Как защитить базы данных контактов?

Надлежащая защита баз данных контактов важна не только из-за раскрытия коммерческой тайны, но, прежде всего, для защиты частной жизни наших контрагентов. Каждый из них, доверив нам свои данные, поверил нам и нашей компании в то, что они будут должным образом защищены. Наверное, не нужно никого убеждать в том, что потеря доверия клиента гораздо серьезнее любых уголовных санкций. Однако на данном этапе стоит напомнить, что наказанием за ненадлежащую обработку персональных данных в Польше является штраф или даже тюремное заключение сроком до 3 лет.

Сохраняйте спокойствие

Особенно следует защищать те базы данных, которые содержат персональные данные. Согласно положениям действующего в Польше Закона о защите персональных данных, персональные данные — это не только имя, фамилия или адрес, но и адрес электронной почты, на основании которого мы можем идентифицировать человека. Классическим примером здесь является адрес, содержащий в своем названии, например, фамилию. Стоит также отметить, что индивидуальные данные из базы контактов, которые только после компиляции позволяют нам идентифицировать человека, также являются персональными данными в соответствии с вышеупомянутым законом.

Как защитить контактные базы?

Польские правовые нормы, касающиеся персональных данных, содержат много пробелов. Поэтому трудно искать однозначный ответ на вопрос, какие данные в базах данных действительно являются персональными. Поговорка о том, что «лучше перестраховаться, чем потом жалеть» и относиться ко всем базам данных контактов как к базам данных, содержащим персональные данные, сбывается. Такие данные, как я уже упоминал, должны быть особенно защищены.

Зашифрованные пароли

Прежде всего, не каждый сотрудник компании должен иметь доступ к базам данных контактов. Если данные хранятся в памяти компьютера, стоит позаботиться об их надлежащей защите. Антивирусные программы и пароль для доступа к компьютеру — это базовая защита, но она дает нам небольшое ощущение безопасности. Дополнительная защита может быть обеспечена с помощью пароля на сами файлы базы данных контактов или даже на весь компьютерный диск. Зашифрованные пароли — лучшее решение.

Однако хранение баз данных контактов в памяти компьютера является наименее безопасным. Взломать пароль или украсть его — сегодня для компьютерных преступников не проблема. Большую опасность с их стороны представляет, конечно же, Интернет. Если интернет-соединения из внутренних сетей (например, сети компании или домашней сети) обычно защищены от внешних атак, то при использовании так называемого широкополосного доступа (т.е. популярного WiFi) возникает проблема. Здесь угроза нападения очень вероятна.

Глобальный компьютер

Поэтому кажется, что наши контакты будут в большей безопасности в базах данных, хранящихся во все более популярных онлайн-приложениях, таких как CRM или почтовые системы, известные в маркетинговых отделах. Данные собираются в одном месте, и доступ к ним обычно возможен только после входа в систему. Однако следует помнить, что такая онлайн-система и обрабатываемые в ней данные также «где-то» хранятся. Этим местом является сервер, который — говоря простым и образным языком — представляет собой «глобальный компьютер», к которому через Интернет подключаются другие компьютеры.

Этот «глобальный компьютер» также должен быть надлежащим образом защищен, но при этом ему должна быть обеспечена подходящая рабочая среда. Довольно частым решением является приобретение небольшого сервера, который размещается в одном из помещений компании. Его администрирование обычно берет на себя IT-специалист компании. Это кажется безопасным, потому что базы данных находятся на одном «глобальном компьютере», который принадлежит нам и который охраняется нашим доверенным лицом!

Если мы заботимся о надежной защите сервера и хранящихся на нем ресурсов, мы должны считаться с постоянными затратами на поддержание такой ИТ-инфраструктуры. Электричество, подключение к Интернету (желательно несколько аварийных), охрана помещения с сервером, оплата труда и обучение IT-специалиста, заботящегося о ресурсах сервера — это расходы в несколько тысяч злотых в месяц! Кроме того, пожар в компании, перегрев сервера — это лишь некоторые из возможных угроз, в результате которых мы можем безвозвратно потерять, в том числе, и ценные базы данных контактов.

Дешевле и эффективнее

Относительно более дешевым и эффективным решением проблемы безопасного хранения баз данных контактов на «глобальном компьютере» может стать аутсорсинг. Хранение ресурсов нашего корпоративного сайта и базы данных контактов можно доверить хостинговой компании. В Польше до сих пор существует большая обеспокоенность по поводу передачи такого рода данных на аутсорсинг. Опасаясь утечки информации, составляющей коммерческую тайну, мы не хотим, чтобы «кто-то со стороны» имел доступ к нашим базам данных.

Но это лишь ментальный барьер. Наши данные могут быть в безопасности под присмотром хостинг-провайдера, но это должен быть надежный деловой партнер с соответствующим опытом.

Во-первых, давайте проверим, в каких условиях работают серверы, на которых будут храниться наши базы данных. Безопасная серверная комната — это комната, которая имеет физические и логические средства защиты. К ним относятся системы мониторинга, противопожарной защиты, кондиционирования, интернет-соединения, перенаправленные на нескольких операторов (в случае отказа одного из них), альтернативный источник электропитания, а также ИБП, межсетевой экран и IDS.

Давайте познакомимся с вашим партнером поближе

Опыт и послужной список в сфере размещения персональных данных также важен. Попросим предоставить портфолио, рекомендательные письма или тематические исследования, анализ которых должен дать нам представление о хостинговой компании. Следует обратить особое внимание на сотрудничество этой компании с финансовыми и государственными учреждениями, где особенно требуется высокий уровень безопасности данных. Поскольку адекватная защита нашей информации во многом зависит от человеческого фактора, давайте также поинтересуемся опытом администраторов. Специалисты по защите данных имеют соответствующие сертификаты, подтверждающие их компетентность, например CISSP. После того как мы провели предварительную оценку хостинг-провайдера для баз данных контактов и убедились, что это надежный и безопасный деловой партнер, давайте проанализируем хостинговые решения. Хостинг персональных данных состоит из отдельного экземпляра на сервере (проще говоря: разделение диска «глобального компьютера» на более мелкие), на котором хранятся персональные базы данных. Экземпляры баз персональных данных находятся под особой защитой. Он защищен дополнительными системами мониторинга атак, а доступ к нему возможен с уровня интернет-браузера после предварительной безопасной регистрации с использованием зашифрованного канала связи (например, с использованием SSL-сертификатов).

Действительное соглашение

Высокий уровень безопасности серверных комнат и персональных экземпляров баз данных декларируется практически каждым хостинг-провайдером. Однако мы рекомендуем те компании, с которыми мы можем заключить соглашение об аутсорсинге обработки данных. На его основании хостинговая компания разделяет с нами ответственность за надлежащую обработку персональных данных. Он обязуется соблюдать коммерческую тайну, а в случае «утечки» наших данных с сервера мы можем добиться соблюдения своих прав в суде.

Чтобы использовать хостинг для персональных данных, необходимо арендовать сервер, подходящий для такой услуги. На польском рынке хостинга существует широкий спектр цен и предложений. Цены варьируются от 100 злотых до 18 000 злотых в год. Стоит обратить внимание на предлагаемые решения. Самыми дешевыми являются стандартные, то есть небольшие виртуальные серверы, а самыми дорогими — выделенные серверы. Хотя компании предлагают услуги хостинга персональных данных, как я уже говорил, не все из них разделяют ответственность за обработку персональных данных. То есть, они не будут подписывать с нами договор о поручении обработки персональных данных.

Если вы решили разместить свои личные данные, подумайте о том, чтобы воспользоваться преимуществами полного хостинга ваших ИТ-активов. Базы данных контактов, сайт компании, электронная почта, сайты, посвященные рекламным кампаниям, и т.д. — Все эти ресурсы могут обслуживаться на одном сервере, одним поставщиком. Комплексный хостинг позволит нам более эффективно управлять нашей ИТ-инфраструктурой и оптимизировать расходы на ее обслуживание (поскольку мы можем рассчитывать на ценовые скидки).

Словарь:
Персональные данные — любая информация, касающаяся конкретного лица, благодаря которой можно быстро и легко идентифицировать это лицо, несмотря на отсутствие однозначного источника поиска. Отдельные фрагменты информации с высокой степенью общности (например, название улицы и номер дома, зарплата и т.д.) не являются персональными данными, но этот тип информации будет считаться таковым в сочетании с дополнительной информацией, которая может быть связана с конкретным человеком.
CISSP (Certified Information Systems Security Professional) — сертификат, подтверждающий знание передовых решений, связанных с безопасностью данных в информационных системах, выдаваемый независимой организацией (ISC)2 (International Information Systems Security Certification Consortium).
Хостинг — услуга, связанная с предоставлением ресурсов серверной комнаты поставщиком услуг Интернета. Она заключается в предоставлении сервера с определенными параметрами (например, объем жесткого диска, максимальная загрузка интернет-соединения серверной).
Обработка персональных данных — любая деятельность, осуществляемая с персональными данными, т.е. обмен, изменение, модификация, передача, сбор, запись, обработка, а также хранение данных.
Договор поручения обработки данных — договор, заключенный между оператором персональных данных (владельцем данных) и сторонней организацией, которая на его основании обязуется обеспечить безопасность доверенных персональных данных, в том числе выполнение требований, предусмотренных законодательством.
Зашифрованный пароль — пароль (а также другие данные, хранящиеся на компьютерном диске), зашифрованный с помощью специализированного программного обеспечения, например, Truecrypt