Duomenų apsauga

Asmens duomenų saugumo užtikrinimas internetinėse parduotuvėse

Modernioje skaitmeninėje aplinkoje internetinės parduotuvės ne tik siūlo patogiai apsipirkti, bet ir tvarko didelius kiekius asmens duomenų. Valstybinė duomenų apsaugos inspekcija (VDAI) 2024 m. atliko 10 internetinių parduotuvių stebėseną, kurios metu buvo vertinamas asmens duomenų saugumo priemonių įgyvendinimas: privilegijuotųjų prieigos teisių valdymas, asmens duomenų naikinimas, šifravimo priemonių naudojimas ir pakeitimų valdymas.

Privilegijuotosios prieigos teisės

Privilegijuotosios prieigos teisės – tai teisės, suteikiančios galimybę administruoti sistemas. Privilegijuotųjų prieigos teisių naudotojams yra taikomi tie patys pagrindiniai principai, tačiau jie papildomi griežtesniais reikalavimais, kad būtų užtikrinta maksimali duomenų apsauga ir prieiti prie VDAI stebėsenos rezultatai parodė, kad dauguma internetinių parduotuvių tinkamai valdo šias teises:

  • bendrovės dokumentuoja privilegijuotųjų prieigos teisių suteikimą;
  • prieigos teisės nėra bendrinamos ir priskirtos tik individualiems naudotojams;
  • dauguma bendrovių taiko kelių veiksnių autentifikaciją;
  • ribojamas bendrinių naudotojų identifikatorių naudojimas;
  • įvykių žurnaluose registruojami privilegijuotąsias prieigas turinčių naudotojų veiksmai.

Gerosios praktikos formuojant privilegijuotųjų prieigos teisių politiką apima aiškią dokumentaciją, principų „būtina žinoti” ir „būtina naudoti” taikymą, daugiafaktorinį autentifikavimą, reguliarią teisių peržiūrą ir prieigos veiklos stebėseną, prieigos teisių apribojimą, reguliarų darbuotojų mokymą, technologinių priemonių taikymą.

Asmens duomenų naikinimas

 Stebėsenos metu nustatyta, kad dauguma bendrovių:

  • turi nustatytus saugojimo terminus naudotojų asmens duomenims;
  • turi aiškiai dokumentuotą asmens duomenų saugojimo ir naikinimo tvarką;
  • užtikrina, kad duomenys nebūtų saugomi ilgiau nei numatyta;
  • turi aprašytas ir įgyvendintas duomenų naikinimo arba nuasmeninimo procedūras.

Daugelis internetinių parduotuvių laikosi praktikos klientų paskyrų duomenis saugoti 1 metus po paskutinio prisijungimo, o duomenis apie nepanaudotus kuponus – 6 mėnesius nuo jų galiojimo pabaigos. Svarbus aspektas – galimybė klientams patiems pasinaudoti „teise būti pamirštam“ ir pateikti užklausą ištrinti savo duomenis.

Šifravimo priemonių naudojimas

 Šifravimas yra viena esminių priemonių, užtikrinančių asmens duomenų konfidencialumą. VDAI stebėsenos metu nustatyta, kad:

  • bendrovių internetinėse svetainėse asmens duomenys yra šifruojami, įskaitant atsargines kopijas;
  • reikalavimas šifruoti asmens duomenis yra dokumentuotas;
  • naudojami šifravimo algoritmai atitinka pažangius saugumo standartus;
  • dauguma bendrovių turi sukurtas ir įdiegtas kriptografijos bei kriptografinių raktų valdymo taisykles.

Bendrovės naudoja tokias technologijas kaip TDE ir SSE su PMK, užtikrinančias tiek duomenų šifravimą, tiek jų saugojimą su papildoma apsauga.

Pakeitimų valdymas

 Pakeitimų valdymas – svarbi saugumo priemonė, padedanti užtikrinti, kad sistemos pakeitimai nesukeltų neteisėto duomenų atskleidimo, pakeitimo ar sunaikinimo. Stebėsenos rezultatai parodė, kad:

  • Dauguma bendrovių turi IT keitimų valdymo politikas;
  • Pakeitimų valdymo procedūros taikomos visoms informacijos apdorojimo priemonėms ir sistemoms;
  • Visi esminiai IT sistemų keitimai yra stebimi, registruojami ir priskiriami konkrečiam atsakingam asmeniui.

Rekomendacijos verslui 

Remiantis stebėsenos rezultatais, VDAI internetinėms parduotuvėms rekomenduoja:

  • Reguliariai audituoti privilegijuotąsias prieigos teises – užtikrinti, kad prieiga prie asmens duomenų būtų suteikiama tik tiems darbuotojams, kuriems tai būtina pagal jų funkcijas;
  • Sukurti aiškias duomenų naikinimo procedūras – užtikrinti, kad pasibaigus nustatytam saugojimo terminui nereikalingi duomenys būtų sunaikinti saugiai ir laiku;
  • Diegti pažangius šifravimo sprendimus – apsaugoti asmens duomenis tiek jų perdavimo, tiek saugojimo metu, periodiškai tikrinti šifravimo priemonių efektyvumą;
  • Įdiegti griežtas pakeitimų valdymo procedūras – visi IT sistemų pakeitimai turėtų būti iš anksto įvertinti, dokumentuoti ir patvirtinti;
  • Reguliariai peržiūrėti duomenų apsaugos politiką – atnaujinti ją pagal naujausius teisės aktų reikalavimus ir gerąsias praktikas.

Tinkamai įgyvendintos asmens duomenų saugumo priemonės ne tik užtikrina atitiktį BDAR reikalavimams, bet ir didina klientų pasitikėjimą internetine parduotuve, o tai ilgainiui gali virsti konkurenciniu pranašumu rinkoje.

Dalintis
Naujienlaiškis
Eiti prie įrankių juostos