Персональные данные клиентов: как не допустить утечку?

Пользовательские данные представляют интерес для конкурентов или злоумышленников, с целью заработать или нанести вред репутации бизнеса. Зачастую слабым звеном являются обычные работники, которые допускают утечку персональных данных случайно или из-за низкой информационной грамотности. Расскажем, как бизнес может обезопасить себя и защитить конфиденциальную информацию о клиентах от утечки?

Чем ценны персональные данные?

На основе собранных персональных данных бизнес формирует уникальные предложения для своих клиентов, тем самым обеспечивая себя регулярными заказами, а значить прибылью. Поэтому данные о клиентах коммерчески ценные и всегда будут интересны конкурентам. Если произойдет утечка клиентской базы, то этим могут воспользоваться не только конкуренты, но и мошенники.

Как происходит утечка персональных данных

Так как персональные данные считаются конфиденциальной информацией, то сотрудники, которые получили к ним доступ, никому не должны их передавать без законного основания. Утечка данных, как правило, происходит по неосторожности или халатности сотрудников, но в некоторых случаях — умышленно. Информацию можно случайно переслать в личной переписке или скопировать базу на внешний носитель.

Как избежать утечки через сотрудников

Чтобы избежать утечки данных по вине сотрудников, особое внимание нужно уделить работе с персоналом. Вот несколько пунктов:

• Проводите проверку бизнес-процессов, в которых используете персональные данные. С помощью периодических проверок всех процессов приватности легче выявить риски утечек данных и риски несоблюдения законодательства. Для этого можно воспользоваться профессиональным сканером уязвимостей XSpider, который будет проводить проверку в автоматическом режиме и уведомлять о возникающих инцидентах в сети.

• Создайте нормативную документацию, в которой будет описан порядок работы сотрудника с персональными данными.

• Добавьте раздел о конфиденциальности в трудовой договор, в котором будет пояснение, что сотрудник несет ответственность за нарушение конфиденциальности информации, к которой он имеет доступ в своей работе. 

• Проводите обучение по работе с персональными данными. Прохождение обучения должно фиксироваться в учетных журналах. 

• Обеспечьте контроль удаленных сотрудников, но предупредите их об этом контроле. 

Политика работы с персональными данными

Без согласия клиента обработка данных незаконна, поэтому необходимо обеспечить доступность информации о том, как вы работаете с его персональными данными. Вот несколько примеров:

• Необходимо опубликовать на сайте актуальную версию политики обработки персональных данных в специальном разделе. Если сайта нет, то распечатать документ с политикой и предложить клиенту ознакомиться с ней и, если необходимо, подписать.

• Добавить согласие на обработку персональных данных в тех местах сайта, где собирается информация, с котором клиент может ознакомиться при оформлении заказа онлайн или при оформлении подписки на рассылку.

Требования к защите персональных данных

При работе с персональными данными должны соблюдаться определенные требования по их защите. Приведем некоторые из них: 

• Используйте программные средства для защиты данных

Для работы с конфиденциальной информации и персональных данных устанавливают сертифицированные СЗИ — средства защиты информации. Им может быть специализированное программное обеспечение, например, Secret Disk 5 или Secret Net Studio, которые обеспечат защиту от несанкционированного доступа.

К СЗИ также относятся антивирусные программы.

Еще одно средство для защиты данных — SIEM системы, средства управления событиями информационной безопасности. Эти программы собирают сведения по всем инцидентам информационной безопасности и анализируют их в режиме реального времени. Пример такой системы — MaxPatrol. 

• Ведите учет носителей персональных данных 

Каждая используемая флешка, персональный компьютер, сервер, используемые при работе с персональными данными должны быть учтены и заведены в специальный журнал. Также необходимо соблюдать следующее требование: серверы, на которых собирают персональные данные граждан РФ, должны быть физически размещены в России — это называется «требование о локализации». Если будет выявлено нарушение, то организации может грозить штраф до 18 млн. рублей или полная приостановка деятельности.

• Ведите журнал инцидентов 

Необходимо отмечать и фиксировать все случаи нарушения информационной безопасности, факты компьютерных атак и действия после этого. Это позволит, при необходимости, провести служебное расследование.

Заключение

Работа с персональными данными требует соблюдение строгих правил. Не стоит пренебрегать ими, так как это важно сохранять конфиденциальную информацию, утечка которой может нанести репутации бизнеса. Работники не вправе разглашать данные о клиентах за пределы рабочего пространства. Проводите обучение сотрудников и используете в своей инфраструктуре средства защиты информации, чтобы не допустить утечки данных.