Безопасный отдел продаж. Как сохранить конфиденциальность данных?
Безопасный отдел продаж. Как сохранить конфиденциальность данных?
Как защитить персональные данные клиентов и не допустить утечки информации? Рассказывает команда Grizzly Digital Company.
Почему важно защищать персональные данные?
Под персональными данными (ПД) мы понимаем любую информацию, с помощью которой можно идентифицировать личность человека. Компании собирают ПД в маркетинговых целях — чтобы удержать покупателя, повысить качество обслуживания и нарастить объемы продаж.
Зная персональные сведения о клиенте, вы поддерживаете связь в удобном для него канале: приветствуете в чат-боте, напоминаете о брошенной корзине в push-уведомлениях, присылаете персонализированные акции по SMS. Чтобы усовершенствовать воронку продаж, можно автоматизировать ее, объединив все каналы с CRM-системой.
Всесторонняя работа с клиентской базой помогает развивать бизнес.
Например, позволяет создавать релевантные предложения и искать слабые места в
воронке. Однако для составления профиля клиента важно получить его добровольное
согласие на обработку ПД и хранить секретность информации под семью замками.
Даже если пользователь регистрируется в вашем приложении для заказа пиццы.
В мировой практике известно немало случаев, когда личные данные
пользователей «утекали» в интернет. В результате учащались эпизоды
мошенничества в соцсетях, кражи личных данных и заражения компьютеров вирусами.
Преступнику достаточно получить доступ к базе одной компании, чтобы завладеть
банковскими данными тысячи клиентов и вывести средства со счетов. Самые ухищренные представляются сотрудниками банков и пытаются войти в
доверие — зная лишь ФИО, адрес проживания и место работы жертвы. Также в
последние годы участилась продажа баз с контактными данными. Говоря простым
языком, любой предприниматель может купить информацию о потенциальной ЦА и
использовать ее для рекламы услуг. Такие действия тоже считаются незаконными. Часто утечки ПД происходят по халатности рядового персонала и руководителей.
А также по вине хакеров или недобросовестных конкурентов. В 2018 году в рунете появились скриншоты со сведениями покупателей из
CRM-системы Ozon, включая номера, ID, суммы заказов и более 450 000 логинов
e-mail. Маркетплейс объяснил утечку недобросовестностью сотрудника: скриншоты
содержали переписку от лица одного и того же специалиста. Правда, после
инцидента СМИ опубликовали фрагмент рабочего чата, который доказывал: пароли
заказчиков хранились в незашифрованном виде. Компания не уведомила клиентов о произошедшем, чем вызвала больший
интерес у контролирующих служб. Однако история закончилась для Ozon
благополучно: тогда к теме безопасности данных относились не так серьезно, и
суд решил не назначать штраф. Многие помнят недавний случай с «Яндекс.Едой». 1 марта 2022 года клиенты
узнали, что в Сеть попали их номера телефонов и детали заказов за последние 6
месяцев — на более 58 000 адресов. Отметим, что компания сама сообщила клиентам о случившемся, ссылаясь на
«недобросовестные действия» сотрудника. Несмотря на это, несколько
пользователей подали коллективный иск, требуя по 100 000 RUB компенсации
каждому — что является максимальным наказанием. Позже московский суд обязал
компанию выплатить штраф в размере 60 000 RUB. Еще неприятнее, когда в общий доступ «утекают» данные клиентов
лабораторий и клиник. Так, весной 2022 года в даркнет попали личные сведения 30
млн пациентов сети лабораторий «Гемотест» — объемом на 300 гигабайт. Причина —
хакерская атака базы. Позднее в СМИ заговорили о продаже украденной
информации третьим лицам. Лаборатория заявила, что обнаружила взлом еще 22 апреля и инициировала
внутреннюю проверку. Спустя почти три месяца суд назначил штраф — 60 000 RUB.
Наверняка для крупной сети, входящей в топ-5 лабораторий России, сумма не сильно
ударила по бюджету. Более критичным оказалось потерять доверие клиентов. Как отреагировало законодательство? Для пресечения повторных рисков
Минцифры ускорила согласование законопроекта, который предусматривал оборотный
штраф в размере 1% за утечку информации и 3%, если допустившая ситуацию
компания скрыла инцидент. В Беларуси не так много громких эпизодов с утечкой данных, но они
все-таки есть. Вспомним историю сети «Соседи»: в июле 2022 года в свободный
доступ попали e-mail и мобильные номера 634 000 пользователей сайта. Компания
обратилась в правоохранительные органы и разослала покупателям электронные
письма с извинениями, заверив: слив не коснулся имен и паролей к личным
кабинетам. Позже сеть ужесточила защитные мероприятия и уволила нескольких
сотрудников, имевших доступ к информации о покупателях. В качестве
дополнительной меры — внедрила авторизацию через SMS-пароль. Напомним, процесс управления клиентскими данными в РБ регулирует Закон «О защите персональных данных» от 7 мая 2021 года. Согласно ему, юрлица обязаны соблюдать требования
при работе с информацией о клиентах: ● Запрашивать согласие на
обработку в письменной или электронной форме (электронный документ, отметка на
сайте, получение письма на e-mail). ● Прозрачно указывать цели и
сроки соглашения, а также перечень действий и самих данных, необходимых
компании. ● Обрабатывать ПД только в
необходимом объеме и в соответствии с заявленными целями. ● Обеспечивать безопасность
сведений на всех этапах обработки. ● При изменении
первоначально заявленных целей повторно получать согласие на обработку. Важно учесть, что клиент в праве отозвать свое согласие в любой момент и
без объяснения причин. В таком случае предприниматель обязан удалить информацию
о потребителе в течение 15 дней (с момента получения заявления) и уведомить
клиента об этом. Незаконная обработка данных или нарушение правил их защиты влечет штраф до 200
базовых величин (6400 BYN по состоянию на 2022 год). По прогнозам Risk Based Security, в ближайшие 4–5
лет затраты на борьбу с киберпреступностью будут ежегодно расти на 15%.
Обезопасить бизнес в 2022 году можно десятками способов: рассмотрим основные из
них. Запрашивайте согласие. Получайте от клиентов
разрешение на сбор, хранение и обработку сведений. Если на сайте оставляют
e-mail (чтобы получить сообщение о статусе заказа), то удалите информацию после
доставки. Если дальше хотите уведомлять покупателя о новинках — укажите срок хранения
почты и спросите разрешение на рассылку. Создавайте внутренние инструкции. Часто рядовые сотрудники
«сливают» ПД по неосторожности: забывают внутренние правила компании или не
знают законов. В ваших интересах прописать инструкции, собрать подписи об
ознакомлении и регулярно проводить ликбез по информационной безопасности. Не
забудьте про NDA — договор о неразглашении конфиденциальной информации. Используйте надежную CRM. В хорошую систему заложен
набор инструментов по защите данных. Причем каждая CRM предлагает свои решения:
двухфакторную авторизацию, работу с определенного IP или разделение прав — при
котором только доверенные лица получают доступ к ключевым клиентам. Не знаете,
какую «црмку» выбрать — спросите у коллег по бизнесу, что используют они. Составляйте модель угроз. Разработайте методичку с
возможными рисками системы безопасности. Документ включает факторы, которые
могут привести к нарушению приватности, доступности или целостности данных. Так
вы поймете, как предотвратить утечки и какие каналы нужно подстраховать.
Например, банковские данные и сведения о здоровье следует защищать более
серьезно, чем просто имя клиента. Защищайте сайт SSL-сертификатом. Клиент хочет быть
уверенным, что сведения о нем останутся в безопасности. Если присутствует
стандарт шифрования, то пользователь увидит значок закрытого замка в поле
браузера и поймет: такому сайту можно доверять. Храните базу на проверенном
хостинге.
Крупные провайдеры имеют достаточный опыт для надежного хранения информации: их
серверы сосредоточены в дата-центрах и защищены от отключения питания.
Пользуясь услугой хостинга, вы получаете сертификат SSL, оберегаете себя от DDoS-атак и
взломов. А также можете восстановить сайт из копии, если заражение все-таки
произошло. Используйте СЗИ. Средства защиты
информации — это аппаратные комплексы и антивирусные ПО, которые оберегают
коммерческую сеть от вредоносного проникновения извне и предупреждают утечки.
Если у компании есть техническая база, но вы не понимаете, как наладить ее работу, — закажите аттестацию СЗИ. ● Разглашать ПД третьим лицам без согласия потребителя. Однако сведения можно
передавать контролирующим органам, контрагентам и партнерам — которые
обрабатывают данные по договору. ● Хранить сведения в любых базах, если клиент отозвал
согласие. В
случае, если по каким-либо причинам удалить сведения невозможно, по закону РБ
достаточно прекратить их обработку. ● Объединять базы, содержащие ПД для разных целей. Например, номер телефона
для звонков нельзя использовать в целях почтовой рассылки — это облагается
штрафом. В спорных случаях обратитесь к юристу по информационной безопасности.
Специалист в деталях расскажет, что предусмотреть, чтобы не «влететь на штраф».
А внедрить техническую составляющую — установить хедер Set-Cookie или защитить
сайт от XSS-атак — поможет команда разработчиков, которая занимается вашим сайтом. В утечке данных приятного мало — как для клиента, так и для компании. Но
и обвинять в коварных умыслах предпринимателей не стоит. Онлайн-пространство
быстро развивается и подсвечивает новые проблемы, решение которых мы
обязательно находим. Главное понимать, что обеспечение приватности — не
одноразовое мероприятие. Защищайте данные постоянно. Да, это требует вашего усердия, но никакие
вложения в безопасность не сравнятся с последствиями утечки в виде штрафов,
проверок и потери доверия со стороны клиентов. Если после прочтения статьи
закралось сомнение насчет защищенности данных — пройдите аттестацию. Процедуру
можно заказать у хостинг-провайдера: он проверит вашу систему на соответствие
законодательству РБ, выявит риски утечек и решит
технические проблемы.
Чем опасна утечка данных?
Объясняем на примерах
Как обстоят дела с этим в
Беларуси?
Информационная безопасность: как
защитить данные клиентов?
Чего не стоит делать?
Какой делаем вывод?