Kui haldate e-kaubanduse saiti, on teie klientide privaatsete andmete kaitsmine tõenäoliselt üks teie peamisi muresid. Andmete rikkumised ja häkkimised võivad olla laastavad, eriti väikeettevõtete jaoks. Veebiklientide kaitsmiseks identiteedivarguse eest vajate rakendusi ja tehnoloogiat, mis hoiavad häkkerid ja identiteedivargad teie failidest eemal. Samuti peaksite veenduma, et te ei salvesta klienditeavet, mis pole teie äritegevuseks absoluutselt vajalik.
1
Loo kirjalik privaatsuspoliitika. Enamiku veebiettevõtete jaoks ei ole seadusega ette nähtud kirjalikud privaatsuspoliitikad, kuid siiski on hea äritava omada ja järgida seda. Teie privaatsuspoliitika selgitab teie klientidele, milliseid isikuandmeid te neilt kogute ja kuidas te seda kasutate. Föderaalseadus võib teatud olukordades nõuda oma klientide jaoks privaatsuspoliitikat, näiteks kui kogute teavet lastelt või laste kohta. Isegi kui seadus ei nõua teilt privaatsuspoliitikat, on see siiski hea mõte luua see, teha see oma klientidele kättesaadavaks ja järgida seda hoolikalt.Võite otsida veebist lihtsaid ja tasuta privaatsuspoliitika generaatoreid, mida saate kasutada oma poliitika koostamiseks.Üldiselt peaksite lisama teavet selle kohta, kuidas kasutate küpsised teie veebisaidil, näiteks teie kasutaja eelistuste salvestamiseks või teabe säilitamiseks kaupade kohta, mille nad on ostukorvi pannud. Öelge, et kogutud teavet kasutatakse ainult kliendi tehingu lõpuleviimiseks ja seda ei kasutata muudel eesmärkidel ilma kliendi nõusolek. Esitage kontaktteave, et kliendid saaksid esitada kaebuse teie ettevõtte vastavale isikule, kui nad kahtlustavad, et privaatsuspoliitikat on rikutud või kui neil on küsimusi selle kohta, kuidas nende andmeid kogutakse ja kasutatakse.Kui kasutate oma ostukorvi jaoks kolmanda osapoole ettevõtet, kontrollige nende eeskirju, et teie eeskirjad kajastaksid täpselt seda, kuidas nad teavet koguvad ja kasutavad.
2
Saate aru, millist teavet teie süsteemis hoitakse ja kus. Veebiklientide piisavaks kaitsmiseks peate täpselt teadma, millist teavet nad teie süsteemides säilitavad ja kus see teave asub. Pidage meeles, et te ei saa teavet kaitsta, kui te ei tea, kus see asub. Kogu tundlik teave tuleb salvestada ja varundada samasse piirkonda. Klienditeavet ei tohiks salvestada mitmesse kohta, näiteks töötaja arvutisse ja teie serverisse. See tuleks salvestada ühte kohta ja sellele pääseda juurde ainult sellest asukohast.
3
Vältige kliendiprofiilide salvestamist, välja arvatud juhul, kui teil on turvaline süsteem. Paljudel klientidel on mugav luua kliendiprofiile ning salvestada oma aadressid ja makseteave, et nad ei peaks seda iga kord uuesti sisestama.Kuid te ei saa oma klientidele seda võimalust pakkuda, kui te ei saa nendes profiilides olevat teavet kaitsta. Pidage meeles, et kui klient loob profiili, on kogu see teave potentsiaalselt identiteedivarastele kättesaadav. Kliendiprofiili halb asi on see, et see võib sisaldada kogu teavet, mis on vajalik nende identiteedi varastamiseks ühes ja samas kohas.
4
Ärge kunagi küsige teavet, mis on teie tehingu tegemiseks ebavajalik. Mida rohkem oma kliendi isiklikku teavet oma süsteemis säilitate, seda rohkem satub teave häkkerite kätte, jättes teie kliendid haavatavaks identiteedivarguste suhtes. Saate piirata oma klientide kokkupuudet, kui te ei salvesta rohkem teavet, kui on hädavajalik. Näiteks kui teil on lihtsalt veebipood või muu sarnane, ei tohiks te kunagi nõuda oma klientide sotsiaalkindlustuse või juhiloa numbrite osa. Seda teavet pole müügi sooritamiseks vaja ja see on väga tundlik isiklik teave.
5
Kasutage oma spetsiaalset serverit. Teiste ettevõtete jagatud serveri kasutamine võib tunduda hea viis raha säästmiseks, kuid mida rohkem inimesi pääseb ligi serverile, kus teavet salvestatakse, seda rohkem on potentsiaalseid juurdepääsupunkte teie klientide teabele. Kui rendite serveriruumi, oma serverite haldamise asemel loobute nende serverite turvalisusest ja neile juurdepääsu jälgimisest. Võimalik, et teil on võimalik sõlmida leping ettevõttega, mis pakub nende renditavatele serveritele tipptasemel turvalisust. Kui te ei saa oma servereid hooldada, seadke serveriruumi ostmisel prioriteediks turvalisus.Veenduge, et mõistate, kuidas serverites olevale teabele juurde pääsetakse ja kuidas serveriliiklust volitamata juurdepääsu suhtes jälgitakse.Kui hooldate oma servereid, võiksite sõlmida lepingu turvaseireteenusega. Paljud Interneti-teenuse pakkujad pakuvad lisatasu eest ka teie serverite turvalisust.
6
Võtke oma veebipoes kasutusele SSL-krüptimine. Tugevaim viis klientide isikuandmete tarbetu paljastamise vältimiseks on uuendada oma e-kaubanduse veebisaiti, et saaksite aktiveerida turvalisema SSL-i krüpteerimistehnoloogia. Kui veebisait on krüptitud, läheb see aadressile https, mitte http. “Üldiselt saate valida, kas krüpteerida ainult oma kassaprotsess või kogu veebipood. Tavaliselt soovite valida kogu poe krüptimise, kui annate oma klientidele võimaluse luua oma profiile ja sisse logida pääseda juurde nende ostueelistustele.Kui te ei paku klientidele profiilivalikut, võite valida ainult kassasüsteemi krüpteerimise.Mõned teenused, mis aitavad teil veebipoodi luua, pakuvad teile krüpteerimisvalikut. Kui kasutate mõnda neist e-kaubanduse teenustest, peate tavaliselt märkima oma veebisaidil SSL-sertifikaatide aktiveerimise.
7
Säilitage oma ettevõtte arvutivõrgu ja serverite jaoks tulemüür. Tugev tulemüür takistab häkkeritel teie süsteemile juurdepääsu ja selle saab enamikus arvutites võrgukonfiguratsiooni osana lubada. Kui teie ettevõttes on traadita internet, saate tulemüüri tavaliselt ruuteris konfigureerida. See tagab teie võrgu turvalisuse ja tähendab, et see ei jää avatuks kõigile, kes juhuslikult mööda jalutavad ja signaali leiavad. Teie ruuteri konfiguratsioonitarkvara juhendab teid tulemüüri seadistamise ja järgitavate reeglite kaudu. Näiteks võite anda sellele käsu mitte lubada Interneti-liiklust, mida võrgus olev arvuti spetsiaalselt ei taotlenud. Kui teie võrk on kaitstud, vajavad töötajad teie traadita võrgule juurdepääsuks parooli.
8
Tellige viirusetõrjetarkvara teenus. Viirusetõrjetarkvara lisab teie tulemüürist kaugemale täiendava kaitsekihi. Kui keegi rikub teie tulemüüri, suudab viirusetõrjetarkvara tuvastada ja hävitada pahavara ja muud viirused, mida võidakse teie võrku laadida ja kasutada klientide andmete varastamiseks. Viirusetõrjet saate tellida mõne ettevõtte kaudu, mis pakub viirusetõrjetarkvara teenusena. ” Selle suurim eelis on see, et te ei pea kunagi muretsema uusimale versioonile ülemineku pärast – tavaliselt lisatakse versiooniuuendused ja need laaditakse automaatselt alla, kui teil on tellimus. Parim viis turvasüsteemide ajakohasuse tagamiseks on kontrollida Värskenduste automaatse allalaadimise lubamiseks kast tarkvara seadetes. Kui saate automaatseid allalaadimisi ajastada, kaaluge nende käivitamist keset ööd, kui inimesed tõenäoliselt ei tööta.
9
Koolitada töötajaid arvuti- ja internetiohutuse alal. Kõik teie töötajad, kes peavad oma töö käigus juurde pääsema privaatsete klientide andmetele, peaksid läbima korrapärase ja ajakohase koolituse võimalike turvariskide vältimiseks. Pidage meeles, et kogu teie viirusetõrje ja muud turvameetmed on nii tugevad kui teie süsteemis igapäevaselt töötavad inimesed.Mõned andmeturbe- ja viirusetõrjeettevõtted pakuvad koolitusprogramme, mis annavad teavet selle kohta, kuidas Internetis ohutult töötada.Oma kirjalikke eeskirju arvuti ja Interneti tööl kasutamise kohta, mida teie töötajad peavad järgima ja jõustama Samuti saate oma töötajaid koolitada ära tundma ja viivitamatult kustutama kõik pahatahtlikud e-kirjad või andmepüügikatsed, mis võisid teie meili rämpspostifiltritest läbi pääseda.
10
Looge turvalised paroolid. Üks lihtsamaid viise, kuidas häkkerid teie süsteemi pääsevad ja kliendiandmeid varastada, on murda töötaja parool. Selle juurdepääsumeetodi kõrvaldamiseks kasutage keerulisi paroole ja muutke neid regulaarselt. Üldjuhul peaksid kõik teie paroolid olema vähemalt 16 tähemärgi pikkused. Kasutage numbreid, sümboleid ning suuri ja väikesi tähti, et muuta paroolid raskesti äraarvatavaks. Vältige nimede või muu identiteedi teabe kasutamist kasutajanime või paroolina. Näiteks kasutage iga töötaja ees- ja perekonnanime kasutajanimena on lihtne ära arvata. Kui teie töötajate e-posti aadressid on seadistatud sarnaselt, võib häkker hõlpsasti ära arvata kasutajanime ja alustada parooli muutmise protsessi, ilma et peaksite seda arvama. Võib-olla võiksite kaaluda võrgus saadaoleva parooligeneraatori kasutamist. Paljud neist teenustest hindavad ka teie loodud parooli tugevust. Kaaluge kaheastmelise kinnitamisprotsessi lisamist või selle protsessi lubamist oluliste kontode jaoks teiste teenusepakkujate juures. See protsess tähendab, et isegi kui keegi teab teie konto parooli, peab ta kontole juurdepääsuks sisestama ka teie telefonile saadetud koodi.Kaheastmeline kinnitamine on oluline, kui teil on arvutitesse salvestatud paroolid.Kui töötaja teie ettevõttest lahkub, peaksid viivitamatult muutma kõik paroolid, millele sellel isikul oli juurdepääs, ja deaktiveerima kõik tema jaoks ainulaadsed paroolid või sisselogimisprofiilid.
11
Skannige ja kinnitage kõik seadmed. Kasutajad võivad tahtmatult pahavara sisse tuua, ühendades teie võrku seadme, millel puudub ajakohane viirusetõrje. Selle vältimiseks kontrollige mis tahes seadet enne selle kasutuselevõttu ja kaaluge töötajate keelamist oma isiklikke seadmeid võrku ühendada. Kui teil on seadmeid, mida kasutate regulaarselt oma ettevõtte võrgule juurdepääsuks (nt isiklik sülearvuti või muu mobiilseade), neil on nendes seadmetes samad turbesätted, mis ettevõtte arvutites.Lubage krüpteerimine kõigis seadmetes, mida võidakse kasutada tundlikule klienditeabele juurde pääsemiseks.Kui lubate töötajatel kodus töötada, veenduge, et kõik arvutid või seadmed, mida nad kasutavad süsteemile juurdepääsuks on sama turvaline kui kontoris olevad arvutid. Andke oma kodus töötavatele töötajatele ülesannete kontrollnimekiri, mis tuleb täita, et tagada nende arvutite turvalisus.
12
Kasutage virtuaalset privaatvõrku (VPN) ja krüptimist. VPN pakub teie võrgule täiustatud turvalisust, samas kui krüpteerimine kaitseb teie edastatavaid või salvestatud andmeid, muutes need kasutuks isegi siis, kui need satuvad valedesse kätesse. VPN-i kasutamine on eriti oluline, kui teie töötajad töötavad eemalt, kuna sisselogimine VPN on sama turvaline kui füüsiline juhtmega võrk. VPN võimaldab teil säilitada turvalist võrku, kui kasutate avalikku WiFi-võrku või muid Interneti-võrke, mis ei pruugi olla tundlikele kliendiandmetele juurdepääsuks või nende edastamiseks piisavalt turvalised. On mitmeid erinevaid võrguprotokolle, mille hulgast saate oma VPN-i seadistada. Konsulteerige arvutivõrgu eksperdiga, et teada saada, milline protokoll teie ettevõtte jaoks kõige paremini sobiks.
13
Piirake juurdepääsu tundlikele andmetele. Olenemata sellest, kui palju töötajaid teil on, ei tohiks kellelgi olla juurdepääsu teie klientide isikuandmetele, välja arvatud juhul, kui nad seda oma töö tegemiseks tingimata vajavad. Mida vähemal inimestel on sellele teabele juurdepääs, seda turvalisem on teave. Looge kirjalik dokumendihalduspoliitika ja veenduge, et kõik teie töötajad teaksid ja mõistaksid seda. Kui teatud töötajad ei vaja oma töö raames erakliendi teavet kohustuste täitmisel ei tohiks neile anda juurdepääsu sellele teabele.Kui seadistate iga töötaja jaoks võrguprofiilid, on teil võimalus anda neile juurdepääs võrgu erinevatele osadele. Vältige mitme “administraatori” konto loomist – anna töötajatele minimaalne juurdepääs, mida nad oma töö tegemiseks vajavad.
14
Kustutage isikuandmed täielikult. Föderaalse õiglase ja täpse krediiditehingu seaduse (FACTA) käsutamise reegli kohaselt tuleb kogu krediiditehingu lõpuleviimiseks kogutud teave täielikult ja jäädavalt hävitada. Kuigi FACTA reegel rakendati algselt paberkandjal dokumentide ja dokumentide kõrvaldamiseks, kehtib see ka mis tahes kogutud elektroonilisele teabele.Lihtsalt kustutamisnupul klõpsamine ei kustuta teie süsteemist faili täielikult ega järgi FACTA kõrvaldamisreegleid.Saate osta failikustutustarkvara, mis kustutab tundlikud failid täielikult ja jäädavalt, või alla laadida tasuta failikustutusprogramm, näiteks Free Eraser või File Shredder.
15
Veenduge, et teie veebisait on PCI-ühilduv. PCI turvastandardite nõukogu säilitab ja edendab maksekaartide tööstuse turvastandardeid, mis sätestavad minimaalsed tehnilised nõuded igale ettevõttele, kes aktsepteerib makseviisina deebet- või krediitkaarte. Väikeettevõtted liigitatakse tavaliselt 3. või 4. taseme kaupmeesteks. 4. taseme kaupmehed töötlevad vähem kui 20 000 Visa e-kaubanduse tehingut aastas, samas kui 3. taseme kaupmehed töötlevad 20 000 kuni 1 miljon sellist tehingut.Kui teie ettevõte on ühel neist tasemetest, peate alla laadima ja täitma sobiva ise – hindamisküsimustik ja täitke haavatavuse kontroll. Küsimustike allalaadimiseks ja heakskiidetud skannimismüüjate kohta teabe leidmiseks külastage PCI veebisaiti aadressil pcisecuritystandards.org.