Все статьи

Как защитить базы клиентских данных от краж и утечек

Мы уже рассказали, как собрать базу данных и каких правил нужно придерживаться, чтобы все было по закону. Работая с базой клиентов, бизнес обязан обеспечить сохранность информации от утечек. Как защитить базу клиентов, расскажем в этой статье.

По статистике, в 2021 году виновниками утечек персональных данных в основном становились рядовые сотрудники и хакеры — на их долю приходится 90,5% всех утечек.

Почему и как утекает база потенциальных клиентов

  1. Если говорить о хакерских атаках, проблема чаще всего заключается в том, что на многих сервисах, где регистрируются люди, для хранения данных используют устаревшие или слабые алгоритмы хеширования, а некоторые даже хранят пароли в открытом (текстовом) виде.
  2. Сами пользователи легкомысленно относятся к своим паролям: делают их простыми и короткими.
  3. Данные утекают от сотрудников, которые работают с клиентской базой. Есть 2 сценария потери:
  • По неосторожности или халатности работника. Как это происходит? Сотрудник переслал базу постоянных клиентов со своей корпоративной почты на личную, чтобы поработать дома, или сохранил пароль от базы данных в мессенджере или в документе на своем компьютере. Хакер отправил письмо с вирусом, сотрудник открыл его и тем самым дал доступ к информации на устройстве.
  • По злому умыслу работника. Сотрудники могут открывать свои бизнесы и использовать украденную базу клиентов с предыдущего места работы. Также они могут делать слив клиентской базы третьим лицам в даркнете.

4. Данные клиентов крадут подрядчики. Компании нанимают на аутсорс команды по обработке баз данных, маркетологов, специалистов по рассылке сообщений и т. п. Один из подрядчиков за дополнительную плату способен скопировать базу клиентов у одного заказчика и передать ее конкуренту.

С пользователями и их простыми паролями, вы, как представитель бизнеса, к сожалению, ничего сделать не можете, кроме как добавить напоминалки о важности сложного пароля при регистрации. Уследить за подрядчиками тоже большая проблема. Но вот поработать над безопасностью системы и не дать работникам слить клиентскую базу третьим лицам — способ есть.

Как работать с базой клиентов. Технические требования

Устанавливайте SSL-сертификат. Это простой, но очень действенный способ защитить данные клиентов при использовании сайта. Посетители вашего веб-ресурса оставляют email, номера банковских карт и адреса доставок, которые чаще всего является местом жительства. Защитить эту информацию очень просто — установите SSL-сертификат. Он будет шифровать передаваемые данные и, даже если мошенник перехватит информацию, он не сможет ее прочитать.

На серверы, где хранятся базы данных, устанавливайте фаервол и антивирус. Также не забывайте про устройства сотрудников.

Шифруйте важные папки и файлы. Для лучшей защиты установите корпоративный VPN.

Своевременно обновляйте ПО и операционные системы. Обновления для программ выпускаются не только для расширения функционала, но и для улучшения защиты. Мошенники ищут уязвимости, чтобы взламывать устройства. Разработчики стараются следить за взломами и выпускают обновления с исправленными проблемами.

Для сотрудников, которые занимаются коммуникациями с клиентами, используйте программы, например CRM-систему. Таким образом, вы сможете ограничить доступ к базе клиентов: ей будут пользоваться только профильные отделы. К тому же у каждого менеджера может быть собственная папка с данными своих клиентов. Так, у каждого отдельного менеджера будет мало информации.

Если вы ведете бизнес в России, не забывайте, что серверы, на которые собираются персональные данные граждан РФ, должны физически быть размещены в России (Статья 18 Закона «О персональных данных»).

Требования к сотрудникам

Перед тем как мы перейдем к способам предотвращения утечек из-за работников, хочется сказать сразу, что нужно организовать процесс продаж и продвижения так, чтобы клиент привязывался к бренду, а не к конкретному менеджеру. Подключайте к общению с клиентом на разных стадиях покупки разных специалистов. Вовлекайте клиентов в онлайн или офлайн-мероприятия. Не забывайте про программы лояльности, скидки на повторные заказы и бонусы. Клиент не захочет уходить к конкуренту, если вы предлагаете привлекательные условия за преданность бренду. А теперь к непосредственным методам защиты клиентской базы.

Инструктируйте своих сотрудников

Пусть ставят пароли и хранят их в защищенных менеджерах паролей, а не на бумажках, в сообщениях мессенджеров или менеджерах паролей в браузерах (легко воруются XSS-атакой)

Ноутбуки, внешние диски, флешки лучше не оставлять без присмотра, а стационарный компьютер должен находиться в кабинете, где есть круглосуточная охрана.

Если пароль всё-таки был отправлен в мессенджере, сотрудник должен как можно скорее удалить его оттуда. Но лучше вообще так не делать.

Рассказывайте работникам о современных видах взлома. Они должны знать, что не стоит скачивать программы, видео, музыку и иллюстрации с сомнительных ресурсов. Кроме того, рассказывайте про фишинговые сайты, сомнительные ссылки в электронных письмах и других уловках мошенников. Кто знает, на что может клюнуть ваш сотрудник.

Создавайте такие условия, чтобы при уходе сотрудник не уносил базу с собой

Обиженный сотрудник ― потенциальный вор данных. Вы даже можете не заметить, как часть данных была украдена и клиенты перешли к конкуренту.

Поэтому важно поддерживать с сотрудниками доброжелательные отношения. Конечно, это на 100% не застрахует вас от слива базы клиентов, но риск значительно снизится.

Мониторьте рынок труда и давайте своим сотрудникам достойную зарплату. Если заработная плата низкая, вашего работника легко переманить в другую компанию. Узнав ситуацию на рынке, раздосадованный человек из мести вполне может украсть пару табличек с персональными данными. Что он будет делать с этим документом и как на такой поступок отреагирует новый работодатель, неизвестно, но вы явно пострадаете. Кроме того, низкая зарплата может заставить сотрудника «подрабатывать» другими способами: продавать базы клиентов третьим лицам или продавать свои товары.

Следите за результативностью всех менеджеров продаж. Это поможет не только видеть и награждать эффективных сотрудников, но и поможет вычислить злоумышленника. Если заработок менеджера сильно меньше остальных и очевидных причин таких показателей нет, возможно, менеджер ведет дела с конкурентами или завел собственный бизнес. То есть от вашей организации ему нужны только клиентские данные и он не стремится развивать ваш бизнес.

Создайте специальные документы и ознакомьте с ними работников

Политика обработки персональных данных. Это необходимый документ на любом сайте. Он предназначен для посетителей сайта. Его задача — объяснить клиентам что, как и для чего собираются персональные данные, а также как они хранятся и защищаются. Для работников это тоже документ-помощник. Прочитав его, они будут проинструктированы о правилах работы с данными клиентов.

Положение об обработке и обеспечении безопасности персональных данных. Это внутренний документ компании и доступен только сотрудникам. В нем можно более подробно описать требования к использованию данных клиентов. В рамках Статьи 22 ТК РФ работодатель обязан информировать своих сотрудников о правилах обработки персональных данных. Для подтверждения ознакомления достаточно собрать подписи в специальный журнал. Форма этого журнала не установлена. Хватит ФИО, даты ознакомления и подписи.

Назначьте ответственного за управление базой данных клиентов (Статья 22.1 Закона «О персональных данных»). Им может быть юрист или IT-специалист внутри компании.

Добавьте в трудовой договор раздел о конфиденциальности. Отнесите к конфиденциальной информации персональные данные других работников, партнеров компании и клиентов. Работник должен понимать, что лично несет ответственность за данные клиентов, с которыми работает.

Что делать, если украли базу клиентов

Если всё-таки украли клиентскую базу:

  1. Уведомьте Роскомнадзор об утечке.
  2. Найдите виновника и выясните, что украли.
  3. Узнайте, куда утекла информация, и пресеките распространение.
  4. Работайте со СМИ.

Подробнее о действиях, которая должна сделать компания при обнаружении утечки персональных данных, мы рассказывали в нашей предыдущей статье «Как бизнесу работать с персональными данными пользователей». Заранее продумывайте все способы защиты персональной информации, чтобы не получить штраф.

13.03.2023
Следующая
© 2DOMAINS — регистрация доменов
Политика обработки персональных данных
Тех.поддержка: support@2domains.ru
Указанные на сайте цены могут не включать стоимость применимых комиссий.
При заказе услуги стоимость может быть уточнена исполнителем.