Jak zadbać o bezpieczeństwo biznesu w internecie?

Autor: Piotr Machałek

Bezpieczeństwo w internecie polega na profilaktyce. Jeżeli dopuścimy do problemów związanych z naszymi danymi lub naszych klientów, sytuacja robi się bardzo poważna. Niejednokrotnie same naprawy techniczne, przywrócenie sprawności pochłania dużo więcej czasu i pieniędzy, niż uruchomienie całego systemu od zera! Nie mówiąc już o utracie zaufania klientów, które trzeba będzie odbudować.

Poniżej podstawowe zasady, które warto przestrzegać, aby zminimalizować ryzyko, a także kilka słów o konsekwencjach ich nieprzestrzegania.

Regularnie aktualizuj stronę i sklep internetowy.

Regularne aktualizacje są bardzo ważne, poprawiają jakość funkcjonowania i zabezpieczają stronę. W szczególności te drugie z wymienionych, które są kluczowe i należy niezwłocznie je wprowadzać. Dlaczego?

Konsekwencji źle zabezpieczonej strony może być bardzo wiele, oto kilka z nich:

  • ktoś wykrada dane Twoich klientów lub podmienia linki do płatności i numery kont, a tym samym okrada Twoich klientów!
  • atakujący podmienia pliki znajdujące się na Twojej stronie www, wgrywając w ich miejsce pliki zarażone wirusem. Osoby, które dotychczas pobierały pliki ze strony i mają do niej zaufanie, otworzą np. zarażonego wirusem pdfa, który następnie zaszyfruje pliki na ich dysku.
  • ktoś/bot włamuje się na Twoją stronę w celu rozsyłania spamu - Twoja domena trafia na spam listę w wielu miejscach. W konsekwencji wszystkie e-maile wysyłane z Twojej domeny i serwera będą odbijać się od skrzynek odbiorców. Nie trafią nawet do spamu!
  • ktoś włamuje się na Twoją stronę i używa jej do phishingu lub udostępnia z niej treści niedozwolone - w takim przypadku odpowiedzialność może spaść na Ciebie.
  • wiele innych...

Powiesz: "Kto by włamał się na moją małą nieznaną nikomu stronę." Odpowiedź jest prosta - bot :). Boty "chodzą" po internecie szukając podatnych stron i atakują.

Ukrywaj loginy administratorów i dbaj o bezpieczeństwo e-maila, którego używasz do logowania się w kluczowych systemach.

Loginy administratorów mogą być wykorzystane do ataków bruteforce na Twoją stronę. Dlatego do logowania do panelu zarządzania stroną czy hostingiem nie używaj adresu e-mail, który widnieje na Twojej stronie internetowej lub jest w inny sposób znany dla obcych osób. Warto też dbać o ukrycie podstrony do panelu administracyjnego (w tym innych informacji umożliwiających ich namierzenie).

Przy okazji dbania o ukrywanie ważnych informacji, zadbaj o to, aby Twoja skrzynka e-mail była bezpieczna. W końcu jest to miejsce, gdzie można przypomnieć hasło do wielu serwisów i trzymasz tam zapewne dużo informacji, które można wykorzystać do wyłudzeń i włamań.

Używaj trudnych do złamania haseł i autoryzacji dwuskładnikowej.

Wszędzie i zawsze warto dbać o to, żeby hasłem nie było imię psa, które można znaleźć na facebooku oraz data urodzenia babci, z którą w dniu urodzin zrobiłeś sobie zdjęcie pisząc wszystkiego najlepszego z okazji 80 urodzin :)

Pamiętaj też o tym, aby hasła w różnych serwisach internetowych były inne. Wiąże się to z tym, że w przypadku wykradzenia bazy danych z jednego serwisu utrudnimy atak na nasze konto w innym.

O ile jest to możliwe, używaj autoryzacji dwuskładnikowej. Może uratować to dostęp do Twojego konta, jeśli obie wymienione powyżej metody nie zadziałają.

Dbaj o backup plików.

Dobra polityka przechowywania backupów i stosowanie jej to podstawa. Trzymanie plików z backupem w tym samym miejscu co strona, nie jest dobrym pomysłem :)

Minimalne wymagania dobrego backupu? Trzymaj zawsze 3 kopie na 2 różnych maszynach i przynajmniej jedną z nich w innej lokalizacji fizycznej.

Jak często robić backup? To zależy już od Ciebie i Twoich potrzeb.

Szyfruj dane.

Bardzo ważne jest szyfrowanie danych. W przypadku przechwycenia ich przez osobę niepożądaną nie wykorzysta ona ich przeciwko nam. Jest to bardzo ważne w przypadku przechowywania backup'ów, gdzie dużo naszych danych jest gromadzonych w jednym miejscu.

Kiedyś byli ludzie, którzy w swoich bazach danych trzymali hasła użytkowników niezaszyfrowane. Jak kończyły się takie przypadki można się domyślić.

Zabezpiecz formularze kontaktowe i używaj np. recaptchy.

Unikniesz tym sposobem dużej ilości spamu w skrzynce e-mail, a także zapytań, które wydają się być w porządku, a takie nie są, bo napisał je bot.

Jest to tak samo ważne jak nietrzymanie adresu e-mail zwykłym tekstem na stronie.

To tylko kilka rad, o których można by się rozpisywać lub poddawać je pod dyskusję. Jednak przestrzeganie reguł jest jak mycie rąk, niewiele kosztuje, a ma gigantyczny wpływ na nasze zdrowie.

Szukasz pomocy w zabezpieczeniu swojej strony internetowej?

Napisz na czacie, nasi konsultanci są po to, aby doradzić rozwiązanie najlepiej dopasowane do Twoich potrzeb.

Masz więcej pytań na temat naszych rozwiązań?

Skontaktuj się z nami, odpowiemy na każde Twoje pytanie w ciągu 24h.

Drogi odwiedzający,

w związku z wprowadzeniem regulacji europejskich odnośnie ochrony danych osobowych (RODO), informujemy Cię o naszej nowej polityce prywatności, w której zawarte są informacje jak przetwarzamy Twoje dane osobowe i jakie środki bezpieczeństwa stosujemy w celu świadczenia usługi Subinet.

Ponieważ przetwarzanie informacji o Twojej przeglądarce jest niezbędne do świadczenia usługi Subinet, prosimy o akceptację polityki prywatności, abyś mógł kontynuować korzystanie z serwisu.

Zawsze możesz wycofać wyrażoną wcześniej zgodę w zakładce Polityka prywatności

Polityka prywatności

1. Dane osobowe

  1. Niniejsza polityka prywatności ma zastosowanie do usług świadczonych przez Subinet Sp. z o.o. za pośrednictwem subinet.pl.
  2. Subinet Sp. z o.o. jest spółką prawa handlowego z ograniczoną odpowiedzialnością z adresem siedziby ul. Chmielna 2/31, 00-020 Warszawa, Polska; podlegająca prawu Unii Europejskiej i Polski. Spółka widnieje w krajowym rejestrze sądowym pod numerem KRS 0000528824 w wyniku rejestracji przez XIII Wydział Gospodarczy Sądu Rejonowego dla miasta stołecznego Warszawy. Spółka posiada numer identyfikacji podatkowej NIP 5252599039 oraz numer identyfikacyjny REGON 147496151.
  3. Administratorem danych osobowych zawartych w serwisie subinet.pl jest Subinet Sp. z o.o. Dane osobowe są przetwarzane w celu zapewnienia prawidłowego świadczenia usług na rzecz użytkownika, którego te dane dotyczą.
  4. Subinet Sp. z o.o. podejmuje działania wymagane lub zalecane prawem w celu zabezpieczenia informacji przed nieuprawnionym dostępem i wglądem.
  5. Dane osobowe klientów przetwarzane są w celach:
    • świadczenia usługi ( zgodnie z art. 6 ust. 1 lit. f RODO)
      • księgowo-rozliczeniowych
      • windykacji należności
      • zarządzania kontaktem z klientami
        1. poprawa jakości usług i wydajności
      • umożliwienia użytkowania panelu administratora i zakupu usług (pliki cookies na czas sesji)
      • statystyka
    • marketing i informacje handlowe (tylko za odrębną zgodą, zgodnie z art. 6 ust. 1 lit. a RODO)
  6. Dane klientów zebrane podczas rejestracji do systemu będą wykorzystywane wyłącznie w celu świadczenia zamówionych usług i obsługi płatności (art. 6 ust. 1 lit. b RODO). W tym celu przetwarzamy takie dane jak:
    • imię i nazwisko
    • e-mail
    • adres (ulica, miasto, kod pocztowy, województwo, kraj)
    • NIP / Pesel
    • numer konta
  7. Dane osobowe nie są ujawniane podmiotom trzecim. Wyjątek stanowią dane księgowe, które przetwarzane są w sposób zautomatyzowany przez podmiot trzeci - Fakturownia Sp. z o.o.
  8. Dane księgowo-rozliczeniowe przechowywane są przez 60 miesięcy od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowania zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Realny czas przechowywania takich danych może wynieść do 10 lat.
  9. Dane klientów zbierane na potrzeby korespondencji i wsparcia technicznego to:
    • imię i nazwisko
    • adres (ulica, miasto, kod pocztowy, województwo, kraj)
    • stanowisko
    • e-mail
    • numer telefonu
    • adres IP
    Dane zbierane podczas korespondencji będą wykorzystywane wyłącznie w celu udzielenia odpowiedzi na poruszone zagadnienia. Dane kontaktowe i korespondencję przechowujemy przez czas świadczenia usługi oraz dodatkowo przez okres 60 miesięcy po zakończeniu umowy, w celu zabezpieczenia roszczeń. Po tym okresie dane oraz ich kopie są usuwane ze wszystkich nośników.
  10. Dane klientów mogą być powierzane do przetwarzania w celu utrzymania usługi i świadczenia wsparcia technicznego przez outsourcowanych administratorów IT na rzecz Subinet Sp. z o.o. przez Meverywhere Sp. z o.o.
  11. Dane klientów wykorzystywane na potrzeby marketingowe to:
    • imię i nazwisko
    • adres (ulica, miasto, kod pocztowy, województwo, kraj)
    • stanowisko
    • e-mail
    Dane te powiązane z aktualnie używanymi usługami wykorzystywane są jedynie w celu promowania nowej oferty Subinet Sp. z o.o.. Nie są przetwarzane automatycznie, ani przekazywane do podmiotów trzecich. Dbając o prywatność naszych klientów, nie stosujemy w tym celu automatycznego profilowania ani remarketingu. Przechowujemy je przez okres, w czasie którego udzielona jest zgoda i wykorzystujemy jedynie do wysyłki newslettera.
  12. Subinet Sp. z o.o. może zbierać adresy IP z ruchu sieciowego w celach technicznych, statystycznych oraz wymaganych przez prawo. Czas przechowywania danych w celach technicznych i wymaganych przez prawo to 12 miesięcy. W celach statystycznych dane są anonimizowane i przechowywane bezterminowo.
  13. Gromadzone dane są przetwarzane tylko i wyłącznie w celach niezbędnych do świadczenia usługi.
  14. Zgromadzone dane są zachowane w tajemnicy z wyjątkiem okoliczności, w których zaistnieje obowiązek ich udostępnienia na mocy prawa. (art. 6 ust. 1 lit. c RODO)
  15. Subinet Sp. z o.o. może odmówić zaprzestania przetwarzania danych użytkownika tak długo jak jest to niezbędne do zakończenia postępowań sądowych lub egzekucji zobowiązań. W wymienionych sytuacjach dane mogą być przetwarzane wyłącznie w zakresie koniecznym. (art. 17 ust. 3 lit. e RODO)

2. Zmiana danych

  1. Użytkownik ma prawo do cofnięcia wydanej wcześniej zgody (art. 7 ust. 3 RODO), do wglądu, modyfikacji (sprostowania), ograniczenia przetwarzania (art. 18 RODO), przeniesienia danych (art. 20 RODO) oraz usunięcia swoich danych ze wszystkich nośników, przez administratora danych, a także wszystkie podmioty przetwarzające dane na rzecz administratora, którym jest Subinet.
  2. Przywileje przysługujące użytkownikowi z praw o którym mowa w Art. 2 ust. 1, można spełnić poprzez zalogowanie do panelu oraz w wyniku bezpośredniego zwrócenia się do Subinet Sp. z o.o. za pomocą formularza kontaktowego na stronie subinet.pl/kontakt lub kontakt drogą e-mailową na iod
    @
    subinet.pl.
  3. Dane zbierane automatycznie podlegają zmianie lub usunięciu pod warunkiem, że zawierają dane osobowe.

3. Wykorzystanie ciasteczek

  1. Subinet.pl może wykorzystywać pliki cookie w celu identyfikacji przeglądarki internetowej podczas świadczenia usług pod warunkiem, że nie zawierają danych osobowych.
  2. Cookies to informacje tekstowe, wysyłane przez serwis WWW i zapisywane po stronie użytkownika (zazwyczaj na twardym dysku komputera), umożliwiające Subinet Sp. z o.o. dbanie o jakość usług oraz utrzymanie zadowolenia użytkowników. Pozwalają nam na świadczenie usług za pośrednictwem serwisu subinet.pl, dzięki nim funkcjonuje możliwość wyboru oferty i koszyk. Używamy ich na podstawie art. 6 ust. 1 lit b oraz f. RODO.
  3. Zgodnie z art 6 ust.1 lit. f RODO przetwarzamy dane w celach statystycznych i marketingu bezpośredniego. Dane, których Subinet Sp. z o.o. nie jest w stanie zidentyfikować, są wykorzystywane w narzędziu umożliwiającym mierzenie ruchu Google Analytics Google LLC.
    Aby uniknąć profilowania przez sieć reklamową Google LLC, na wszystkich stronach dostępnych w internecie należy postępować zgodnie z instrukcją umieszczoną na: https://support.google.com/analytics/answer/181881?hl=pl. W celu uzyskania większej ilość informacji na temat usług świadczonych przez Google LLC zapraszamy do zapoznania się z materiałami umieszczonymi na stronie: https://policies.google.com/privacy/update?hl=pl.
  4. W skryptach analitycznych takich jak Google Analytics, aby zagwarantować najwyższy poziom bezpieczeństwa danych Subinet stosuje anonimizację na wczesnym etapie.
  5. Korzystając z Google Analytics lub podobnych skryptów, Subinet anonimizuje dane na wczesnym etapie, co wyklucza powiązanie adresu IP z określonym użytkownikiem.
  6. W skryptach do analizy user experience na stronie Subinet tj. SmartLook firmy Smartsupp.com stosowana jest pełna anonimizacja danych, żadne dane osobowe nie są przetwarzane.
  7. W skrypcie do obsługi czatu na stronie Subinet tj. Tawk.to firmy Tawk.to inc. stosowana jest anonimizacja danych, przetwarzane są jedynie dane podane w czasie przeprowadzania rozmowy na czacie:
    • zas przetwarzania danych udostępnionych w trakcie rozmowy na czacie dla osób nie będących klientami wynosi do 60 dni po czym zostają usunięte,
    • Czas przetwarzania danych udostępnionych w trakcie rozmowy na czacie dla osób będących klientami trwa przez cały okres świadczenia usługi i dodatkowe 60 miesięcy po zakończeniu umowy, w celu zabezpieczenia roszczeń. Po tym okresie dane oraz ich kopie są usuwane ze wszystkich nośników.

4. Bezpieczeństwo danych

  1. Wszelkie dane zgromadzone przez firmę Subinet Sp. z o.o. są przechowywane na serwerach zabezpieczonych przed nieautoryzowanym dostępem zgodnie z wysokim poziomem bezpieczeństwa określonym w rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
  2. Zgodnie z Rozporządzeniem 2016/679 Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. wszystkie dane osobowe zebrane przez Subinet Sp. z o.o. przetwarzane są zgodnie z góry wyznaczonymi celami, a dostęp do danych udzielony jest wyłącznie osobom odpowiedzialnym za wykonywanie działań związanych z przetwarzaniem danych osobowych.

5. Postanowienia końcowe

  1. Subinet Sp. z o.o. może zaktualizować niniejszą politykę prywatności poprzez opublikowanie nowej polityki prywatności na stronie subinet.pl. Zaktualizowana polityka prywatności obowiązuje użytkownika po otrzymaniu jego zgody na zaistniałe zmiany.
  2. W razie dodatkowych pytań Subinet Sp. z o.o. chętnie udzieli odpowiedzi. Prosimy o kontakt za pośrednictwem formularza kontaktowego na subinet.pl lub na adres e-mail iod
    @
    subinet.pl.
Od 25.05.2018 r. naruszenia ochrony danych osobowych można zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych.

Obowiązuje od 25.05.2018r.