Bezpieczeństwo danych w sklepie internetowym to kwestia nie tylko RODO, ale i renomy. Kilka sklepów się o tym przekonało

Lokowanie produktu Prywatność i bezpieczeństwo Technologie Zakupy dołącz do dyskusji (33) 05.10.2020
Bezpieczeństwo danych w sklepie internetowym to kwestia nie tylko RODO, ale i renomy. Kilka sklepów się o tym przekonało

Paweł Mering

Bezpieczeństwo danych w sklepie internetowym jest niezwykle istotne. Niezależnie jednak od tego, czy chodzi o bezpieczeństwo platformy, samego przedsiębiorcy, czy danych klientów – wszystko ostatecznie rozbija się o renomę. A jej utrata może zaważyć o przyszłości biznesu.

Bezpieczeństwo danych w sklepie internetowym

O bezpieczeństwie danych w sklepach internetowych mówi się wiele – sami na ten temat nieraz pisaliśmy. Zagrożeń na jest przecież mnóstwo. Niektóre dotyczą samego przedsiębiorcy, bowiem pozostawienie luki, która umożliwia nieuprawniony dostęp do firmowych danych, czy – na przykład – modyfikacji cen, to wybitnie czarny scenariusz.

Innym rodzajem niebezpieczeństw są te, które dotyczą głównie klientów. Można wskazać na przykład zagrożenia dla technicznego bezpieczeństwa samej platformy, przez którą zakupy w sieci faktycznie mogą nie być wolne od zagrożeń, choćby podczas procesu płatności, czy wprowadzania wrażliwych danych przez klientów serwisu.

I w końcu – co wydaje się najgorsze w skutkach – koszmarem sklepów internetowych jest wyciek danych osobowych klientów. Nie jest to sytuacja nieprawdopodobna i – do tego –  jawi się jako szczególnie katastroficzna.

RODO funkcjonuje, a obowiązująca ustawa o ochronie danych osobowych pozwala na surowe karanie podmiotów odpowiedzialnych za takie zdarzenie. Wprowadza także kilka obowiązków, choćby dotyczących informowania użytkowników i właściwych instytucji o incydentach.

Odpowiedzialność za wyciek danych osobowych – RODO

Dane osobowe niejako weszły do kanonu praw człowieka, a Rozporządzenie o Ochronie Danych Osobowych (RODO) stało się tego wyrazem. Zgodnie z art. 5 RODO, administrator danych osobowych ma obowiązek zapewnić, by tego rodzaju informacje były:

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych

Administratorem danych osobowych jest – zgodnie z art. 4 pkt 7 RODO:

osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych […]

Można przyjąć, że w odniesieniu do sklepu internetowego administratorem danych osobowych jest właściciel serwisu. Odpowiada on zatem za wyciek danych osobowych, ale nie jest to odpowiedzialność oczywista i bezwzględna.

Należy bowiem wykazać winę, która wynika z niedopełnienia obowiązków dotyczących m.in. technicznego zabezpieczenia sklepu internetowego. Sama odpowiedzialność – poza karami nakładanymi przez UODO – może także wyrażać się w odszkodowaniu wobec użytkowników, co wprost wynika z art. 82 ust. 1 RODO.

Czy da się uwolnić od odpowiedzialności? Tak, ale nie

Perfidny atak hakerski, który wymierzony został w obiektywnie dobrze zabezpieczony system, prawdopodobnie pozwoli właścicielowi uniknąć prawnej odpowiedzialności za wyciek danych osobowych użytkowników. Niech to jednak nie będzie uspokojeniem.

Kara od odpowiednich instytucji, bądź wypłacone odszkodowania, to nie jedyne potencjalne problemy właściciela sklepu internetowego, z którego nastąpił wyciek.

Bezcenna i niewymierna jest bowiem renoma, o którą – działając w sieci – należy w szczególny sposób dbać. Od kiedy dane osobowe stały się prawdziwą wartością, wszelkie doniesienia prasowe o wyciekach danych budzą zainteresowanie. Słuszne zainteresowanie, bo chodzi tutaj nierzadko o informacje wyjątkowo wrażliwe.

Przedmiotem wycieku mogą być przecież takie informacje, jak imię i nazwisko, e-mail, adres, czasem i hasło – co stanowi zagrożenie w odniesieniu do osób, które posługują się jednym – a także historia zakupów. Nawet i ona może stanowić dużą wartość dla cyberprzestępców. Warto przypomnieć m.in. niedawny wyciek tego rodzaju informacji z pewnego sklepu internetowego z gadżetami erotycznymi.

Raz utraconego zaufania nie da się odzyskać w całości

Lista serwisów, z których dane osobowe wyciekły, jest duża – i będzie coraz obszerniejsza. Nie oznacza to jednak, że każdy wyciek danych kończy się masowym bojkotem przedsiębiorcy. Samo postępowanie właściciela sklepu internetowego tuż po wycieku danych osobowych jest jednak szalenie istotne. Powinno być zatem dokonywane w sposób przemyślany, niemalże z aptekarską dokładnością.

Pamiętamy przecież wyciek ze sklepu morele.net, gdzie o wycieku danych najpierw nie poinformowano, a w międzyczasie cyberprzestępcy sukcesywnie rozszyfrowywali hasła klientów. Ponadto po analizie bazy danych okazało się, że usunięte konta użytkowników… wcale usunięte nie były. Właściciel platformy otrzymał od UODO karę w wysokości prawie 3 000 000 złotych, ale kaskada błędów i potknięć wytworzyła u wielu klientów (także tych potencjalnych) co najmniej uzasadnione wątpliwości co do bezpieczeństwa zakupów.

Podobnych sytuacji wskazać można mnóstwo. Nie wszystkie sklepy internetowe, z których dane klientów wyciekły, wychodzą z takich tarapatów bez szwanku. Zagrożenia dla bezpieczeństwa to zawsze sytuacje trudne. Warto pamiętać, że często sami administratorzy – uzyskując informacje od cyberprzestępców przy okazji żądania okupu – nie są pewni, czy doszło do wycieku danych, czy też właśnie są ofiarą blefu.

Lepiej więc po prostu nigdy nie znaleźć się w takiej sytuacji

Przepisy prawa są istotne, ale jedynie częściowo wyczerpują problem skutków wycieku danych osobowych. Renoma sklepu internetowego jest bezcenna, a jej utrata może nastąpić błyskawicznie. Co prawda internauci stają się coraz bardziej świadomi i wyrozumiali, a odpowiedzialna, oparta na szczerości i profesjonalizmie reakcja na incydent bezpieczeństwa pomoże wyjść z twarzą z trudnej sytuacji, ale nie jest to regułą.

Niezależnie od powyższego, najlepiej po prostu skupić się na zapewnieniu najwyższego poziomu bezpieczeństwa danych w sklepie internetowym.  Zadbać należy więc o odpowiednie zaplecze techniczne – a takie rozwiązania oferuje OVHCloud, partner tego wpisu – a także odpowiedzialną, kompetentną i gotową do błyskawicznej reakcji obsługę, która będzie w stanie sprostać sytuacjom kryzysowym.

Jak wskazuje Tomasz Sobol, Cloud Product Manager CEE w OVHcloud

Umiejętność przewidywania zagrożeń i zapobieganie im to zwykle klucz do sukcesu. Nie wszystkie niepożądane działania, błędy i inne podatności można jednak przewidzieć samodzielnie. Dlatego też w OVHcloud poddajemy się certyfikacjom, audytom bezpieczeństwa, weryfikacjom prowadzonym przez niezależne instytucje, jak i Klientów. Wszystko po to, aby być jak najlepiej przygotowanym na nieprzewidziane okoliczności.

Tomasz Sobol wskazuje ponadto, że bezpieczeństwo danych w sklepie internetowym jest dzisiaj ważniejsze niż kiedykolwiek wcześniej.

W dobie życia online oraz sytuacji spowodowanej pandemią, gdzie handel internetowy zyskał dużą popularność, prowadząc e-sklep, czy też jakąkolwiek inną działalność w sieci, powinniśmy patrzeć na bezpieczeństwo z należytym szacunkiem. Nie należy też zwlekać do czasu, aż się coś wydarzy oraz oszczędzać tam, gdzie zagrożenie wydaje się mało prawdopodobne. Bezpieczeństwo to inwestycja, które zwraca się w postaci zaufania Klientów. To również ważny element ciągłości biznesowej, bez której trudno myśleć o skalowalności biznesu i większej sprzedaży

Lepiej zatem po prostu zapobiegać, aniżeli znaleźć się później w sytuacji, z której czasami nie ma dobrego wyjścia, a pojawia się jedynie mniejsze zło. Wyciek danych osobowych to zawsze ogromna strata – nie tylko finansowa, ale przede wszystkim wizerunkowa.

Warto po prostu mieć tego świadomość.

Tekst powstał we współpracy z OVHcloud

PARTNERZY: