Персональные данные клиентов — это сведения о клиентах, которые совершили покупку товаров или услуг. Организации, которые работают с клиентами, имеют дело с их персональными данными. Эту информацию нужно хранить по строгим правилам, не разглашать и не допускать ее утечки. При несоблюдении этих правил, можно получить внушительный штраф.
Пользовательские данные представляют интерес для конкурентов или злоумышленников, с целью заработать или нанести вред репутации бизнеса. Зачастую слабым звеном являются обычные работники, которые допускают утечку персональных данных случайно или из-за низкой информационной грамотности. Расскажем, как бизнес может обезопасить себя и защитить конфиденциальную информацию о клиентах от утечки?
Чем ценны персональные данные?
На основе собранных персональных данных бизнес формирует уникальные предложения для своих клиентов, тем самым обеспечивая себя регулярными заказами, а значить прибылью. Поэтому данные о клиентах коммерчески ценные и всегда будут интересны конкурентам. Если произойдет утечка клиентской базы, то этим могут воспользоваться не только конкуренты, но и мошенники.
Как происходит утечка персональных данных
Так как персональные данные считаются конфиденциальной информацией, то сотрудники, которые получили к ним доступ, никому не должны их передавать без законного основания. Утечка данных, как правило, происходит по неосторожности или халатности сотрудников, но в некоторых случаях — умышленно. Информацию можно случайно переслать в личной переписке или скопировать базу на внешний носитель.
Как избежать утечки через сотрудников
Чтобы избежать утечки данных по вине сотрудников, особое внимание нужно уделить работе с персоналом. Вот несколько пунктов:
- Проводите проверку бизнес-процессов, в которых используете персональные данные. С помощью периодических проверок всех процессов приватности легче выявить риски утечек данных и риски несоблюдения законодательства. Для этого можно воспользоваться профессиональным сканером уязвимостей XSpider, который будет проводить проверку в автоматическом режиме и уведомлять о возникающих инцидентах в сети.
- Создайте нормативную документацию, в которой будет описан порядок работы сотрудника с персональными данными.
- Добавьте раздел о конфиденциальности в трудовой договор, в котором будет пояснение, что сотрудник несет ответственность за нарушение конфиденциальности информации, к которой он имеет доступ в своей работе.
- Проводите обучение по работе с персональными данными. Прохождение обучения должно фиксироваться в учетных журналах.
- Обеспечьте контроль удаленных сотрудников, но предупредите их об этом контроле.
Политика работы с персональными данными
Без согласия клиента обработка данных незаконна, поэтому необходимо обеспечить доступность информации о том, как вы работаете с его персональными данными. Вот несколько примеров:
- Необходимо опубликовать на сайте актуальную версию политики обработки персональных данных в специальном разделе. Если сайта нет, то распечатать документ с политикой и предложить клиенту ознакомиться с ней и, если необходимо, подписать.
- Добавить согласие на обработку персональных данных в тех местах сайта, где собирается информация, с котором клиент может ознакомиться при оформлении заказа онлайн или при оформлении подписки на рассылку.
Требования к защите персональных данных
При работе с персональными данными должны соблюдаться определенные требования по их защите. Приведем некоторые из них:
- Используйте программные средства для защиты данных
Для работы с конфиденциальной информации и персональных данных устанавливают сертифицированные СЗИ — средства защиты информации. Им может быть специализированное программное обеспечение, например, Secret Disk 5 или Secret Net Studio, которые обеспечат защиту от несанкционированного доступа.
К СЗИ также относятся антивирусные программы.
Еще одно средство для защиты данных — SIEM системы, средства управления событиями информационной безопасности. Эти программы собирают сведения по всем инцидентам информационной безопасности и анализируют их в режиме реального времени. Пример такой системы — MaxPatrol.
- Ведите учет носителей персональных данных
Каждая используемая флешка, персональный компьютер, сервер, используемые при работе с персональными данными должны быть учтены и заведены в специальный журнал. Также необходимо соблюдать следующее требование: серверы, на которых собирают персональные данные граждан РФ, должны быть физически размещены в России — это называется «требование о локализации». Если будет выявлено нарушение, то организации может грозить штраф до 18 млн. рублей или полная приостановка деятельности.
- Ведите журнал инцидентов
Необходимо отмечать и фиксировать все случаи нарушения информационной безопасности, факты компьютерных атак и действия после этого. Это позволит, при необходимости, провести служебное расследование.
Заключение
Работа с персональными данными требует соблюдение строгих правил. Не стоит пренебрегать ими, так как это важно сохранять конфиденциальную информацию, утечка которой может нанести репутации бизнеса. Работники не вправе разглашать данные о клиентах за пределы рабочего пространства. Проводите обучение сотрудников и используете в своей инфраструктуре средства защиты информации, чтобы не допустить утечки данных.
Если статья была для вас полезной, поставьте лайк и подпишитесь на наш канал.
