כיצד להגן על הלקוחות המקוונים שלך מפני גניבת זהות?
אם אתה מפעיל אתר מסחר אלקטרוני, הגנה על הנתונים הפרטיים של הלקוחות שלך היא ככל הנראה אחד החששות העיקריים שלך. הפרות נתונים ופריצות יכולות להיות הרסניות, במיוחד עבור עסקים קטנים. כדי להגן על הלקוחות המקוונים שלך מפני גניבת זהות, אתה זקוק ליישומים וטכנולוגיה שתרחיקו האקרים וגנבי זהות מהקבצים שלכם. עליכם לוודא כי אינכם מאחסנים פרטי לקוחות שאינם הכרחיים לחלוטין לניהול עסקכם.
חלק 1 מתוך 3: הימנעות מחשיפה מיותרת
- 1צור מדיניות פרטיות כתובה. עבור מרבית העסקים המקוונים מדיניות פרטיות כתובה אינה מחויבת על פי חוק, אך עדיין נוהגים עסקיים טובים להתקיים ולפעול על פיה. מדיניות הפרטיות שלך מסבירה ללקוחות שלך איזה מידע אישי אתה אוסף מהם וכיצד אתה משתמש בו.
- ייתכן שתידרש על פי החוק הפדרלי לקיים מדיניות פרטיות עבור לקוחותיך במצבים מסוימים, כגון אם אתה אוסף מידע מילדים או עליהם.
- עם זאת, גם אם החוק אינו דורש ממך מדיניות פרטיות, עדיין מומלץ ליצור אחת, להנגיש אותה ללקוחות שלך ולפעול עליה בקפדנות.
- אתה יכול לחפש באופן מקוון מחוללי מדיניות פרטיות פשוטים וחינמיים שבהם אתה יכול להשתמש בכדי לסייע במדיניות משלך.
- באופן כללי, עליך לכלול מידע על אופן השימוש שלך בקובצי Cookie באתר האינטרנט שלך, כמו למשל לאחסן את העדפות המשתמש שלך או לשמור על מידע על פריטים שהציבו בעגלות הקניות שלהם.
- ציין כי כל מידע שנאסף ישמש רק להשלמת עסקת הלקוח, ולא ישמש למטרות אחרות ללא הסכמת הלקוח.
- ספק פרטי קשר כדי שלקוחות יוכלו להגיש תלונה עם האדם המתאים בחברה שלך אם הם חושדים שמדיניות הפרטיות הופרה או שיש להם שאלות בנוגע לאופן איסוף הנתונים והשימוש בהם.
- אם אתה משתמש בחברת צד שלישי לעגלות הקניות שלך, בדוק את המדיניות שלה כדי לוודא שהמדיניות שלך משקפת במדויק את האופן שבו הן אוספות ומשתמשות במידע.
- 2להבין איזה מידע מאוחסן במערכת שלך ואיפה. כדי להגן על הלקוחות המקוונים שלך בצורה נאותה, עליך לדעת בדיוק איזה מידע הם מספקים נשמר במערכות שלך והיכן נמצא המידע הזה.
- זכור כי אינך יכול להגן על מידע אם אינך יודע היכן הוא נמצא. יש לשמור את כל המידע הרגיש ולגבות אותו לאזור.
- אין לשמור מידע על לקוחות במספר מיקומים, כגון במחשב של העובד ובשרת שלך. יש לשמור אותו במקום אחד ולגשת אליו רק מאותו מיקום.
- 3הימנע מאחסון פרופילי לקוחות אלא אם כן יש לך מערכת מאובטחת. ללקוחות רבים נוח ליצור פרופילי לקוחות ולשמור את כתובותיהם ופרטי התשלום שלהם כדי שלא יצטרכו להקליד אותם בכל פעם מחדש.
- עם זאת, הימנע מהציע ללקוחותיך את היכולת הזו אם אינך יכול להגן על המידע בפרופילים אלה.
- יש לזכור שכאשר לקוח יוצר פרופיל, כל המידע הזה עשוי להיות זמין לגנבי זהות. הדבר הרע בפרופיל הלקוח הוא שהוא עשוי להכיל את כל המידע הדרוש כדי לגנוב את זהותם יחד באותו מקום.
- 4לעולם אל תבקש מידע מיותר לביצוע העסקה שלך. ככל שאתה שומר את המידע האישי של הלקוח שלך במערכת שלך, כך המידע עלול להיחשף להאקרים, מה שמותיר את הלקוחות שלך מפני גניבת זהות.
- אתה יכול להגביל את החשיפה של הלקוחות שלך על ידי לא לאחסן מידע נוסף מהנדרש.
- לדוגמה, אם אתה פשוט מנהל חנות מקוונת מקוונת או דומה, לעולם אל תבקש שום חלק ממספרי הביטוח הלאומי או רישיון הנהיגה של הלקוחות שלך. מידע זה אינו נחוץ להשלמת מכירה והוא מידע אישי רגיש ביותר.
- 5השתמש בשרת ייעודי משלך. שימוש בשרת המשותף על ידי חברות אחרות עשוי להיראות כדרך טובה לחסוך כסף, אך ככל שיש יותר אנשים לשרת בו מאוחסן המידע, כך יש יותר נקודות גישה פוטנציאליות למידע הלקוחות שלך.
- אם אתה שוכר שטח שרתים במקום להפעיל שרתים משלך, אתה מוותר על האפשרות לאבטח את השרתים האלה ולפקח על הגישה אליהם.
- יתכן שתוכל להתקשר עם חברה המספקת אבטחה מהשורה הראשונה עבור השרתים שהם מחכירים. אם אינך מצליח לתחזק את השרתים שלך, העבר עדיפות לאבטחה בקנייה של שטח שרתים.
- וודא שאתה מבין כיצד ניתן לגשת למידע בשרתים וכיצד מעקב אחר תנועת השרתים לגישה לא מורשית.
- אם אתה מתחזק שרתים משלך, ייתכן שתרצה להתקשר עם שירות ניטור אבטחה. ספקי שירותי אינטרנט רבים יספקו אבטחה לשרתים בתשלום נוסף.
- 6אמץ הצפנת SSL בחנות המקוונת שלך. השיטה החזקה ביותר למניעת חשיפה מיותרת של המידע האישי של הלקוחות שלך היא שדרוג אתר המסחר האלקטרוני שלך, כך שתוכל להפעיל את טכנולוגיית ההצפנה SSL המאובטחת יותר.
- כאשר אתר מוצפן הוא עובר ל "https" ולא ל "http".
- באופן כללי, יש לך בחירה אם להצפין רק את תהליך התשלום שלך, או להצפין את כל החנות המקוונת שלך.
- בדרך כלל אתה רוצה לבחור להצפין את כל החנות אם אתה נותן ללקוחות שלך את האפשרות ליצור פרופילים משלהם ולהיכנס כדי לגשת להעדפות הקניות שלהם.
- אם אינך מספק ללקוחות את אפשרות הפרופיל, תוכל לבחור רק להצפין את מערכת הקופות.
- שירותים מסוימים המסייעים לך בהקמת חנות מקוונת מספקים לך את אפשרות ההצפנה. אם אתה משתמש באחד משירותי המסחר האלקטרוני האלה, בדרך כלל כל שעליך לעשות הוא לבדוק את האפשרות להפעיל אישורי SSL באתר האינטרנט שלך.
חלק 2 מתוך 3: הגבלת הגישה למערכות
- 1שמור על חומת אש עבור רשת המחשבים והשרתים של העסק שלך. חומת אש חזקה מונעת מהאקרים גישה למערכת שלך, וניתן להפעיל אותה כחלק מתצורת הרשת ברוב המחשבים.
- אם יש לך אינטרנט אלחוטי בעסק שלך, אתה בדרך כלל יכול להגדיר את חומת האש בנתב שלך. זה מאבטח את הרשת שלך ומשמעות הדבר שהיא לא נשארת פתוחה לכל מי שבמקרה עובר לידו ומוצא את האות.
- תוכנת התצורה של הנתב שלך תנחה אותך בשלבים של הגדרת חומת האש שלך ואת הכללים שהיא תעקוב אחריה. לדוגמא, אתה יכול להורות לא לאפשר תעבורת אינטרנט שלא התבקשה במיוחד על ידי מחשב ברשת.
- לאחר שמאבטחים את הרשת שלך, העובדים יצטרכו סיסמה כדי לגשת לרשת האלחוטית שלך.
- 2הירשם לשירות תוכנת אנטי-וירוס. תוכנת אנטי-וירוס מוסיפה שכבת הגנה נוספת מעבר לחומת האש שלך. אם מישהו מפר את חומת האש שלך, תוכנת האנטי-וירוס יכולה לזהות ולהשמיד תוכנות זדוניות ווירוסים אחרים העלולים להיטען ברשת שלך ומשמשים לגניבת נתוני לקוחות.
- תוכל להירשם כמנוי להגנת האנטי-וירוס באמצעות חברות מסוימות המציעות תוכנת אנטי-וירוס כשירות. היתרון הגדול ביותר בכך הוא שלעולם לא תצטרך לדאוג לשדרוג לגרסה האחרונה - שדרוגים בדרך כלל כלולים ומורידים אוטומטית כשיש לך מנוי.
- הדרך הטובה ביותר להבטיח שמערכות האבטחה שלך מעודכנות היא לסמן את התיבה בהגדרות התוכנה כדי לאפשר הורדות עדכניות אוטומטיות.
- אם אתה מסוגל לתזמן הורדות אוטומטיות, שקול להריץ אותן באמצע הלילה כאשר סביר להניח שאנשים לא עובדים.
- 3להכשיר עובדים בבטיחות מחשבים ואינטרנט. כל עובדים שיש לך אשר חייבים לגשת לנתוני לקוחות פרטיים במסגרת עבודתם צריכים לעבור הכשרה שוטפת ומעודכנת כיצד להימנע מסיכוני אבטחה פוטנציאליים.
- זכור כי כל הגנת האנטי-וירוס שלך ואמצעי האבטחה האחרים חזקים רק כמו האנשים העובדים במערכת שלך על בסיס יומי.
- כמה חברות אבטחת נתונים ואנטי - וירוס מציעות תוכניות הדרכה המספקות מידע על אופן העבודה בבטחה באינטרנט.
- קבעו מדיניות כתובה לשימוש במחשב ובאינטרנט בעבודה שעובדיכם חייבים לקיים, ולאכוף אותם.
- תוכל גם לאמן את העובדים שלך לזהות ולמחוק מייד כל הודעות דוא"ל זדוניות או ניסיונות דיוג שעשויים לעשות זאת דרך מסנני דואר הזבל של הדוא"ל שלך.
- 4צור סיסמאות מאובטחות. אחת הדרכים הקלות ביותר עבור האקרים להיכנס למערכת שלך ולגנוב נתוני לקוחות היא לפצח את סיסמת העובד. השתמש בסיסמאות מורכבות ושנה אותן באופן קבוע כדי למנוע שיטת גישה זו.
- באופן כללי, כל הסיסמאות שלך צריכות להיות באורך של לפחות 16 תווים. השתמש בתערובת של מספרים, סמלים ואותיות קטנות וקטנות כדי להקשות על הסיסמאות.
- הימנע משימוש בשמות או בפרטי זהות אחרים כשם משתמש או סיסמה.
- לדוגמא, קל לנחש להשתמש בשם הראשוני ובשם המשפחה הראשון של כל עובד כשם משתמש. אם כתובות הדוא"ל של עובדיך מוגדרות באופן דומה, האקר יכול לנחש את שם המשתמש בקלות ולהתחיל את תהליך שינוי הסיסמה מבלי שיצטרך לנחש זאת.
- כדאי לך לשקול להשתמש במחולל סיסמאות, הזמין באופן מקוון. רבים משירותים אלה גם יעריכו את חוזקה של כל סיסמה שתיצור.
- שקול להוסיף תהליך אימות דו-שלבי, או להפעיל תהליך זה עבור חשבונות חיוניים אצל ספקי שירות אחרים. משמעות התהליך היא שגם אם מישהו יודע את הסיסמה לחשבונך, עליו להזין קוד שנשלח לטלפון שלך כדי לגשת לחשבון.
- אימות דו-שלבי חיוני אם יש לך סיסמאות שנשמרו במחשבים.
- בכל פעם שעובד עוזב את החברה שלך, עליך לשנות באופן מיידי את כל הסיסמאות אליהן ניגש לאדם ולהשבית את כל הסיסמאות או פרופילי הכניסה הייחודיים להם.
- 5סרוק ואשר את כל המכשירים. משתמשים יכולים להכניס תוכנות זדוניות בלי משים על ידי חיבור מכשיר לרשת שלך שאינו מוגן נגד אנטי-וירוס. כדי למנוע זאת, בדוק כל מכשיר לפני שהוא מוצג, שקול לאסור על עובדים לחבר את המכשירים האישיים שלהם לרשת.
- אם ישנם מכשירים שבהם אתה משתמש באופן קבוע כדי לגשת לרשת העסקית שלך, כגון המחשב הנייד האישי שלך או מכשיר נייד אחר, יש אותן הגדרות אבטחה באותם מכשירים כמו במחשבים עסקיים.
- אפשר הצפנה בכל המכשירים העשויים לשמש לגישה למידע רגיש של לקוחות.
- אם אתה מאפשר לעובדים לעבוד מהבית, ודא שכל המחשבים או ההתקנים שבהם ישתמשו כדי לגשת למערכת מאובטחים כמו המחשבים במשרד. ספק לעובדיך מהבית מהעבודה רשימת משימות לביצוע כדי להבטיח את המחשבים שלהם מאובטחים.
חלק 3 מתוך 3: שמירה על אבטחת נתונים רגישים
- 1השתמש ברשת פרטית וירטואלית (VPN) והצפנה. VPN מספק אבטחה משופרת לרשת שלך, בעוד שההצפנה מגנה על הנתונים שאתה משדר או מאחסן, מה שהופך אותם לחסרי תועלת גם אם הם אכן מגיעים לידיים הלא נכונות.
- השימוש ב- VPN חשוב במיוחד אם יש לך עובדים העובדים מרחוק, מכיוון שכניסה ל- VPN מאובטחת בדיוק כמו רשת פיזית וקווית.
- VPN גם מאפשר לך לשמור על רשת מאובטחת תוך שימוש ב- WiFi ציבורי או ברשתות אינטרנט אחרות שאולי אינן מאובטחות כראוי לגישה או להעברת נתוני לקוחות רגישים.
- ישנם מספר פרוטוקולי רשת שונים מהם תוכלו לבחור להגדיר את ה- VPN שלכם. התייעץ עם מומחה לרשתות מחשבים כדי לגלות איזה פרוטוקול יעבוד הכי טוב עבור העסק שלך.
- 2הגבל גישה לנתונים רגישים. לא משנה כמה עובדים יש לך, לאף אחד לא תהיה גישה למידע האישי של הלקוחות שלך אלא אם כן הם זקוקים לו לחלוטין כדי לבצע את עבודתם. ככל שיש פחות אנשים שיש להם גישה למידע זה, המידע הוא מאובטח יותר.
- צור מדיניות ניהול רשומות בכתב וודא שכל אחד מהעובדים שלך יודע ומבין אותה.
- אם לעובדים מסוימים אין צורך במידע לקוחות פרטיים כחלק מתפקידי העבודה שלהם, אין לתת להם גישה למידע זה.
- כאשר אתה מגדיר פרופילי רשת לכל עובד, תהיה לך אפשרות לתת להם גישה לחלקים שונים ברשת. הימנע מיצירת חשבונות "אדמיניסטרציה" מרובים - תן לעובדים את המינימום המינימלי של הגישה שהם צריכים כדי לבצע את עבודתם.
- 3מחק מידע אישי לחלוטין. על פי החוק לפדרל הוגן ומדויק של עסקות אשראי (FACTA), כל מידע שנאסף להשלמת עסקת אשראי חייב להיות מושמד לחלוטין ולצמיתות.
- אמנם כלל ה- FACTA יושם במקור כדי לטפל בסילוק רשומות נייר ומסמכים, אך הוא חל גם על כל מידע אלקטרוני שנאסף.
- פשוט לחיצה על כפתור המחיקה לא מוחקת לחלוטין קובץ במערכת שלך ולא תואם את כללי הסילוק של FACTA.
- באפשרותך לרכוש תוכנת מחיקת קבצים אשר מוחקת קבצים רגישים לחלוטין ולצמיתות, או להוריד תוכנית מחיקת קבצים בחינם כגון Free Eraser או File Shredder.
- 4ודא שהאתר שלך תואם PCI. מועצת תקני אבטחת PCI שומרת ומקדמת את תשלום תקני האבטחה של ענף כרטיסים, אשר מספק דרישות טכניות מינימום עבור כל עסק שמקבל חיוב או כרטיסי אשראי כאמצעי תשלום.
- עסקים קטנים בדרך כלל יסווגו כסוחרים ברמה 3 או ברמה 4 לצורך תאימות PCI.
- סוחרים ברמה 4 מעבדים פחות מ- 20000 עסקאות סחר אלקטרוני בוויזה בשנה, ואילו סוחרים ברמה 3 מעבדים בין 20000 למיליון עסקאות כאלה.
- אם העסק שלך נמצא באחת הרמות האלה, עליך להוריד ולהשלים את שאלון ההערכה העצמית המתאים ולהשלים סריקת פגיעות.
- כדי להוריד שאלונים ולמצוא מידע על ספקי סריקה מאושרים, בקר באתר PCI בכתובת pcisecuritystandards.org.
קרא גם:
הצהרה משפטית תוכן מאמר זה מיועד לידיעתך הכללית ואינו מיועד להוות תחליף למשפט מקצועי או לייעוץ פיננסי. כמו כן, אין הכוונה להסתמך על ידי המשתמשים בקבלת החלטות השקעה כלשהן.