Bezpieczeństwo danych w sklepie internetowym to kwestia nie tylko RODO, ale i renomy. Kilka sklepów się o tym przekonało

Bezpieczeństwo danych w sklepie internetowym

O bezpieczeństwie danych w sklepach internetowych mówi się wiele - sami na ten temat nieraz pisaliśmy. Zagrożeń na jest przecież mnóstwo. Niektóre dotyczą samego przedsiębiorcy, bowiem pozostawienie luki, która umożliwia nieuprawniony dostęp do firmowych danych, czy - na przykład - modyfikacji cen, to wybitnie czarny scenariusz.

Innym rodzajem niebezpieczeństw są te, które dotyczą głównie klientów. Można wskazać na przykład zagrożenia dla technicznego bezpieczeństwa samej platformy, przez którą zakupy w sieci faktycznie mogą nie być wolne od zagrożeń, choćby podczas procesu płatności, czy wprowadzania wrażliwych danych przez klientów serwisu.

I w końcu - co wydaje się najgorsze w skutkach - koszmarem sklepów internetowych jest wyciek danych osobowych klientów. Nie jest to sytuacja nieprawdopodobna i - do tego -  jawi się jako szczególnie katastroficzna.

RODO funkcjonuje, a obowiązująca ustawa o ochronie danych osobowych pozwala na surowe karanie podmiotów odpowiedzialnych za takie zdarzenie. Wprowadza także kilka obowiązków, choćby dotyczących informowania użytkowników i właściwych instytucji o incydentach.

Odpowiedzialność za wyciek danych osobowych - RODO

Dane osobowe niejako weszły do kanonu praw człowieka, a Rozporządzenie o Ochronie Danych Osobowych (RODO) stało się tego wyrazem. Zgodnie z art. 5 RODO, administrator danych osobowych ma obowiązek zapewnić, by tego rodzaju informacje były:

Administratorem danych osobowych jest - zgodnie z art. 4 pkt 7 RODO:

Można przyjąć, że w odniesieniu do sklepu internetowego administratorem danych osobowych jest właściciel serwisu. Odpowiada on zatem za wyciek danych osobowych, ale nie jest to odpowiedzialność oczywista i bezwzględna.

Należy bowiem wykazać winę, która wynika z niedopełnienia obowiązków dotyczących m.in. technicznego zabezpieczenia sklepu internetowego. Sama odpowiedzialność - poza karami nakładanymi przez UODO - może także wyrażać się w odszkodowaniu wobec użytkowników, co wprost wynika z art. 82 ust. 1 RODO.

Czy da się uwolnić od odpowiedzialności? Tak, ale nie

Perfidny atak hakerski, który wymierzony został w obiektywnie dobrze zabezpieczony system, prawdopodobnie pozwoli właścicielowi uniknąć prawnej odpowiedzialności za wyciek danych osobowych użytkowników. Niech to jednak nie będzie uspokojeniem.

Kara od odpowiednich instytucji, bądź wypłacone odszkodowania, to nie jedyne potencjalne problemy właściciela sklepu internetowego, z którego nastąpił wyciek.

Bezcenna i niewymierna jest bowiem renoma, o którą - działając w sieci - należy w szczególny sposób dbać. Od kiedy dane osobowe stały się prawdziwą wartością, wszelkie doniesienia prasowe o wyciekach danych budzą zainteresowanie. Słuszne zainteresowanie, bo chodzi tutaj nierzadko o informacje wyjątkowo wrażliwe.

Przedmiotem wycieku mogą być przecież takie informacje, jak imię i nazwisko, e-mail, adres, czasem i hasło - co stanowi zagrożenie w odniesieniu do osób, które posługują się jednym - a także historia zakupów. Nawet i ona może stanowić dużą wartość dla cyberprzestępców. Warto przypomnieć m.in. niedawny wyciek tego rodzaju informacji z pewnego sklepu internetowego z gadżetami erotycznymi.

Raz utraconego zaufania nie da się odzyskać w całości

Lista serwisów, z których dane osobowe wyciekły, jest duża - i będzie coraz obszerniejsza. Nie oznacza to jednak, że każdy wyciek danych kończy się masowym bojkotem przedsiębiorcy. Samo postępowanie właściciela sklepu internetowego tuż po wycieku danych osobowych jest jednak szalenie istotne. Powinno być zatem dokonywane w sposób przemyślany, niemalże z aptekarską dokładnością.

Pamiętamy przecież wyciek ze sklepu morele.net, gdzie o wycieku danych najpierw nie poinformowano, a w międzyczasie cyberprzestępcy sukcesywnie rozszyfrowywali hasła klientów. Ponadto po analizie bazy danych okazało się, że usunięte konta użytkowników... wcale usunięte nie były. Właściciel platformy otrzymał od UODO karę w wysokości prawie 3 000 000 złotych, ale kaskada błędów i potknięć wytworzyła u wielu klientów (także tych potencjalnych) co najmniej uzasadnione wątpliwości co do bezpieczeństwa zakupów.

Podobnych sytuacji wskazać można mnóstwo. Nie wszystkie sklepy internetowe, z których dane klientów wyciekły, wychodzą z takich tarapatów bez szwanku. Zagrożenia dla bezpieczeństwa to zawsze sytuacje trudne. Warto pamiętać, że często sami administratorzy - uzyskując informacje od cyberprzestępców przy okazji żądania okupu - nie są pewni, czy doszło do wycieku danych, czy też właśnie są ofiarą blefu.

Lepiej więc po prostu nigdy nie znaleźć się w takiej sytuacji

Przepisy prawa są istotne, ale jedynie częściowo wyczerpują problem skutków wycieku danych osobowych. Renoma sklepu internetowego jest bezcenna, a jej utrata może nastąpić błyskawicznie. Co prawda internauci stają się coraz bardziej świadomi i wyrozumiali, a odpowiedzialna, oparta na szczerości i profesjonalizmie reakcja na incydent bezpieczeństwa pomoże wyjść z twarzą z trudnej sytuacji, ale nie jest to regułą.

Niezależnie od powyższego, najlepiej po prostu skupić się na zapewnieniu najwyższego poziomu bezpieczeństwa danych w sklepie internetowym.  Zadbać należy więc o odpowiednie zaplecze techniczne - a takie rozwiązania oferuje OVHCloud, partner tego wpisu - a także odpowiedzialną, kompetentną i gotową do błyskawicznej reakcji obsługę, która będzie w stanie sprostać sytuacjom kryzysowym.

Jak wskazuje Tomasz Sobol, Cloud Product Manager CEE w OVHcloud

Tomasz Sobol wskazuje ponadto, że bezpieczeństwo danych w sklepie internetowym jest dzisiaj ważniejsze niż kiedykolwiek wcześniej.

Lepiej zatem po prostu zapobiegać, aniżeli znaleźć się później w sytuacji, z której czasami nie ma dobrego wyjścia, a pojawia się jedynie mniejsze zło. Wyciek danych osobowych to zawsze ogromna strata - nie tylko finansowa, ale przede wszystkim wizerunkowa.

Warto po prostu mieć tego świadomość.

Tekst powstał we współpracy z OVHcloud