Почему ваша политика конфиденциальности должна быть ориентирована на клиента?

В этом посте мы объясним, почему данные о клиентах так важны и почему их так важно защищать. В частности, мы рассмотрим типы данных, которые собирают компании, различные уязвимости в системах и то, что компании могут сделать, чтобы гарантировать, что они ставят клиентов на первое место.

 

Что такое конфиденциальность клиентов?

Конфиденциальность клиентов, или конфиденциальность потребителей, относится к защите личных данных, хранящихся у предприятий, о физических лицах и их транзакциях. Поскольку электронная коммерция стала стандартным способом покупки товаров и услуг, потребители стали больше осознавать риски онлайн-активности и ценность своих данных.

 

Как обычно собираются данные о клиентах?

Большинство предприятий используют несколько методов для сбора данных о клиентах, и они должны убедиться, что: а) у них есть законная причина для этого и б) клиент полностью проинформирован о том, какая информация записывается (и почему). Вот несколько распространенных примеров того, как собираются данные о клиентах:

  • Спрашивать клиентов напрямую — например, через онлайн-форму или по телефону.
  • Отслеживание привычек — например, регистрация определенной покупки на имя учетной записи.
  • Доступ к другим источникам данных — например, использование учетной записи в социальной сети для входа на сайт, комментарии на сайтах с отзывами.

 

Конфиденциальность клиентов: почему это важно для вашего бизнеса

Знание — сила. А знание личной информации дает любому, кто обладает ею, возможность контролировать онлайн-счета, снимать деньги с банковского счета или входить в закрытые зоны, защищенные паролями или кодами. Таким образом, организациям было важно защищать данные своих клиентов.

С появлением и распространением интернета количество личных данных, собираемых, хранимых и используемых предприятиями, росло в геометрической прогрессии. Это сделало предприятия главной мишенью для киберпреступников.

Кроме того, клиенты имеют право точно знать, как их данные хранятся, используются и передаются.

 

Как данные о клиентах используются предприятиями?

Анализируя данные о клиентах, компании могут предоставить более качественные услуги, продукт или опыт, более точно понимая их требования, потребности, интересы и поведение. Демографические данные клиентов часто могут быть получены на основе даты рождения, истории транзакций, активности в социальных сетях, предпочтений клиентов и моделей поведения. Компании часто также хранят адреса электронной почты и банковские реквизиты.

Хотя данные могут быть чрезвычайно ценными для бизнеса, нужно иметь в виду, что не каждому клиенту нужен индивидуальный продукт или опыт. Многие люди предпочитают, чтобы их отношения с компанией основывались исключительно на транзакциях. Предоставление людям такого выбора гарантирует, что сохраняется уважение и доверие клиентов.

 

Почему так важно защищать конфиденциальность клиентов?

Поскольку компании известны хранением банковских реквизитов, паролей и кодов, а также адресов электронной почты, они становятся целью преступников. Защита конфиденциальности клиентов предотвращает неправомерное использование этой конфиденциальной информации в мошеннических или криминальных целях.

Тем не менее, хотя компании несут моральную ответственность за безопасное хранение всех этих данных, это также их юридическая обязанность — в большинстве стран действуют определенные законы о защите данных.

В ЕС действует закон GDPR для защиты данных потребителей, в то время как Австралия ввела CDR, чтобы аналогичным образом предоставить потребителям больший доступ к их данным и контроль над ними. В США в разных штатах действуют разные правила — например, Калифорния следует CCPA.

Организации также должны учитывать свою деловую репутацию. Репутационный ущерб от утечки данных может стоить больше, чем сама утечка. Более двух третей потребителей считают, что политика конфиденциальности связана с надежностью компании, лишь незначительно уступая ее надежности и ценам. Таким образом, получение и поддержание доверия клиентов важнее, чем когда-либо, поскольку новости об утечках данных и киберпреступлениях становятся заголовками. Если не удастся завоевать доверие потребителей, не получится развивать бизнес.

 

Заботятся ли потребители о конфиденциальности?

Потребители все больше беспокоятся о данных, собранных о них, их ценности и о том, как защитить свою конфиденциальность. Cisco сообщает, что 84% потребителей хотят большего контроля над тем, как используются их данные, и 90% считают, что то, как обрабатываются их данные, отражает отношение организаций к клиентам. Эта группа принципиально не будет совершать покупки у компаний, если они не доверяют тому, как используются их данные.

Cisco также сообщила, что около 32% потребителей настолько озабочены своей конфиденциальностью, что готовы действовать, сменив компанию или поставщика из-за их политики обмена данными.

 

Как можно защитить данные клиентов?

Итак, теперь вы знаете, как важно защищать данные своих клиентов, и нам нужно обсудить наилучшие способы защиты этой информации.

 

Собирайте и храните только те данные о клиентах, которые нужны вашему бизнесу

Чем меньше у вас данных, тем меньше вы можете потерять. Используя эту логику, вы должны собирать и хранить только те данные, которые требуются вашему бизнесу. Например, если ваша веб-страница не предлагает хранить платежные реквизиты ваших клиентов для будущих покупок, не храните их банковские реквизиты. Это не только сделает вас менее уязвимым, но и уменьшит ущерб, причиненный в случае утечки данных.

 

Ограничьте доступ к этим данным

Ограничивая доступ, который вы предоставляете к личным данным, которые вы храните, вы ограничиваете риск раскрытия. Если у нескольких сотрудников есть доступ, вы уменьшаете свои шансы на внутреннее нарушение и создаете меньше целей для внешних нарушений. Это также может упростить обнаружение причины нарушения, если преступник получил доступ к вашим базам данных.

 

Используйте инструменты управления паролями

Инструменты управления паролями могут сделать за вас большую часть работы по обеспечению безопасности. Вместо использования простых паролей, которые легко взломать, наличия сложных паролей, которые вы регулярно забываете, или хранения всех паролей вашей компании в одном общем документе, использование диспетчера паролей позволит вам с легкостью использовать трудные для взлома пароли.

Пока вы доверяете внешнему бизнесу, вы можете прочитать в интернете обзоры различных доступных менеджеров паролей и найти тот, который соответствует вашему бизнесу, бюджету и стандартам безопасности.

 

Избегайте разрозненных данных

Разрозненные хранилища данных могут вызвать проблемы в вашем бизнесе — часто отсутствие прозрачности и доверия. Вместо того, чтобы изолировать данные внутри одного отдела вашего предприятия, убедитесь, что вы инвестируете в наиболее эффективную и интегрированную технологию, которая позволит всем соответствующим отделам безопасно получать доступ к нужным им данным. Таким образом, вы можете контролировать, кто и к чему имеет доступ, и избегать дублирования наборов данных и, как следствие, увеличения потенциальных уязвимостей.

 

Установите минимальные стандарты безопасности

После проведения аудита защиты данных рекомендуется найти уязвимости в вашем бизнесе и установить некоторые стандарты безопасности. Хотя это стандарты, которым должен соответствовать весь бизнес, некоторые правила могут применяться только к определенным людям с дополнительным доступом или особыми ролями, ориентированными на ИТ.

Например, вы можете установить стандарты того, кто и к чему имеет доступ, как хранятся пароли или откуда осуществляется доступ к данным.

 

Создать политику

Вы должны создать политику конфиденциальности, чтобы ваши клиенты могли ее прочитать. Это необходимо, чтобы держать клиентов в курсе того, что происходит с их данными, но это также поможет продемонстрировать, что ваш бизнес является надежным, заслуживающим доверия и честным. Это также будет требовать от вас ответственности за свои действия. Сделайте понятную политику, устанавливающую четкие ограничения на передачу личной информации.

В большинстве стран требуется, чтобы в политике конфиденциальности для клиентов был изложен определенный минимум информации о прозрачности, например:

1) Два существенных пункта

  • Тип собираемых персональных данных.
  • Цель сбора — как он будет использоваться, включая ремаркетинг и файлы cookie.

2) Средство, позволяющее пользователям реализовать свои права на конфиденциальность или защиту данных.

3) Система для информирования пользователей при внесении изменений.

Даже если вы не собираете личную информацию, вам следует раскрыть этот факт в политике конфиденциальности.

 

Что такое хорошая политика конфиденциальности?

Хорошая политика конфиденциальности основана на потребностях, поведении и проблемах клиента. Она предлагает подробную информацию о том, как информация клиентов будет собираться и использоваться, и заверяет, что она не будет использоваться для других целей, таких как маркетинг или продажа третьим лицам, без уведомления или разрешения.

 

Какие существуют законы для защиты данных потребителей?

Хотя конкретные веб-законы не всегда применялись для защиты потребителей, за последнее десятилетие страны вводили законы, которые защищают использование, хранение и обмен потребительскими данными.

Хотя специфика каждого законодательства будет отличаться в каждом регионе, общее практическое правило заключается в том, что организации, которые собирают или обрабатывают личную информацию клиентов, должны публиковать и соблюдать политику конфиденциальности, а также способствовать определенному уровню выбора потребителями способов обработки их данных.

Некоторые из этих законов включают следующее:

  • CalOPPA в США
  • GDPR в ЕС
  • PIPEDA в Канаде
  • CDR в Австралии
  • LGPD в Бразилии
  • Федеральный закон о защите личных данных частных лиц в Мексике
  • PDPL в Аргентине

Хотя детали различаются, GDPR ЕС дает хорошее представление о природе этих законов. Например:

  • Организации должны быть прозрачными в отношении того, как и почему они обрабатывают личные данные, и представлять эту информацию в ясных и понятных терминах.
  • Собранные данные должны быть ограничены тем, что действительно необходимо организации для достижения конкретной цели, например, для предоставления услуги клиенту.
  • Организация должна обеспечить точность и актуальность данных.
  • Организации должны использовать такие меры безопасности, как шифрование, двухфакторная аутентификация и/или ведение журнала с контролем несанкционированного доступа, чтобы поддерживать целостность и конфиденциальность данных.
  • Организации несут ответственность за данные, и для подтверждения соответствия необходимо использовать бумажный след.

Помните, что законы о защите данных защищают все виды личных данных, а не только данные потребителей — конфиденциальность сотрудников также должна быть приоритетом для вашего бизнеса.

 

Что происходит с предприятиями, которые не могут защитить данные своих клиентов?

Хотя последствия будут различаться в зависимости от конкретной региональной политики, многие предприятия будут подвергаться штрафам, если они откажутся или не соблюдают законодательство о данных.

Например, GDPR гласит, что:

  • Компании, которые нарушают правила, сталкиваются с штрафами до 10 миллионов евро или, в случае предприятия, до 2% от всего их глобального оборота.
  • За серьезные нарушения компаниям грозит штраф в размере до 20 миллионов евро или до 4% от их мирового оборота.
  • В 2021 году ЕС заявил, что начнет усиливать давление на предприятия, чтобы они соблюдали законы о защите данных и конфиденциальности.

Вот несколько примеров нарушений конфиденциальности потребителей:

  • Американская аптека CVS предстала перед федеральным судом по обвинению в 200 случаях нарушения законов о конфиденциальности пациентов.
  • В 2019 году французское управление по защите данных (CNIL) оштрафовало Google LLC на 50 миллионов евро за отсутствие прозрачности и невозможность получить согласие на таргетинг рекламы.
  • CNIL также оштрафовал Amazon за удаление файлов cookie для отслеживания без согласия компании.
  • Лондонская компания Doorstep Dispensaree Limited была оштрафована на 275 000 фунтов стерлингов за то, что не обеспечила безопасность данных особой категории, которые они хранили в незапертых контейнерах в задней части своей системы.

Защитите данные потребителей от несанкционированного доступа, внедрив комплексный антивирус для бизнеса в свою ИТ-инфраструктуру.

 

Оригинал материала

26 июля, 2021

Смотрите также

«Мир, ориентированный на цифровые технологии, требует экономики, ориентированной на цифровые технологии»

26 июля, 2021

В Белоруссии начнут принимать «Мир»

26 июля, 2021

Регулятор не разделяет опасений банков в вопросе регулирования экосистем

23 июля, 2021

Нужно больше. Столичная сеть видеонаблюдения расширится

23 июля, 2021

Банки — о рисках регулирования экосистем

23 июля, 2021

Фишинговые мошенничества используют криптошумиху

22 июля, 2021

Дуров и кони. Основатель Telegram был в списке потенциальных целей «Пегаса»

22 июля, 2021

Тяжело в учениях. Проведён первый за два года тест на автономность рунета

22 июля, 2021

Уволить и спровоцировать утечку данных?

21 июля, 2021
- RUSCADASEC CONF'25 -

Безопасная разработка

- Безопасная разработка эволюция по ГОСТу -

Читалка

Опубликовано постановление Правительства №984 «Об утверждении требований к техническим и программным средствам, используемым ФОИВами и их должностными лицами при организации применения систем видеоконференцсвязи и веб-конференции»

1 июля, 2025

Принят ПНСТ 1009-2025 «Критическая информационная инфраструктура. Программное обеспечение для доверенных программно-аппаратных комплексов. Общие положения».

30 июня, 2025

Принят ГОСТ Р ИСО 24143-2025 «Информация и документация. Стратегическое управление информацией. Концепция и принципы».

30 июня, 2025

Принят ГОСТ Р 72161-2025 «Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования».

30 июня, 2025

Банк России опубликовал проект указания «О внесении изменений в Положение Банка России от 30 июня 2023 года №819-П»

30 июня, 2025

Опубликовано постановление Правительства №961 «О формировании составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определённому признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн, и предоставлении доступа к составам таких данных»

27 июня, 2025

Опубликовано постановление Правительства «Об утверждении Правил взаимодействия ФОИВа, осуществляющего функции по выработке и реализации госполитики и нормативно-правовому регулированию в сфере ИТ, с операторами и взаимодействия ГИС, определённой в соответствии с ч. 2 ст. 13-1 ФЗ "О персональных данных", и информсистем операторов»

26 июня, 2025

Календарь мероприятий

Новый номер

- BIS Journal №2(57)2025 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.07.2025
ИБ-платформа Security Vision вошла в реестр ГосСОПКА
15.07.2025
«ИИ попросту не может заменить ценную человеческую экспертизу»
15.07.2025
Кибермошенники вовсю используют авиаповестку
15.07.2025
К национальному мессенджеру — национальный скам-фильтр?
15.07.2025
Positive Technologies провели ремонт своей «Хакбазы»
14.07.2025
19% предприятий запустило системную автоматизацию после 2022 года
14.07.2025
Только 6% осужденных по ИКТ-статьям получает реальный срок
14.07.2025
LLM-система МТС экономит «десятки миллионов рублей»
14.07.2025
Решения Servicepipe позволят Innostage комплексно защитить клиентов от DDoS, ботов и других автоматизированных L3-L7 атак
14.07.2025
PT: ИБ-игроки должны научиться дополнять друг друга

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2025гг.