Но эта база попадает под действие Закона о персональных данных, поэтому хранить ее стоит также тщательно, как и собирать. В случае утечки данных о клиентах, предприятие ожидают серьезные проблемы. Рассказываем, как обезопасить информацию в CRM, не потерять деньги и репутацию.
Почему безопасность данных так важна
Люди часто оставляют информацию о себе множеству разных компаний, например, службам доставки еды или интернет-магазинам. Это стало настолько обыденным действием, что немногие задумываются о возможных последствиях. Тем не менее, в начале 2022 года сервис Яндекс.Еда сообщил об утечке в сеть данных своих клиентов. Руководители принесли извинения, выплатили штраф, усилили безопасность ресурса, но личная информация заказчиков все еще доступна в интернете.Персональная информация о клиентах — необходимый ресурс для бизнеса. Недобросовестный предприниматель, заполучивший базу конкурента, попытается переманить заказчиков себе с помощью более выгодных предложений. Часто слив данных происходит по вине сотрудников, умышленно или нет. Также опасность представляют хакерские атаки.
Для бизнеса раскрытие клиентской базы — это не только финансовые, но и репутационные потери. Восстановить репутацию после таких скандалов непросто: доверие и лояльность клиентов не всегда возможно вернуть. Поэтому собирать и хранить персональную информацию о заказчиках нужно бережно.
Как собирать информацию
Персональные данные человека подразделяют на общие, биометрические и специальные. Общие — это имя, фамилия, адрес, номер телефона. К специальным может относиться информация о политических и религиозных убеждениях, национальности. Биометрическими считаются данные о физических особенностях человека, отпечатки пальцев.В 2022 году, согласно ФЗ-152, чтобы использовать персональные данные, необходимо получить прямое согласие человека. Даже если информация взята из открытого источника, прежде, чем применить ее, свяжитесь с правообладателем. Например, если хотите составить карту проживания своих клиентов, и нашли почтовые адреса некоторых из них в интернете, то прежде, чем использовать их, сообщите людям и попросите разрешения. При этом расскажите, как собираетесь использовать эти данные. Применять их можно будет только с этой целью.
Если вы собираете базу клиентов, вы – автоматически оператор персональных данных. Поэтому при пополнении базы важно спрашивать согласие клиента: например, предлагать ему подписать специальный договор. Также не стоит забывать, что сбор избыточных данных запрещен: предприниматель вправе запрашивать только информацию, которая имеет прямое отношение к сфере его деятельности. Например, если вы занимаетесь розничной продажей одежды, вам объективно не нужны данные о национальностях и рабочих должностях клиентов или их отпечатки пальцев. За запрос таких данных можно получить штраф.
Какие штрафы за утечку данных
Действующее законодательство предполагает штраф от 60 тыс. руб. до 100 тыс. руб. за первый случай утечки и до 500 тыс. руб. при повторных (КоАП. ст. 13.11.).Новый законопроект с ужесточением наказания на финальной стадии разработки. В нем указано, что нарушитель может быть оштрафован на 1% от годового оборота компании. При этом штраф может увеличиться до 3%, если компания не сообщит в Роскомнадзор об утечке в течение суток.
Как обеспечить безопасность базы данных
В обязанности оператора персональной информации также входит ее защита. В случае утечки компании придется выплатить штраф, размеры которого могут достигать нескольких миллионов рублей. Поэтому рассказываем, как можно этого избежать.Добавьте в контракты сотрудников пункт о неразглашении
По информации Searchinform, частой причиной утечек становятся сотрудники компании. В 74% случаев это рядовые работники, в 26% — руководители. От умышленного слива клиентской базы предпринимателя может защитить договор о неразглашении.Подписание должно стать условием доступа к информации о клиентах. Чтобы грамотно составить соглашение, проконсультируйтесь с юристом: пропишите обязанности сторон и ответственность за нарушение. Важно учесть и возможность увольнения сотрудника, например, обозначить срок, в течение которого он обязан хранить полученную на прежнем рабочем месте информацию в секрете. В особых случаях в течение этого срока ему можно запретить работать на конкурентов.
Получите документы о безопасности CRM у поставщика
Без гарантий безопасности со стороны производителя вносить в CRM данные заказчиков — незаконно. Чтобы быть уверенным в том, что программное обеспечение защищено от взлома, нужно обратиться к поставщику и попросить документальное подтверждение. Только после этого можно начинать вести клиентскую базу.Если используете облачные технологии, стоит заключить с производителем вашей системы «Поручение на обработку информации». В нем четко описывайте, какие данные передаете, что получатель имеет право с ними делать, а что — нет. Также выясните, как компания защищает сервера, где будет храниться ваша база.
Обучите работников основам кибербезопасности
Менеджеры могут стать причиной утечки не только умышленно, но и по незнанию. Поэтому при регистрации новых пользователей в CRM используйте сложные для подбора пароли: бессмысленные комбинации букв, цифр и символов.Также объясните сотрудникам, что логин и пароль для доступа в CRM нельзя использовать и упоминать больше нигде. Это касается и привычки записывать информацию для входа в блокнотах или текстовых файлах на компьютере, и более сложных схем.
Одна из самых распространенных и «простых» из них — фишинг. Менеджеру может прийти сообщение со ссылкой и просьбой немедленно зайти в CRM. Важно, чтобы сотрудник был внимателен: такие запросы выглядят очень правдоподобно. При переходе по ссылке откроется форма для входа, повторяющая CRM, но введенные логин и пароль сразу же попадут в руки хакеров, а вместе с ними — и данные клиентов. Поэтому попросите менеджеров каждый раз проверять, куда они вводят пароль: адрес может отличаться совсем немного. Если возможно — подключите двухфакторную аутентификацию.
Внедрите внутренний распорядок, подкрепите его документально
Составьте для работников четкие должностные инструкции. Прояснить и регламентировать нужно, например, такие вопросы:- как работать с персональными данными клиентов;
- кому можно предоставлять их — если не все сотрудники в компании имеют к ним доступ;
- кого можно впускать в офис, где работают менеджеры;
- что делать в случае подозрения на утечку.
Если в компании используется десктопная CRM, и сервера с базами данных находятся в офисе, стоит ограничить и физический доступ к ним. Не стоит впускать в серверную сотрудников, которые не имеют права, и тем более — посторонних людей. Все эти документы нужно составить официально, ознакомить с ними работников, собрать подписи.
Отдельно позаботьтесь о контроле за работой удаленных сотрудников, если у них есть доступ к данным. Это будет законно, если вы заранее предупредите их заранее о факте контроля и расскажете, как он будет происходить.
Разделите права доступа
Если возможности CRM позволяют создавать аккаунты с разным уровнем доступа — воспользуйтесь этим. Распределите права так, чтобы полностью видеть базу мог только администратор — руководитель. Новичкам можно выдавать минимальный доступ на первое время.При регистрации сотрудников не используйте их личные почтовые ящики, а создавайте корпоративные с возможностью блокировки. После увольнения не забывайте сразу заблокировать почту бывшего работника и его аккаунт в CRM: так вы дополнительно защитите себя от возможных сливов в том случае, если он переходит работать к конкурентам.
Резюмируем
Базы клиентских данных ценятся высоко и находятся под угрозой. Злоумышленники могут украсть или удалить информацию, чтобы навредить бизнесу. Чтобы этого не произошло, важно заранее позаботиться о безопасном хранении:- выбрать надежную систему CRM, облачную или десктопную;
- подписать с сотрудниками соглашения о неразглашении персональных данных клиентов;
- разграничить доступ к информации — назначить администраторов, рядовых сотрудников, создать аккаунты с минимальными правами для новых сотрудников;
- создать внутренние правила обращения с информацией, провести инструктажи по защите от хакерских атак.
Перед началом использования системы получите гарантии ее защищенности, особенно, если предпочли облачное хранение данных. Опытные внедренцы CRM смогут ответить на интересующие вопросы, а также — настроить необходимые для безопасности опции.
Помните, что защитить данные с гарантией 100% практически невозможно, но сделать для этого нужно максимум. Если же утечка все-таки произошла, нужно сразу же известить о ней клиентов: утаивание незаконно, за него предпринимателю грозит штраф.
