноразовое мероприятие.

Защищайте данные постоянно. Да, это требует вашего усердия, но никакие вложения в безопасность не сравнятся с последствиями утечки в виде штрафов, проверок и потери доверия со стороны клиентов. Если после прочтения статьи закралось сомнение насчет защищенности данных — пройдите аттестацию. Процедуру можно заказать у хостинг-провайдера: он проверит вашу систему на соответствие законодательству РБ, выявит риски утечек и решит технические проблемы.