Zaštita internetskih stranica

Razvoj i održavanje vaših internetskih stranica važno je za vašu prisutnost na internetu. Kiberincindenti kao što je krađa podataka vaših kupaca mogu imati sljedeće negativne utjecaje na vaše poduzeće i imidž:

• gubitak ugleda
• prekidi u poslovanju
• gubitak povjerenja kupaca
• regulatorne sankcije i tužbe.

Kiberincidenti koji utječu na internetske trgovine mogu uključivati:

• krađu podataka kupaca
• izmjene informacija na platformi za e-trgovinu
• gašenje internetskih stranica
• curenje povjerljivih poslovnih informacija.

Vrlo je važno da navedete koje osjetljive informacije imate na svojim stranicama, prije bilo kakve povrede sigurnosti. Trebali biste razmotriti sljedeće:

• Koje su informacije ključne za vaše poduzeće?
• Gdje se nalaze?
• Koliko brzo možete ponovno pokrenuti internetsko poslovanje u slučaju kibernapada?

Trebali biste provesti i potpunu reviziju svojih sustava, imati na umu sve važne komponente i pratiti sve procese. Obavijestite još nekoga u svojoj organizaciji o toj reviziji, ali napominjemo i da bi pristup podatkovnim sustavima trebalo odobravati samo na temelju nužnosti pristupa podacima.

Zaštita informacija na vašim stranicama

Važno je razmisliti o tome kako se ključni aspekti sigurnosti informacija – povjerljivost, cjelovitost i dostupnost – primjenjuju na vaše stranice i usluge te utvrditi potrebne zahtjeve u pogledu razine usluge. Ti zahtjevi mogu se razlikovati ovisno o drugim elementima koje odlučite integrirati.

Ako želite da vaš sustav bude siguran, morate se pobrinuti za zaštitu sljedećih aspekata:

• Povjerljivost: to znači zaštita informacija kao što su brojevi kreditnih/debitnih kartica i drugih osobnih podataka od otkrivanja neovlaštenim stranama. To možete učiniti na sljedeće načine:
  • uspostavom odgovarajućeg mehanizma autentifikacije (kao što su višefaktorska rješenja za autentifikaciju, u kojima korisnik mora potvrditi svoj identitet na dva ili više načina)
  • upotrebom šifriranih veza (HTTPS: sigurnosni protokol SSL) kako bi samo ovlaštene osobe imale pristup osjetljivim informacijama.
• Cjelovitost: to znači zaštititi informacije kako bi ostale točne i pouzdane i kako ih ne bi mogle mijenjati neovlaštene strane. To se može ostvariti na sljedeći način:
  • dnevnim provjerama kako bi se pronašle izmijenjene datoteke
  • predviđanjem sigurnosnog testiranja za vaše internetske stranice i usluge kako bi se izbjegli napadi
  • uspostavom sustava za sprečavanje neovlaštenog ulaska.
• Dostupnost: to znači osigurati da vaše internetske stranice funkcioniraju cijelo vrijeme ako održavate vlastite stranice. To možete učiniti na sljedeće načine:
  • uvođenjem rezervnog energetskog sustava za hitne situacije
  • pomnim održavanjem sve informatičke opreme.

Kako odgovoriti na sigurnosne incidente

Važno je da za slučaj povrede sigurnosti imate pripremljen provediv plan sa specifičnim, konkretnim mjerama i procedurama za postupanje nakon sigurnosnog incidenta. Trebalo bi jasno utvrditi:

• tko ima glavnu odgovornost
• kako stupiti u kontakt s ključnim osobljem
• koje podatke, mreže i usluge treba prvo oporaviti
• koga treba obavijestiti (vlasnike podataka, kupce ili partnerska poduzeća) ako su izloženi njihovi podaci ili podaci koji utječu na njihove mreže.

Ako otkrijete povredu sigurnosti, pratite sljedeće korake:

• obavijestite svoje kupce o tome što se dogodilo kako biste zadržali njihovo povjerenje
• obavijestite i sve relevantne dionike uključene u vašu internetsku trgovinu. Trebali biste imenovati stalnog službenika za informacijske tehnologije za slučaj sigurnosnih problema
• utvrdite uzrok povrede i pripremite dokumentirane dokaze koji bi se eventualno mogli upotrijebiti na sudu
• ako se povreda odnosi na financijske informacije, kao što su podaci o kreditnoj kartici, morate obavijestiti pružatelja usluga koji je zadužen za vaše financijske transakcije.

Trebali biste izraditi i politiku obavješćivanja o povredama podataka, koju možete uključiti u svoju izjavu o zaštiti privatnosti, te biste trebali navesti na koji ćete način i kada obavijestiti svoje kupce u slučaju povrede osobnih podataka. Morate uzeti u obzir i da u skladu s pravilima Opće uredbe o zaštiti podataka (GDPR) imate obvezu o svakoj povredi podataka obavijestiti i nadzorno tijelo za zaštitu podataka.

Na nacionalnoj razini uspostavljeni su timovi za hitne računalne intervencije (CERT), sastavljeni od stručnjaka za sigurnost odgovornih za upravljanje sigurnosnim incidentima (npr. za izvješćivanje i odgovor na sigurnosne prijetnje). Oni vam mogu pružiti informacije o tome što učiniti i kome se obratiti ako ste pod bilo kojom vrstom kibernapada. Osim toga, objavljuju upozorenja o ranjivostima i prijetnjama u vašoj zemlji.

Usklađenost s pravilima o zaštiti podataka

Općom uredbom o zaštiti podataka utvrđene su obveze za poduzeća koja prikupljaju i pohranjuju osobne podatke te upravljaju takvim podacima. Dva su glavna cilja Opće uredbe o zaštiti podataka transparentnost i informiranje javnosti o tome kako se njihovi podaci upotrebljavaju.

Više informacija o općim odredbama GDPR-a i tome kako se primjenjuju na vaše poduzeće pronađite u pododjeljku o zaštiti podataka.

Element vaše internetske trgovine na koji se GDPR najviše odnosi je izjava (ili politika) o zaštiti privatnosti. Ta je izjava javni dokument koji izdaje vaše poduzeće, a u kojem je objašnjeno na koji način obrađujete osobne podatke i kako primjenjujete načela zaštite podataka. Ako se na vašim internetskim stranicama izravno prikupljaju osobni podaci korisnika, izjava o zaštiti privatnosti trebala bi se prikazati čim se takvi podaci počnu prikupljati.

Izjava bi trebala bi biti:

• sažeta, transparentna i razumljiva
• lako dostupna
• prikazana besplatno i pravodobno.

Doznajte što bi trebala sadržavati vaša izjava o privatnosti

• Osobne podatke prikupljate izravno od pojedinačnih korisnika
• Osobne podatke primate od trećih strana

Izjava o zaštiti privatnosti koja se prikazuje na vašoj internetskoj trgovini trebala bi sadržavati sljedeće informacije:

• podatke za kontakt vašeg poduzeća, imenovanog zastupnika i službenika za zaštitu podataka en
• svrhe u koje vaše poduzeće obrađuje osobne podatke korisnika i pravna osnova za tu obradu
• legitimne interese vašeg poduzeća u pogledu obrade osobnih podataka
• sve primatelje podataka korisnika
• prenose li se osobni podaci u zemlju izvan EU-a
• razdoblje zadržavanja podataka
• prava korisnika u odnosu na njihove podatke koji se obrađuju, posebno prava na:
  • povlačenje privole u bilo kojem trenutku
  • podnošenje pritužbe nadzornom tijelu
• pružaju li se osobni podaci korisnika na temelju zakonskih ili ugovornih obveza
• je li uveden sustav automatiziranog donošenja odluka, što uključuje profiliranje podataka (postupak u kojem se već prikupljeni podaci analiziraju iz statističkih razloga).

Izjava o zaštiti privatnosti koja se prikazuje na vašoj internetskoj trgovini trebala bi sadržavati sljedeće informacije:

• podatke za kontakt vašeg poduzeća, imenovanog zastupnika i službenika za zaštitu podataka
• svrhe u koje vaše poduzeće obrađuje osobne podatke korisnika i pravna osnova za tu obradu
• legitimne interese vašeg poduzeća u pogledu obrade osobnih podataka
• sve primatelje podataka korisnika
• prenose li se osobni podaci u zemlju izvan EU-a
• razdoblje zadržavanja podataka
• prava korisnika u odnosu na njihove podatke koji se obrađuju, posebno prava na:
  • povlačenje privole u bilo kojem trenutku
  • podnošenje pritužbe nadzornom tijelu
• kategorije osobnih podataka koje vaše poduzeće prikuplja
• je li uveden sustav automatiziranog donošenja odluka, što uključuje profiliranje podataka.

Izjave o zaštiti privatnosti moraju biti u pisanom obliku i dostaviti se elektronički (ako je primjenjivo), moraju se objaviti u posebnom dijelu vaše internetske stranice (npr. u odjeljku o politici zaštite privatnosti) i mora im se moći pristupiti izravno sa svake stranice ili podstranice.

Više pojedinosti i korisnih savjeta o oblikovanju politike zaštite privatnosti pronađite u praktičnim smjernicama en .