Как защитить персональные данные в ритейле

Сотрудники ритейл-сектора формируют предложения, основываясь на персональных данных клиентов. Это способствует росту продаж. Но все чаще мы слышим об утечках информации в бизнесе. И в связи с этим возникает резонный вопрос: как защитить персональные данные потребителей?

Что такое персональные данные?

Под персональными данными часто подразумевают информацию, которая позволяет идентифицировать человека. То есть ФИО, место и год рождения, адрес прописки, сведения о месте работы, электронная почта, IP-адрес пользователя. Но чтобы реально защитить персональные данные клиентов в бизнесе, их нужно разделить на несколько категорий. Критерий для сегментации — ценность конкретного вида информации для бизнеса. Руководствуясь таким подходом в ритейле, выделим несколько типов данных:

• персональные сведения и информация, необходимая для проведения транзакции (ФИО, адрес);
• местоположение пользователя и виртуальная локация, которую отслеживают через IP-адрес;
• онлайн-активность (включая навигацию в интернете);
• данные, полученные от третьих лиц, например, демографические сведения в приложениях и социальных сетях, позволяющие сегментировать аудиторию по возрасту и полу.

При делении персональных данных на категории учтем и фактор риска. Задача станет более легкой, если ответить на несколько вопросов:

• Кого и с какой целью могут заинтересовать эти данные?
• Захотят ли получить к ним доступ хакеры или конкуренты?
• Если да, к чему приведет утечка определенной категории данных?
• Сколько денег придется потратить на восстановление?

Персональные данные в ритейле: средства защиты

Данные, переходящие из одной локации в другую, уязвимы для хакеров. Но, если использовать шифрование, персональные данные получают дополнительный слой защиты при передаче информации. В таком случае человек расшифрует данные, только если у него есть специальный ключ. Поэтому, обмениваясь данными, лучше включать VPN. Так, в этом гайде читаем, что VPN проводит любой траффик через защищенный туннель, идущий от устройства в сеть. А значит, пользователи без авторизации не получат доступ к данным. Это средство особенно актуально при проведении платежей.

Вот еще одна идея, которая пригодится бизнесу в сфере ритейла: для защиты персональных данных пользоваться гомоморфным шифрованием. Эта разновидность криптографии позволяет проводить вычисления, не расшифровывая данные. В отличие от других типов шифрования, здесь сведения остаются конфиденциальными и во время обработки информации. Ведь, по сути, вы работаете с закодированной информацией, не прибегая к расшифровке. Да, такой процесс проходит довольно медленно. Но если вы работаете с ценной категорией информации, утечка которой приведет к финансовым потерям, этот способ поможет обезопасить себя.

Кроме того, сотрудники ритейл-индустрии наверняка знают об атаках на POS-терминалы. Хакеры способны перепрограммировать POS так, чтобы данные с карт клиентов уходили на счета к мошенникам. Поэтому важно сканировать POS-системы, использовать антивирусные программы на всех терминалах. Здесь вам также поможет сегментация — деление сети на более мелкие элементы (подсети) позволит свести к минимуму вероятность утечки информации. Предположим, инцидент произошел. А информация разбита по ячейкам и, на первый взгляд, не связана между собой. В таком случае, фирма потеряет незначительное количество данных из одного сегмента. Восстановить эту информацию будет просто, ведь инцидент не повлечет за собой утечку всех данных. Чтобы предпринять такие меры, вам также понадобятся облачные файерволы веб-приложений. И, конечно, не забывайте о патчах для корпоративного программного обеспечения компании.

Практики защиты информации в ритейле

Центр кибернетической разведки в ритейле (R-CISC) определил зоны, которые нужно укреплять. Так, киберпреступлениям подвержены фирмы с высоким уровнем текучести кадров. В таких организациях данные утекают из-за инсайдеров. То есть нынешние и бывшие сотрудники компании нечаянно или намеренно провоцируют утечку информации.

Кроме того, если вы работаете с финансами, стоит обратить внимание на совместимость платежных карт со стандартом безопасности данных PCI. Такое же правило работает по отношению к третьим лицам в цепи поставок, которые занимаются проведением транзакций. Выбирая людей, с которыми вы планируете работать, убедитесь в том, что они следуют стандарту безопасности так же, как и вы.

Еще один вопрос, требующий внимания, — финансирование сферы кибербезопасности в ритейле. Несмотря на важность защиты персональных данных, сотрудники ритейла в 2020 году жаловались на снижение бюджета на этот сегмент на 15%. Правда, достаточно скоро мировая общественность осознала, как важно соблюдать безопасность при обработке персональных данных. И уже в 2021 году средний бизнес тратил 6-14% годового IT-бюджета на кибербезопасность. Значит, есть прогресс.

А если нет возможности увеличить финансирование, можно воспользоваться ценностным подходом. Руководство оценивает значение конкретного типа информации для фирмы. Отталкиваясь от этого, распределяет бюджет. Принять решение поможет и приоритизация рисков: стоит больше инвестировать в защиту такой категории информации, которая сейчас в опасности.

Наконец, еще одна мировая практика — адаптация облачных систем для ритейла. По прогнозам Gartner, к 2024 году 30% фирм будут защищать персональные данные клиентов посредством шлюзов информационной безопасности (SWG), брокеров безопасности облачного доступа (CASB), сетевого доступа с нулевым доверием (ZTNA), брандмауэр-как-услуга (FWaaS). Причем ожидается, что все эти услуги будут покупать у одного и того же поставщика. Кроме того, прогнозируется, что к тому же времени законодательство о защите персональных данных обезопасит личную информацию 75% населения земного шара.