Как да защитите вашите онлайн клиенти от кражба на самоличност: 15 стъпки

2023 Автор: Virginia Parson | [email protected]. Последно модифициран: 2023-08-03 17:52

Ако управлявате сайт за електронна търговия, защитата на личните данни на клиентите ви вероятно е една от основните ви грижи. Нарушенията и хакове на данни могат да бъдат опустошителни, особено за малкия бизнес. За да защитите онлайн клиентите си от кражба на самоличност, имате нужда от приложения и технологии, които да държат хакерите и крадците на самоличност далеч от вашите файлове. Също така трябва да се уверите, че не съхранявате информация за клиенти, която не е абсолютно необходима за извършване на вашия бизнес.

Стъпки

Част 1 от 3: Избягване на ненужно излагане

Стъпка 1. Създайте писмена политика за поверителност

За повечето онлайн предприятия писмените политики за поверителност не се изискват от закона, но все пак е добра бизнес практика да имате такава и да я следвате. Вашата политика за поверителност обяснява на клиентите ви каква лична информация събирате от тях и как я използвате.

• Съгласно федералното законодателство може да се наложи да имате политика за поверителност на клиентите си в някои ситуации, например ако събирате информация от или за деца.
• Въпреки това, дори ако законът не изисква да имате политика за поверителност, все пак е добра идея да я създадете, да я направите достъпна за клиентите си и да я следвате стриктно.
• Можете да търсите онлайн за прости и безплатни генератори на политика за поверителност, които можете да използвате, за да създадете своя собствена политика.
• Като цяло трябва да включите информация за това как използвате бисквитките на уебсайта си, като например да съхранявате предпочитанията на потребителите си или да поддържате информация за артикули, които са поставили в количките си за пазаруване.
• Посочете, че събраната информация ще се използва само за завършване на транзакцията на клиента и няма да се използва за други цели без съгласието на клиента.
• Предоставете информация за контакт, така че клиентите да могат да подадат жалба до съответното лице във вашата компания, ако подозират, че е нарушена политиката за поверителност или имат въпроси относно начина, по който се събират и използват техните данни.
• Ако използвате трета страна за вашите колички за пазаруване, проверете техните политики, за да се уверите, че вашата политика отразява точно начина, по който те събират и използват информация.

Стъпка 2. Разберете каква информация се съхранява във вашата система и къде

За да защитите адекватно вашите онлайн клиенти, трябва да знаете каква информация се съхранява във вашите системи и къде се намира тази информация.

• Имайте предвид, че не можете да защитите информацията, ако не знаете къде се намира тя. Цялата чувствителна информация трябва да бъде запазена и архивирана в същата област.
• Информацията за клиента не трябва да се записва на множество места, например на компютъра на служител и на вашия сървър. Тя трябва да бъде записана на едно място и достъпна само от това място.

Стъпка 3. Избягвайте да съхранявате потребителски профили, освен ако нямате защитена система

Много клиенти намират за удобно да създават потребителски профили и да запазват техните адреси и информация за плащане, така че да не се налага да ги въвеждат всеки път.

• Избягвайте обаче да предлагате на своите клиенти тази възможност, ако не можете да защитите информацията в тези профили.
• Имайте предвид, че когато клиент създава профил, цялата тази информация е потенциално достъпна за крадците на самоличност. Лошото в потребителския профил е, че той може да съдържа цялата информация, необходима за кражба на самоличността им на едно и също място.

Стъпка 4. Никога не изисквайте информация, която не е необходима за извършване на вашата транзакция

Колкото повече лична информация на вашия клиент съхранявате в собствената си система, толкова повече тази информация е потенциално изложена на хакери, оставяйки клиентите ви уязвими за кражба на самоличност.

• Можете да ограничите експозицията на клиентите си, като не съхранявате повече информация, отколкото е абсолютно необходимо.
• Например, ако просто управлявате онлайн магазин за търговия на дребно или подобен, никога не трябва да изисквате каквато и да е част от номера за социално осигуряване или шофьорска книжка на вашите клиенти. Тази информация не е необходима за извършване на продажба и е изключително чувствителна лична информация.

Стъпка 5. Използвайте свой собствен специализиран сървър

Използването на сървър, споделен от други компании, може да изглежда като добър начин да спестите пари, но колкото повече хора имат достъп до сървъра, където се съхранява информация, толкова повече потенциални точки за достъп има до информацията на вашите клиенти.

• Ако отдавате под наем сървърно пространство, вместо да управлявате свои собствени сървъри, вие се отказвате от възможността да защитите тези сървъри и да наблюдавате достъпа до тях.
• Може да успеете да сключите договор с компания, която осигурява първокласна сигурност за сървърите, които те отдават под наем. Ако не можете да поддържате собствените си сървъри, направете сигурността приоритет, когато пазарувате сървърно пространство.
• Уверете се, че разбирате как се осъществява достъп до информацията в сървърите и как трафикът на сървъра се следи за неоторизиран достъп.
• Ако поддържате свои собствени сървъри, може да искате да сключите договор с услуга за наблюдение на сигурността. Много доставчици на интернет услуги също ще осигурят сигурност за вашите сървъри срещу допълнително заплащане.

Стъпка 6. Приемете SSL криптиране във вашия онлайн магазин

Най-силният метод за избягване на ненужно излагане на личната информация на клиентите ви е да надстроите уебсайта си за електронна търговия, така че да можете да активирате по-сигурната технология за шифроване на SSL.

• Когато даден уебсайт е шифрован, той отива на „https“, а не на „http“.
• Като цяло имате избор дали да шифровате само процеса на плащане или да шифровате целия си онлайн магазин.
• Обикновено искате да изберете да шифровате целия магазин, ако дадете възможност на клиентите си да създават свои собствени профили и да влизат, за да имат достъп до предпочитанията си за пазаруване.
• Ако не предоставяте на клиентите опцията за профил, можете да изберете само системата за плащане да бъде шифрована.
• Някои услуги, които ви помагат да настроите онлайн магазин, ви предлагат опцията за криптиране. Ако използвате някоя от тези услуги за електронна търговия, обикновено всичко, което трябва да направите, е да проверите опцията за активиране на SSL сертификати на вашия уебсайт.

Част 2 от 3: Ограничаване на достъпа до системи

Стъпка 1. Поддържайте защитна стена за компютърната мрежа и сървърите на вашия бизнес

Силната защитна стена предотвратява достъпа на хакери до вашата система и може да бъде активирана като част от мрежовата конфигурация на повечето компютри.

• Ако имате безжичен интернет във вашия бизнес, обикновено можете да конфигурирате защитната стена във вашия рутер. Това осигурява вашата мрежа и означава, че тя не остава отворена за всеки, който случайно мине и намери сигнала.
• Софтуерът за конфигуриране на вашия рутер ще ви преведе през стъпките за настройка на вашата защитна стена и правилата, които ще следва. Например, можете да го инструктирате да не допуска никакъв интернет трафик, който не е изрично поискан от компютър в мрежата.
• След като вашата мрежа е защитена, служителите ще се нуждаят от парола за достъп до вашата безжична мрежа.

Стъпка 2. Абонирайте се за услуга за антивирусен софтуер

Антивирусният софтуер добавя допълнителен слой защита извън вашата защитна стена. Ако някой наруши защитната ви стена, антивирусният софтуер може да идентифицира и унищожи зловреден софтуер и други вируси, които могат да бъдат заредени във вашата мрежа и използвани за кражба на клиентски данни.

• Можете да се абонирате за антивирусна защита чрез някои компании, които предлагат антивирусен „софтуер като услуга“. Най -голямата полза от това е, че никога не трябва да се притеснявате за надграждане до най -новата версия - надстройките обикновено се включват и изтеглят автоматично, когато имате абонамент.
• Най -добрият начин да гарантирате, че системите ви за сигурност са актуални, е да поставите отметка в квадратчето в настройките на софтуера, за да разрешите автоматично изтегляне на актуализации.
• Ако можете да планирате автоматично изтегляне, помислете дали да не се изпълняват посред нощ, когато хората няма да работят.

Стъпка 3. Обучете служителите по компютърна и интернет безопасност

Всички ваши служители, които трябва да имат достъп до частни клиентски данни като част от работата си, трябва да имат редовно, актуално обучение за това как да се избегнат потенциални рискове за сигурността.

• Имайте предвид, че всичките ви антивирусни и други защитни мерки са толкова силни, колкото хората, които работят във вашата система ежедневно.
• Някои компании за защита на данните и антивирусни програми предлагат програми за обучение, които предоставят информация за това как да работите безопасно в интернет.
• Имате писмени правила за използване на компютър и интернет по време на работа, които вашите служители трябва да спазват, и да ги прилагат.
• Можете също така да обучите служителите си да разпознават и незабавно да изтриват всички злонамерени имейли или опити за фишинг, които може да са успели да преминат през филтрите за спам на имейла ви.

Стъпка 4. Създайте защитени пароли

Един от най -лесните начини хакерите да влязат във вашата система и да откраднат данните на клиентите е да разбият паролата на служител. Използвайте сложни пароли и ги променяйте редовно, за да премахнете този метод на достъп.

• Като цяло всичките ви пароли трябва да са с дължина поне 16 знака. Използвайте комбинация от цифри, символи и главни и малки букви, за да направите паролите трудни за отгатване.
• Избягвайте да използвате имена или друга информация за самоличност като потребителско име или парола.
• Например, използването на първото начално и фамилно име на всеки служител като потребителско име е лесно да се отгатне. Ако имейл адресите на вашите служители са настроени по подобен начин, хакер може лесно да отгатне потребителското име и да започне процеса на промяна на паролата, без да се налага да я познава.
• Може да помислите за използване на генератор на пароли, достъпен онлайн. Много от тези услуги също ще оценят силата на всяка парола, която създадете.
• Помислете за добавяне на процес на проверка в две стъпки или активиране на този процес за основни акаунти с други доставчици на услуги. Този процес означава, че дори ако някой знае паролата за вашия акаунт, той също трябва да въведе код, изпратен на телефона ви за достъп до акаунта.
• Проверката в две стъпки е от съществено значение, ако имате запазени пароли на компютри.
• Всеки път, когато служител напусне вашата компания, трябва незабавно да промените всички пароли, до които това лице е имало достъп, и да деактивирате всички пароли или потребителски профили, които са уникални за тях.

Стъпка 5. Сканирайте и одобрете всички устройства

Потребителите могат без да искат да въведат зловреден софтуер, като свържат устройство към вашата мрежа, което няма актуална антивирусна защита. За да предотвратите това, проверете всяко устройство преди въвеждането му и помислете за забрана на служителите да свързват личните си устройства към мрежата.

• Ако има някакви устройства, които редовно използвате за достъп до вашата бизнес мрежа, като например вашия личен лаптоп или друго мобилно устройство, имат същите настройки за сигурност на тези устройства, както и на бизнес компютрите.
• Активирайте криптиране на всички устройства, които могат да се използват за достъп до чувствителна информация за клиентите.
• Ако разрешите на служителите да работят от вкъщи, уверете се, че всички компютри или устройства, които ще използват за достъп до системата, са толкова защитени, колкото компютрите в офиса. Осигурете на служителите си от работа от дома списък с задачи, които трябва да изпълнят, за да сте сигурни, че компютрите им са защитени.

Част 3 от 3: Поддържане на сигурността на чувствителните данни

Стъпка 1. Използвайте виртуална частна мрежа (VPN) и криптиране

VPN осигурява повишена сигурност за вашата мрежа, докато криптирането защитава данните, които предавате или съхранявате, правейки ги безполезни, дори ако попаднат в неподходящи ръце.

• Използването на VPN е особено важно, ако имате служители, работещи от разстояние, тъй като влизането в VPN е също толкова сигурно, колкото и физическата, свързана с кабел мрежа.
• VPN също ви позволява да поддържате защитена мрежа, докато използвате обществена WiFi или други интернет мрежи, които може да не са подходящо защитени за достъп или предаване на чувствителни данни на клиенти.
• Има няколко различни мрежови протокола, от които можете да изберете да настроите своя VPN. Консултирайте се с експерт по компютърни мрежи, за да разберете кой протокол би бил най -подходящ за вашия бизнес.

Стъпка 2. Ограничете достъпа до чувствителни данни

Без значение колко служители имате, никой не трябва да има достъп до личната информация на вашите клиенти, освен ако не им е абсолютно необходима, за да си вършат работата. Колкото по -малко хора имат достъп до тази информация, толкова по -сигурна е информацията.

• Създайте политика за управление на писмени записи и се уверете, че всеки от вашите служители го знае и разбира.
• Ако някои служители нямат нужда от частна клиентска информация като част от служебните си задължения, те не трябва да имат достъп до тази информация.
• Когато настроите мрежови профили за всеки служител, ще имате възможност да им дадете достъп до различни части на мрежата. Избягвайте създаването на множество „администраторски“акаунти - дайте на служителите абсолютния минимум достъп, от който се нуждаят, за да си вършат работата.

Стъпка 3. Изтрийте напълно личната информация

Съгласно федералното правило за разпореждане с Закона за справедливи и точни кредитни транзакции (FACTA), всяка информация, събрана за завършване на кредитна транзакция, трябва да бъде напълно и окончателно унищожена.

• Въпреки че правилото FACTA първоначално е било приложено за справяне с изхвърлянето на хартиени записи и документи, то се прилага и за всяка събрана електронна информация.
• Простото щракване върху бутона за изтриване не изтрива напълно файла във вашата система и няма да съответства на правилата за изхвърляне на FACTA.
• Можете да закупите софтуер за изтриване на файлове, който изтрива напълно и завинаги чувствителните файлове, или можете да изтеглите безплатна програма за изтриване на файлове като Free Eraser или File Shredder.

Стъпка 4. Проверете дали вашият уебсайт е съвместим с PCI

Съветът по стандарти за сигурност на PCI поддържа и популяризира стандартите за сигурност на индустрията на платежни карти, които осигуряват минимални технически изисквания за всеки бизнес, който приема дебитни или кредитни карти като начини на плащане.

• Малките предприятия обикновено ще бъдат класифицирани като търговци от ниво 3 или ниво 4 за целите на спазването на PCI.
• Търговците от ниво 4 обработват по-малко от 20 000 транзакции с електронна търговия Visa годишно, докато търговци от ниво 3 обработват между 20 000 и един милион такива транзакции.
• Ако вашият бизнес е на едно от тези нива, трябва да изтеглите и попълните съответния въпросник за самооценка и да завършите сканиране на уязвимости.
• За да изтеглите въпросници и да намерите информация за одобрени доставчици на сканиране, посетете уеб сайта на PCI на адрес pcisecuritystandards.org.