×
Россия +7 (495) 139-20-33

Безопасный отдел продаж. Как сохранить конфиденциальность данных

Россия +7 (495) 139-20-33
Шрифт:
0 3384
Подпишитесь на нас в Telegram

Информация о клиентах помогает выстраивать коммуникацию с аудиторией и расти в прибыли. Но без надежной защиты становится «оружием» в руках мошенников, ставя под угрозу личные данные покупателей и репутацию компании. Как защитить персональные данные клиентов и не допустить утечки информации? Рассказывает команда Grizzly Digital Company.  

Почему важно защищать персональные данные? 

Под персональными данными (ПД) мы понимаем любую информацию, с помощью которой можно идентифицировать личность человека. Компании собирают ПД в маркетинговых целях – чтобы удержать покупателя, повысить качество обслуживания и нарастить объемы продаж. 

Зная персональные сведения о клиенте, вы поддерживаете связь в удобном для него канале: приветствуете в чат-боте, напоминаете о брошенной корзине в push-уведомлениях, присылаете персонализированные акции по SMS. Чтобы усовершенствовать воронку продаж, можно автоматизировать ее, объединив все каналы с CRM-системой. 

Всесторонняя работа с клиентской базой помогает развивать бизнес. Например, позволяет создавать релевантные предложения и искать слабые места в воронке. Однако для составления профиля клиента важно получить его добровольное согласие на обработку ПД и хранить секретность информации под семью замками. Даже если пользователь регистрируется в вашем приложении для заказа пиццы.  

Конфиденциальность данных

В мировой практике известно немало случаев, когда личные данные пользователей «утекали» в интернет. В результате учащались эпизоды мошенничества в соцсетях, кражи личных данных и заражения компьютеров вирусами. Преступнику достаточно получить доступ к базе одной компании, чтобы завладеть банковскими данными тысячи клиентов и вывести средства со счетов. 

Самые ухищренные представляются сотрудниками банков и пытаются войти в доверие, зная лишь ФИО, адрес проживания и место работы жертвы. Также в последние годы участилась продажа баз с контактными данными. Говоря простым языком, любой предприниматель может купить информацию о потенциальной ЦА и использовать ее для рекламы услуг. Такие действия тоже считаются незаконными. 

Чем опасна утечка данных? Объясняем на примерах 

Часто утечки ПД происходят по халатности рядового персонала и руководителей. А также по вине хакеров или недобросовестных конкурентов.  

В 2018 году в рунете появились скриншоты со сведениями покупателей из CRM-системы Ozon, включая номера, ID, суммы заказов и более 450 000 логинов email. Маркетплейс объяснил утечку недобросовестностью сотрудника: скриншоты содержали переписку от лица одного и того же специалиста. Правда, после инцидента СМИ опубликовали фрагмент рабочего чата, который доказывал: пароли заказчиков хранились в незашифрованном виде.  

Компания не уведомила клиентов о произошедшем, чем вызвала больший интерес у контролирующих служб. Однако история закончилась для Ozon благополучно: тогда к теме безопасности данных относились не так серьезно, и суд решил не назначать штраф. 

Многие помнят недавний случай с «Яндекс Едой». 1 марта 2022 года клиенты узнали, что в Сеть попали их номера телефонов и детали заказов за последние 6 месяцев – на более 58 000 адресов.  

Отметим, что компания сама сообщила клиентам о случившемся, ссылаясь на «недобросовестные действия» сотрудника. Несмотря на это, несколько пользователей подали коллективный иск, требуя по 100 000 рублей компенсации каждому, что является максимальным наказанием. Позже московский суд обязал компанию выплатить штраф в размере 60 000 рублей.  

Конфиденциальность данных

Еще неприятнее, когда в общий доступ «утекают» данные клиентов лабораторий и клиник. Так, весной 2022 года в даркнет попали личные сведения 30 млн пациентов сети лабораторий «Гемотест» – объемом на 300 гигабайт. Причина – хакерская атака базы. Позднее в СМИ заговорили о продаже украденной информации третьим лицам. 

Лаборатория заявила, что обнаружила взлом еще 22 апреля и инициировала внутреннюю проверку. Спустя почти три месяца суд назначил штраф – 60 000 рублей. Наверняка для крупной сети, входящей в топ-5 лабораторий России, сумма не сильно ударила по бюджету. Более критичным оказалось потерять доверие клиентов. 

Как отреагировало законодательство? Для пресечения повторных рисков Минцифры ускорила согласование законопроекта, который предусматривал оборотный штраф в размере 1% за утечку информации и 3%, если допустившая ситуацию компания скрыла инцидент.  

Как обстоят дела с этим в Беларуси? 

В Беларуси не так много громких эпизодов с утечкой данных, но они все-таки есть. Вспомним историю сети «Соседи»: в июле 2022 года в свободный доступ попали email и мобильные номера 634 000 пользователей сайта. Компания обратилась в правоохранительные органы и разослала покупателям электронные письма с извинениями, заверив: слив не коснулся имен и паролей к личным кабинетам.  

Позже сеть ужесточила защитные мероприятия и уволила нескольких сотрудников, имевших доступ к информации о покупателях. В качестве дополнительной меры внедрила авторизацию через SMS-пароль. 

Напомним, процесс управления клиентскими данными в РБ регулирует Закон «О защите персональных данных» от 7 мая 2021 года. Согласно ему, юрлица обязаны соблюдать требования при работе с информацией о клиентах:  

  • Запрашивать согласие на обработку в письменной или электронной форме (электронный документ, отметка на сайте, получение письма на email). 
  • Прозрачно указывать цели и сроки соглашения, а также перечень действий и самих данных, необходимых компании.
  • Обрабатывать ПД только в необходимом объеме и в соответствии с заявленными целями.
  • Обеспечивать безопасность сведений на всех этапах обработки. 
  • При изменении первоначально заявленных целей повторно получать согласие на обработку. 

Важно учесть, что клиент вправе отозвать свое согласие в любой момент и без объяснения причин. В таком случае предприниматель обязан удалить информацию о потребителе в течение 15 дней (с момента получения заявления) и уведомить клиента об этом.  

Незаконная обработка данных или нарушение правил их защиты влечет штраф до 200 базовых величин (6400 BYN по состоянию на 2022 год).  

Информационная безопасность: как защитить данные клиентов? 

По прогнозам Risk Based Security, в ближайшие 4–5 лет затраты на борьбу с киберпреступностью будут ежегодно расти на 15%. Обезопасить бизнес в 2022 году можно десятками способов. Рассмотрим основные из них. 

Запрашивайте согласие. Получайте от клиентов разрешение на сбор, хранение и обработку сведений. Если на сайте оставляют email (чтобы получить сообщение о статусе заказа), то удалите информацию после доставки. Если дальше хотите уведомлять покупателя о новинках, укажите срок хранения почты и спросите разрешение на рассылку. 

Создавайте внутренние инструкции. Часто рядовые сотрудники «сливают» ПД по неосторожности: забывают внутренние правила компании или не знают законов. В ваших интересах прописать инструкции, собрать подписи об ознакомлении и регулярно проводить ликбез по информационной безопасности. Не забудьте про NDA – договор о неразглашении конфиденциальной информации.  

Используйте надежную CRM. В хорошую систему заложен набор инструментов по защите данных. Причем каждая CRM предлагает свои решения: двухфакторную авторизацию, работу с определенного IP или разделение прав, при котором только доверенные лица получают доступ к ключевым клиентам. Не знаете, какую «црмку» выбрать, спросите у коллег по бизнесу, что используют они. 

Составляйте модель угроз. Разработайте методичку с возможными рисками системы безопасности. Документ включает факторы, которые могут привести к нарушению приватности, доступности или целостности данных. Так вы поймете, как предотвратить утечки и какие каналы нужно подстраховать. Например, банковские данные и сведения о здоровье следует защищать более серьезно, чем просто имя клиента.  

Защищайте сайт SSL-сертификатом. Клиент хочет быть уверенным, что сведения о нем останутся в безопасности. Если присутствует стандарт шифрования, то пользователь увидит значок закрытого замка в поле браузера и поймет: такому сайту можно доверять.  

Храните базу на проверенном хостинге. Крупные провайдеры имеют достаточный опыт для надежного хранения информации: их серверы сосредоточены в дата-центрах и защищены от отключения питания. Пользуясь услугой хостинга, вы получаете сертификат SSL, оберегаете себя от DDoS-атак и взломов. А также можете восстановить сайт из копии, если заражение все-таки произошло.  

Используйте СЗИ. Средства защиты информации – это аппаратные комплексы и антивирусные ПО, которые оберегают коммерческую сеть от вредоносного проникновения извне и предупреждают утечки. Если у компании есть техническая база, но вы не понимаете, как наладить ее работу, закажите аттестацию СЗИ.  

Чего не стоит делать?  

  • Разглашать ПД третьим лицам без согласия потребителя. Однако сведения можно передавать контролирующим органам, контрагентам и партнерам, которые обрабатывают данные по договору.  
  • Хранить сведения в любых базах, если клиент отозвал согласие. В случае, если по каким-либо причинам удалить сведения невозможно, по закону РБ достаточно прекратить их обработку. 
  • Объединять базы, содержащие ПД для разных целей. Например, номер телефона для звонков нельзя использовать в целях почтовой рассылки – это облагается штрафом. 

В спорных случаях обратитесь к юристу по информационной безопасности. Специалист в деталях расскажет, что предусмотреть, чтобы не «влететь на штраф». А внедрить техническую составляющую – установить хедер Set-Cookie или защитить сайт от XSS-атак – поможет команда разработчиков, которая занимается вашим сайтом.  

Сбор cookie на сайте

Какой делаем вывод? 

В утечке данных приятного мало – как для клиента, так и для компании. Но и обвинять в коварных умыслах предпринимателей не стоит. Онлайн-пространство быстро развивается и подсвечивает новые проблемы, решение которых мы обязательно находим. Главное понимать, что обеспечение приватности – не одноразовое мероприятие. 

Защищайте данные постоянно. Да, это требует вашего усердия, но никакие вложения в безопасность не сравнятся с последствиями утечки в виде штрафов, проверок и потери доверия со стороны клиентов. Если после прочтения статьи закралось сомнение насчет защищенности данных, пройдите аттестацию. Процедуру можно заказать у хостинг-провайдера: он проверит вашу систему, выявит риски утечек и решит технические проблемы.

Друзья, теперь вы можете поддержать SEOnews https://pay.cloudtips.ru/p/8828f772
Ваши донаты помогут нам развивать издание и дальше радовать вас полезным контентом.

Есть о чем рассказать? Тогда присылайте свои материалы Марине Ибушевой


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Альманах фатальных ошибок b2b-сайта: как владельцы бизнеса обрекают сайты на бесславное существование. Часть первая
Сергей Ерофеев
3
комментария
0
читателей
Полный профиль
Сергей Ерофеев - Спасибо за комментарий! Вы правы, если за CMS следит заинтересованный профессионал - риски минимальны. Но мы же с вами понимаем, что: а) Не каждый разработчик делает все, как "для себя". б) После создания сайта разработчик редко остается на проекте в) Часто разработчик не является маркетологом. В этом случае принцип "функционал работает и этого достаточно" может быть на первом месте. Мы тоже видели большое количество хороших и качественных проектов на бесплатных CMS, но проблемных проектов мы видели сильно больше. Просто статистика.
Белые и серые методы продвижения. Тренды 2023
sarges
2
комментария
0
читателей
Полный профиль
sarges - Нужно учитывать и тот факт, что со временем методы продвижения меняются и необходимо подстраиваться под новые реалии. Посоветую заглянуть на zenlink.ru/blog/kak-izmenilsja-internet-marketing-za-10-let и почитать статью, там рассказывается о том, как изменился интернет-маркетинг за последние 10 лет, какие сейчас тенденции и какие прогнозы в этой сфере.
Почему сайтам нужно переезжать с конструкторов на полноценные CMS
Seodm.ru
3
комментария
0
читателей
Полный профиль
Seodm.ru - Ааа по мне, сам seo специалист, вероятность внедрения необходимого контента на тильда того же блока этапом работы или преимуществ, намного выше чем на движке. А что тильда что движок малый бизнес норм продвигается особо супер разработки не требуется
Как мы увеличили для клиента трафик из поиска в 7 раз. Кейс
Кирилл Половников
2
комментария
0
читателей
Полный профиль
Кирилл Половников - Оба этих статуса (редирект и малополезная) преобладали в качестве проблем с индексацией. Помогла работа с .htaccess (в нем были ошибки и его чистили), работа над корректировкой редиректов, каноникалами и прочими техническими ошибками. Нельзя сказать, что только редиректы были ключевым препятствием.
Как показывать рекламу посетителям сайтов конкурентов
Павел
2
комментария
0
читателей
Полный профиль
Павел - Спасибо за комментарий. Гипотеза была в том, что с указанными счетчиками конкурентов показы будут не просто похожей аудитории их сайтов (как при рекламе по доменам), а именно на аудиторию которую Яндекс для себя разметил как целевая дл сайтов конкурентов. Важно, это гипотеза. А про белые нитки, как говорится, доверяй, но проверяй))
Как автоматизировать мессенджеры для бизнеса в CRM-системе
Алиналина
1
комментарий
0
читателей
Полный профиль
Алиналина - Кстати да. Но мы зарегались, CRMка реально интересная
Чек-лист: как настроить рекламу в Яндекс Директе и избежать ошибок
Сергей Ильин
2
комментария
0
читателей
Полный профиль
Сергей Ильин - я ваще не туда написал
Кейс MediaNation: увеличили еженедельный трафик автомобильной компании на 50% за год и вышли в топ поиска по 300 запросам
Игорь Скляр
1
комментарий
0
читателей
Полный профиль
Игорь Скляр - Действительно, изначально рост был именно по информационным запросам. Но рост позиций и трафика по информационным запросам положительно повлиял и на связанные позиции по коммерческим запросам и сдвинул видимость с мёртвой точки
Как продвигать интернет-магазин в поисковой выдаче, если она забита маркетплейсами
Олег
1
комментарий
0
читателей
Полный профиль
Олег - Так как все-таки продвигать?)
Как попасть в топ-10 Яндекса и Google при продвижении сайта на регион Молдовы
Гость
9
комментариев
0
читателей
Полный профиль
Гость - "В первое время наши работы продолжали давать результат (сайт несколько месяцев рос), а потом начал постепенно терять позиции. По этой причине заказчик решил возобновить сотрудничество и вернулся в июле 2022. Мы еще ведем работы по восстановлению утраченных результатов." Хитрожопый клиент.
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
385
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
116
Комментариев
100
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
80
Комментариев
77
Комментариев
74
Комментариев
67
Комментариев
64
Комментариев
60
Комментариев
59

Отправьте отзыв!
Отправьте отзыв!