Powiedz czego szukasz?

Kwestie prawne

Jak chronić dane klientów w sklepie internetowym?

Szacowany czas czytania:

Ochrona danych użytkowników w sklepie internetowym to jeden z filarów budowania marki e-commerce. Brak dbałości o politykę prywatności i informacje wrażliwe niesie za sobą poważne skutki na kilku płaszczyznach – prawnej przez biznesową, a kończąc na wizerunkowej. Niezabezpieczony sklep internetowy jest nieco jak labirynt, w którym czyhają na klienta różne zagrożenia. Owszem – może on dostać się do wyjścia, ale po drodze może też utracić dane osobowe, pieniądze, informacje o preferencjach zakupowych, czy numery kart kredytowych. Oszuści, by wyłudzić dane w sklepie internetowym korzystają z coraz bardziej zaawansowanych metod. Należą do nich m.in. podszywanie się pod właściwą stronę internetową, phishing (wyłudzanie poufnych informacji), przechwytywanie danych przy wykorzystaniu baz SQL, czy skrypty cross-site do zmiany danych, które wpisane są przez użytkownika do formularzy kontaktowych. Efektem braku dbałości o dane klientów są ich wycieki, wykorzystywanie informacji, niezgodne z prawem profilowanie. W następstwie dochodzi do bezpowrotnego upadku wartości marki, którą często budowano latami. Tymczasem wg raportu Cognizant ponad 90% osób robiących regularne zakupy przez internet przyznaje, że jest zaniepokojona tym, jak używane są ich dane osobowe.

Z tego tekstu dowiesz się:

  • Dlaczego ochrona danych w sklepie internetowym jest tak istotna?
  • Jakie są metody ochrony danych w sieci?
  • Jak ochronić serwis przed włamaniem i wyłudzeniem

Dlaczego ochrona danych w sklepie internetowym jest tak istotna?

Skuteczna polityka ochrony danych klientów w e-commerce przekłada się na realne korzyści. Jednocześnie ogranicza newralgiczne ryzyka potencjalnych problemów prawnych i wizerunkowych. Stopień dbałości o dane stanowi wręcz jeden z frontów rywalizacji marek o klienta – naturalne jest to, że chętniej wybierane są te sklepy internetowe, które postrzega się jako zaufane.
Warto podkreślić, że dla sklepu internetowego, danymi klienta nie są wyłącznie informacje osobowe – imię, nazwisko, adres, numer karty kredytowej i inne. Pod tym pojęciem rozumiane są także dane:

 

  • behawioralne, czyli informacje, na podstawie których budowany jest profil zakupowy – np. dotychczasowe transakcje i ich czas realizacji.
  • dotyczące zaangażowania, tj: polubienia, udostępnienia w mediach społecznościowych, analiza przeglądanych produktów, inne formuły interakcji.
  • recenzyjne jak kompleksowe zestawienie opinii i ankiet na podstawie informacji zdobytych bezpośrednio od klienta.

Lepsza ochrona danych w e-sklepie to przede wszystkim profesjonalizm projektu e-commerce – łatwiejsze zdobycie zaufania wśród potencjalnych klientów. W sytuacji, gdy dzielą się oni – jakże cennymi – danymi osobowymi, chętniej czynią to w otoczeniu, w którym czują się bezpiecznie.

Stopień zabezpieczeń danych bezpośrednio przekłada się na skuteczność sprzedaży wyrażaną konwersją. W sytuacji, gdy jednym z filarów e-commerce jest powrót klienta i budowa marki, należy ograniczać wszystkie czynniki wpływające na możliwość rezygnacji z kolejnych zakupów. Takim będzie maksymalna ochrona danych osobowych oraz uświadomienie klienta, iż jego wrażliwe informacje są właściwie zabezpieczone.

Przykład:

 

Sklep X zapewnia atrakcyjny produkt w wyjątkowo korzystnej cenie. Ma również bazę klientów, do której – wykorzystując automatyzację marketingu – kieruje komunikat o dodatkowej, czasowej promocji. Odbiorcy kierują się poprzez link bezpośrednio na platformę sprzedażową w domenie internetowej e-sklepu. Ten nie zadbał jednak o prozaiczny element zabezpieczenia – certyfikat SSL. Przeglądarka internetowa automatycznie ostrzega w tej sytuacji potencjalnego klienta, że wchodzi na stronę teoretycznie niebezpieczną, na której może dojść do wyłudzenia danych lub dostępu do płatności elektronicznych. Klient rezygnuje z zakupu, mimo że sklep internetowy zadbał o rozbudowany pakiet informacji produktowych, zapewnił atrakcyjną cenę i prawidłowo przeprowadził kampanię marketingową.

Można jednak wskazać również kilka innych zalet należytej dbałości o ochronę danych osobowych. Są nimi:

 

  • Zmniejszenie ryzyka problemów prawnych oraz finansowych w dłuższej perspektywie.
  • Większe szanse przyciągnięcia do sklepu dużych partnerów handlowych oraz potencjalnych inwestorów.
  • Zmniejszenie ilości porzuconych koszyków i bardziej przejrzyste dane w kontekście analityki internetowej.

Bezpieczeństwo i ochrona danych w sieci – metody

Dbałość o ochronę danych w sieci można podzielić na kilka sfer:

 

  • techniczna: stosowanie narzędzi i procedur ograniczających ryzyka.
  • prawna – właściwie ustalone procesy zapobiegające problemom na poziomie utraty danych.
  • edukacja – kompleksowe zestawienie działań związanych z np. budową świadomości pracowników obsługujących zamówienia, czy logistykę dostawy.

Jakie metody ochrony danych można uznać za newralgiczne i kluczowe?

Polityka prywatności

Wszelkie informacje, dzięki którym można doprowadzić do identyfikacji osoby, powinny być w sklepie internetowym traktowane nie jako drugorzędne, ale kluczowe, o znaczeniu wręcz krytycznym. Należy więc zadbać o to, by pakiety informacji były – od strony technicznej – ukryte za zaporą sieciową, a jednocześnie zaszyfrowane. Warto kierować się tu polityką możliwie największej anonimizacji danych oraz innych informacji kluczowych.

Istotną kwestią jest np. izolacja danych pozwalających na zawarcie transakcji, od informacji osobowych.

Przykład:

 

Firma X umożliwia automatyczny zapis danych karty kredytowej klienta na poczet zakupów realizowanych w przyszłości. W tym przypadku pojawia się potencjalne niebezpieczeństwo, jeśli powyższa dane można ze sobą powiązać w zbiorze danych. Jeśli jednak numery kart oraz ich daty ważności znajdują się w różnych zbiorach oraz dodatkowo są odseparowane od imion i nazwisk, dostęp do tych danych łącznie okazuje się praktycznie niemożliwy.

Informacja o plikach cookies

Błędem jest zbieranie nadmiernie szerokich pakietów danych – w wielu przypadkach są one niewykorzystywane, a stanowią potencjalne źródło problemu prawnego. Lepszym rozwiązaniem jest zbieranie wyłącznie niezbędnych danych. Żądanie dużej ilości informacji może zniechęcić odbiorcę do procesu zakupowego. Optymalnym rozwiązaniem jest zbieranie tylko tych danych, które są wymagane do transakcji.

Jeśli jednak dostęp do większej ilości danych jest niezbędny, należy zadbać o ich bezpieczeństwo oraz świadomość użytkownika.. Warto w tym kontekście skorzystać z działań marketingowych – np. zaproponować użytkownikowi, iż za dostęp do większego pakietu danych otrzyma dostęp do wartościowego e-booka z poradnikiem branżowym.

Regulaminy wewnętrzne

Jednym ze źródeł wycieków są błędy ludzkie. Te najczęściej powstają na skutek nieprecyzyjnych zapisów dotyczących obiegu dokumentów lub wewnętrznych procedur związanych z obsługą zamówień. Stąd tak duża rola regulaminów – zarówno zewnętrznych (np. opisującego proces obsługi e-klienta i tego, w jaki sposób przetwarzane mogą być jego dane, chociażby przez obce podmioty), jak i wewnętrznych.

W przypadku tych drugich niezbędne jest ścisłe i precyzyjne wskazanie odpowiedzialności poszczególnych osób i zespołów za konkretne obszary ochrony danych klientów w sklepie internetowym. Dotyczy to np. ustalenia tego:

 

  • kto jest odpowiedzialny za politykę bezpieczeństwa,
  • co zrobić w przypadku wycieku danych osobowych,
  • jak wygląda audyt zabezpieczeń pod kątem ochrony danych.

Dowiedz się więcej na temat tego, jak napisać regulamin sklepu, aby zabezpieczyć się prawnie.

Certyfikat SSL

SSL to certyfikat świadczący o tym, że doszło do zaszyfrowania komunikacji pomiędzy przeglądarką a serwerem, na którym znajduje się domena sklepu internetowego lub strony www. Dzięki zaszyfrowaniu nie ma dostępu z zewnątrz do danych konsumentów – np. w kontekście transakcji handlowych.

Brak certyfikatu SSL w sklepie internetowym jest równoznaczny z utratą statusu witryny HTTPS. To skutkuje powiadomieniem dla użytkownika, iż dany serwis nie jest bezpieczny. Efektem jest spadek zaufania do e-sklepu i całej marki, a więc mniejszej liczby zakupów i konwersji.

Brak SSL ma również wpływ na pozycjonowanie serwisów internetowych. Algorytm przeglądarki zakłada, że status HTTP – a nie HTTPS – to brak zabezpieczenia, a w rezultacie obniża miejsce rankingowe strony internetowej w wynikach sieci wyszukiwania.

Ochrona serwisu przed włamaniem i wyłudzeniem

To w e-commerce swoisty temat-rzeka łączący wiele narzędzi i procesów. Patrząc na cyberbezpieczeństwo sklepu internetowego, istotne jest nie tylko pierwotne zabezpieczenie platformy sprzedażowej i aplikacji, ale również ich regularne testowanie pod kątem zagrożeń. Zalecana jest w tym zakresie automatyzacja rozwiązań testowych nadzorowana przez odrębny zespół ds. bezpieczeństwa lub zewnętrzny podmiot wyspecjalizowany w tego typu zadaniach.

Dobrymi praktykami, które może zastosować firma zajmująca się handlem elektronicznym, są:

 

  • Polityka zero zaufania (ang. Zero Trust Security – weryfikacja tożsamości na każdym kroku oraz aktualizacja uprawnień na podstawie bieżących potrzeb).
  • Izolacja danych i arkuszy bazodanowych.
  • Replikacja: kopiowanie danych przy każdorazowo zachodzących zmianach.
  • DRP (ang. Digital Risk Protection – ochrona domeny, autowykrywanie phishingu, monitorowanie fałszywych kont podszywających się pod daną markę w sieciach społecznościowych).
  • Uwierzytelnianie wieloskładnikowe.
  • Korzystanie z technologii bug bounty – możliwość zgłaszania odnalezionych podatności na atak.
  • Regularne tworzenie kopii zapasowych (o tym szerzej poniżej).

Sprawdzony hosting

Korzystanie z hostingu, który zapewniany jest przez doświadczonego, sprawdzonego na rynku i bezpiecznego dostawcy, to jeden z fundamentów polityki prywatności w sklepie internetowym. Stanowi gwarancję tego, że pakiety danych cyfrowych są odpowiednio chronione na poziomie bazy danych. W tym kontekście warto zwrócić uwagę również na inne czynniki techniczne korzystnie wpływające na ochronę danych klientów w e-sklepie. Są nimi:

 

  • Szyfrowanie danych poufnych – haszowanie haseł i danych kart kredytowych.
  • Aktualizacja oprogramowania i wszystkich elementów dodatkowych – np. popularnych wtyczek używanych w ogólnodostępnych systemach CMS takich jak np. WordPress.
  • Ograniczenie dostępów do danych wrażliwych na poziomie uprawnień użytkowników sieci firmowej.

Tworzenie kopii zapasowych

Regularne tworzenie kopii danych na zewnętrznym nośniku lub – w przypadku rozwiązań chmurowych – innej lokalizacji. To bardzo dobry sposób na ograniczenie ryzyka cyberataku. Backup stanowi też ochronę na wypadek awarii technicznych.

Podsumowanie: dane w e-sklepie to również edukacja

Dbałość o ochronę danych osobowych w sklepie internetowym to – jak widać – zestawienie zróżnicowanych czynników: od prawa przez IT, sferę big data czy automatyzację komunikacji internetowej. Warto jednak pamiętać również o czynniku ludzkim. To głównie człowiek – a nie maszyna – bywa najczęściej źródłem błędów i problemów. Stąd tak ważna jest nie tylko dbałość o ograniczenie ryzyka w tym względzie (np. staranne przydzielenie dostępów grupom pracowników obsługujących platformę), ale również edukacja. Strategia zapobiegania utraty danych nie powinna być jedynie teorią, o której członkowie zespołu zostaną poinformowani e-mailem. Istotne są kursy, szkolenia, wewnętrzne spotkania, które – nawet w oparciu o konkretne przykłady – mogą być źródłem praktycznej wiedzy, dzięki której można zredukować potencjalne błędy ludzkie.

 


Podziel się: