На этой неделе СМИ сообщили об одной из самых масштабных утечек данных в этом году.
Персональные данные почти двух миллионов абонентов «Вымпелкома» (Билайн), что составляет 70 % всей клиентской базы более двух недель находились в свободном доступе.
ФИО, номер телефона, адрес электронной почты, серию и номер паспорта, адрес, и дату рождения потенциально мог скачать любой желающий.
Внимание клиентов к персональным данным с каждым годом растет. Если утечки возможны у крупных игроков рынка, что говорить о средних и небольших компаниях? И что необходимо предпринять для того, чтобы защитить данные своих клиентов?
Отметим, что это комплексная задача. В компаниях обычно за безопасность данных отвечают службы безопасности, айтишники и, возможно, юристы. И лично генеральный директор. Но не все руководители клиентского сервиса знают, например, о существовании Приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 №21. В этом документе содержится подробный перечень нескольких десятков организационных и технических мер, которые направлены на защиту персональных данных.
Назовем некоторые из них:
· идентификация и аутентификация субъектов и объектов доступа;
· управление доступом;
· ограничение программной среды;
· защита машинных носителей информации,
· антивирусная защита;
· обнаружение (предотвращение) вторжений;
· контроль (анализ) защищенности персональных данных;
· обеспечение целостности информационной системы и персональных данных;
· защита информационной системы;
· выявление инцидентов, которые могут привести к сбоям и возникновению угроз безопасности
Российское законодательство выделяет 4 уровня защищенности персональных данных.
По оценкам экспертов более 15% компаний не обеспечивают необходимый контроль за безопасностью данных. И хотя размер штрафа за невыполнение обязанностей по их сохранности не такой большой, (например, Билайну может грозить штраф до 100 тыс. рублей), репутационные издержки могут быть многократно выше.
Как их можно минимизировать в клиентском сервисе?
Прежде всего провести экспресс-диагностику уровня работы с данными клиентов.
Для этого можно использовать краткий чек-лист из 7 групп вопросов:
1. Где вы храните данные клиентов? Насколько это надежно?
2. Для каких целей вам нужны эти данные? Можно ли отказаться от части из них и не собирать у клиентов?
3. У вас есть разрешения клиентов на хранение этих данных у вас?
4. Кто имеет доступ к данным?
5. Кто обрабатывает данные клиентов?
6. Как можно восстановить данные при необходимости?
7. Как еще можно усилить защиту данных в вашей компании?
