Сигурност на уебсайтовете

Разработването и поддръжката на вашия уебсайт е важна част от вашето онлайн присъствие. Инцидентите, свързани с киберсигурността, като например кражбите на данни на вашите клиенти, могат да окажат силно въздействие върху вашето предприятие или марка на няколко равнища:

  • загуба на репутация на марката;
  • прекъсване на вашите услуги;
  • загуба на доверие от страна на вашите клиенти;
  • регулаторни санкции и съдебни дела.

Инцидентите, свързани с киберсигурността, които засягат онлайн магазините, могат да включват:

  • кражба на данни на клиенти;
  • промяна на информация на платформата за електронна търговия;
  • затваряне на уебсайта;
  • изтичане на поверителна търговска информация.

Много е важно също така да отбележите каква чувствителна информация има на вашия сайт, преди всяко нарушение на сигурността. Обърнете внимание на следното:

  • Кои данни са от решаващо значение за вашия бизнес?
  • Къде се съхраняват те?
  • Колко бързо могат да бъдат възстановени, ако бъдат откраднати при кибератака?

Трябва също да извършите пълен одит на вашите системи, да отбележите най-важните компоненти и да следите всичко. Уверете се, че не сте единственото лице във вашата организация, което знае за този одит, но не забравяйте също така, че достъпът до всички системи за данни следва да се предоставя само въз основа на принципа „необходимост да се знае".

Защита на информацията на вашия уебсайт

Важно е да обмислите как основните аспекти на информационната сигурност — поверителност, неприкосновеност и наличност — се прилагат за вашия уебсайт и услуги и да определите необходимите изисквания за нивото на обслужване. Имайте предвид, че тези изисквания може да са различни в зависимост от компонентите на вашия уебсайт.

Ако искате системата ви да бъде сигурна, трябва да се уверите, че са защитени следните елементи:

  • Поверителност : номерата на кредитни/дебитни карти и други лични данни са защитени от разкриване на неупълномощени лица. Можете да направите това, като:
    • създадете подходящ механизъм за автентификация (например многофакторна автентификация, при която потребителите трябва да удостоверят самоличността си по 2 или повече начина);
    • използвате криптирани връзки (HTTPS; SSL Security protocol), за да гарантирате, че само упълномощени лица имат достъп до чувствителна информация.
  • Неприкосновеност : информацията остава точна и надеждна, тъй като е защитена от промени от страна на неупълномощени лица. Това може да се постигне чрез:
    • извършване на ежедневна проверка за изменени файлове;
    • планиране на тестове за сигурността на вашия уебсайт и услуги, за да се избегнат атаки;
    • създаване на система за предотвратяване на проникването.
  • Наличност : уебсайтът ви функционира през цялото време, ако хоствате ваш собствен уебсайт. Това може да се гарантира чрез:
    • внедряване на аварийна система за резервно захранване;
    • строга поддръжка на целия хардуер.

Как да реагирате при инциденти, свързани със сигурността

В случай на нарушение на сигурността е важно да имате план за действие с конкретни мерки и процедури. Процедурите следва предоставят отговор на въпросите:

  • кой носи отговорност като ръководител;
  • как да се свържете с персонала от критично значение;
  • кои данни, мрежи и услуги следва да бъдат приоритет при възстановяването;
  • кой трябва да бъде уведомен (собственици на данни, клиенти или дружества партньори) ако техните данни или данни от значение за техните мрежи, са изложени на риск.

Ако откриете нарушение на сигурността, направете следното:

  • уведомете клиентите си за случилото се, за да не изгубите тяхното доверие;
  • уверете се, че всички съответни участници във вашия онлайн магазин също знаят за инцидента. Би трябвало да определите постоянен отговорник по компютърната сигурност в случай на проблеми;
  • установете причината за нарушението с документирани доказателства, които могат да се използват в съда;
  • ако са компрометирани финансови данни, като например данни за кредитни карти, уведомете доставчика, обработващ финансовите ви трансакции.

Следва също така да създадете политика за уведомяване при нарушения на сигурността на данните, която може да бъде част от вашата декларация за поверителност и в която следва да бъде посочено как и кога ще уведомите клиентите си в случай на нарушение. Имайте предвид също така, че в съответствие с правилата на ОРЗДот вас се изисква да уведомите надзорния орган за защита на данните, след като научите за нарушение на сигурността на данните.

На национално равнище екипите за незабавно реагиране при компютърни инциденти (CERT) са съставени от експерти по сигурността, отговарящи за управлението на инциденти в тази област (като например за докладване и реагиране на заплахи за сигурността). Те могат да ви дадат информация за това какво да направите и към кого да се обърнете за помощ, ако сте обект на кибератака. Те също така публикуват предупреждения за уязвимости и заплахи във вашата страна.

Съответствие с правилата за защита на данните

В Общия регламент относно защитата на данните (ОРЗД) се посочват задълженията на предприятията, които събират, съхраняват и управляват лични данни. Двете основни цели на ОРЗД са прозрачност и информиране на гражданите за начина, по който се използват техните данни.

За повече информация относно общите разпоредби на ОРЗД и как те се прилагат за вашето предприятие, посетете подраздела за защита на данните .

Общият регламент засяга в най-голяма степен декларацията (или политиката) за поверителност на вашия онлайн магазин. Тази декларация е публичен документ, издаден от вашето предприятие, в който се обяснява как се обработват личните данни и как се прилагат принципите за защита на данните. Ако на вашия уебсайт се събират директно лични данни на потребители, декларацията за поверителност трябва да бъде показана в самото начало на този процес.

Декларацията за поверителност следва да бъде:

  • написана на кратък, прозрачен и разбираем език;
  • леснодостъпна;
  • предоставена безплатно и своевременно.

Научете какво трябва да съдържа вашата декларация за поверителност

Декларацията за поверителност, показвана във вашия онлайн магазин, следва да съдържа следната информация:

  • идентификационни данни и координати за връзка на вашето предприятие, неговия официален представител и длъжностното лице по защита на данните en ;
  • целите, за които вашето предприятие обработва личните данни на потребителите и правното основание за това;
  • законните интереси на вашето предприятие при обработването на лични данни;
  • всички получатели на данни на потребителите;
  • дали личните данни се предават на държава извън ЕС;
  • сроковете за съхранение на данните;
  • правата на потребителите във връзка с обработваните техни данни, и по-специално правото им да:
    • оттеглят съгласието си по всяко време;
    • подадат на жалба до надзорен орган;
  • дали личните данни на потребителите се предоставят въз основа на законови или договорни задължения;
  • дали е въведена автоматизирана система за вземане на решения, която включва профилиране на данните (процесът, чрез който вече събраните данни се анализират за статистически цели).

Декларацията за поверителност, показвана във вашия онлайн магазин, следва да съдържа следната информация:

  • идентификационни данни и координати за връзка на вашето предприятие, неговия официален представител и длъжностното лице по защита на данните;
  • целите, за които вашето предприятие обработва личните данни на потребителите и правното основание за това;
  • законните интереси на вашето предприятие при обработването на лични данни;
  • всички получатели на данни на потребителите;
  • дали личните данни се предават на държава извън ЕС;
  • сроковете за съхранение на данните;
  • правата на потребителите във връзка с обработваните техни данни, и по-специално правото им на:
    • оттеглят съгласието си по всяко време;
    • подадат жалба до надзорен орган;
  • категориите лични данни, получени от вашето предприятие;
  • дали е въведена автоматизирана система за вземане на решения, която включва профилиране на данните.

Декларациите за поверителност трябва да бъдат предоставени в писмен и в електронен вид (когато е приложимо) и публикувани в специален раздел на вашия уебсайт (например Декларация за поверителност en ). Те трябва също да бъдат достъпни директно от всяка страница или подстраница на сайта.

За повече подробности и полезни съвети относно съставянето на вашата политика за поверителност, можете да използвате следните практически насоки en .

Законодателство на ЕС

Нуждаете се от съдействието на службите за помощ?

Свържете се със специализираните служби за помощ

Имате ли въпроси относно извършването на стопанска дейност през граница, например износ или разширяване на дейността в друга страна от ЕС? Ако отговорът е да, Enterprise Europe Network може да ви даде без платен съвет.

Можете да използвате и Инструмент за търсене на услуги за оказване на помощ, за да намерите необходимата ви помощ.

Последна проверка: 03/06/2022
Споделяне на страницата