Защита персональных данных в ритейл

Ритейл и интернет-магазины – это уже крупные ИТ компании, которые не только представляют рынок товаров, но и предлагают комплексный сервис. Сосредотачиваясь на технологическом развитии, они часто забывает об ИБ. Результат - крупные утечки персональных данных (ПДн) клиентов.

ПДн бывают следующих категорий:

Специальные — данные, характеризующие политические, философские взгляды, состояние здоровья, интимной жизни потребителей. Если покупатель имеет личный кабинет с историей заказов в онлайн аптеке, можно вычислить его проблемы со здоровьем. Другой пример – магазины «для взрослых». Никто не хочет, чтобы перечень его покупок стал известен общественности. Сюда же относятся учетные данные для аутентификации в личном кабинете. Одни и тот же логин и пароль часто используются для доступа к различным системам: и к рабочим аккаунтам, и к соцсетям. Эта категория данных требует наивысшего уровня защиты и применения различных технических средств.

Биометрические - данные видео аналитики, анализ изображений пользователей для дальнейшего формирования индивидуальных предложений.

Общедоступные - к которым пользователь сам дает ритейлеру полный и неограниченный доступ. Это анкеты для получения бонусной карты.

Иные - не вошедшие в предыдущие категории.

После определения категории ПДн необходимо обозначить тип угроз, актуальных для советующей информационной системы:

- недекларированные возможности (НДВ) в системном ПО;

- НДВ в прикладном ПО;

- не связанные с НДВ ПО.

На основе информации о категории, актуальных угрозах и понимания того, какие юридические отношения установлены между ритейлером и субъектом ПДн, определяется требуемый уровень защищенности, а на основе приказа ФСТЭК №21 - необходимые и достаточные меры для обеспечения безопасности на каждом уровне системы защиты информации.

Ну, а если возникают вопросы, обращаемся в отдел консалтинга и аудита ARinteg!