Bezpieczeństwo danych osobowych w sklepie internetowym – wywiad z Adamem Dąbrowskim (Unizeto Technologies SA)

Autor tekstu Krzysztof Bartnik
Opublikowano 27 października 2010
Kategoria ✍️ Wywiady
Czas czytania: 5 min

Dbanie o bezpieczeństwo danych klientów to jeden z podstawowych obowiązków właścicieli sklepów internetowych, jednak z moich obserwacji wynika, że jest to również jedna z najczęściej pomijanych kwestii (przynajmniej na początku działalności w e-handlu). To oczywiście spory błąd, który może nasz kosztować utratę jakże cennego zaufania.

Zapraszam do przeczytania wywiadu z Adamem Dąbrowskim z firmy Unizeto Technologies SA (partner generalny eKomercyjnie w październiku, gdyby ktoś jeszcze nie zauważył lub miał wątpliwości), w którym omawiamy poruszony na wstępie temat.

Krzysztof Bartnik (eKomercynie.pl): Załóżmy, że mam sklep internetowy, który zbiera pozytywne opinie w internecie. Klienci nie boją się u mnie zamawiać, polecają sklep znajomym. Po co mi certyfikat SSL?

Adam Dąbrowski (Unizeto Technologies SA): Aby utrzymać taki stan rzeczy. Certyfikat SSL zabezpiecza przesyłane dane (np. dane teleadresowe zamawiających), a tym samym uniemożliwia ich przejęcie przez osoby niepowołane i utratę zaufania przez posiadanych już klientów. Dodatkowo należy pamiętać, że inwestycję w bezpieczeństwo transakcji doceniają wszyscy klienci.

KB: Po czym klienci mogą poznać, że dane w sklepie są chronione przez certyfikat SSL?

AD: Najbardziej rozpoznawalny element to symbol kłódki pojawiający się obok adresu danej strony internetowej, zmiana protokołu z http na https w pasku przeglądarki oraz dla niektórych przeglądarek dodatkowo zmiana koloru pasku z adresem (na zielony lub żółty).

KB: Czy klienci sklepów zwracają uwagę na bezpieczeństwo zapewniane przez certyfikat SSL, czy raczej polegają na innych czynnikach (pozytywne opinie zadowolonych klientów, udostępniane danych firmy, itp.)?

AD: Tutaj najlepszym przykładem są badania udostępnione przez rząd USA (link). Wykazały one, że dla ponad 62% badanych zagadnienia związane z bezpieczeństwem w sieci są istotne. Co więcej, 48% badanych obawia się o ochronę swoich danych osobowych! Istotne jest też, że z roku na rok świadomość użytkowników w tym zakresie rośnie i bezpieczeństwo danych ma coraz większe znaczenie przy sprzedaży online.

KB: Jakie są najważniejsze korzyści z posiadania certyfikatu w sklepie internetowym?

AD: Korzyści są obopólne, zarówno dla właściciela sklepu internetowego, jak i jego klientów. Po pierwsze SSL zapewnia wymaganą prawem ochronę danych osobowych i uwalnia właściciela sklepu od odpowiedzialności w przypadku kontroli ze strony GIODO. Po drugie, dla coraz większej liczby potencjalnych klientów zabezpieczenie SSL to standard, poniżej którego zapalają się lampki ostrzegawcze. Ponadto, niezależnie od tego czy dany klient jest świadomy zagrożeń czy też nie, stosowane przez sklepy internetowe certyfikaty SSL zapewnią ochronę także jego danych (nie wspominając o wizerunku).

KB: Jak wybrać odpowiedni certyfikat dla sklepu internetowego? Na co zwracać uwagę, co jest niezbędnym minimum?

AD: Najważniejsze jest, aby certyfikat wydany został przez zaufane centrum certyfikacji (takie jak np. CERTUM PCC). W przypadku certyfikatów wydanych przez centra niezaufane klienci otrzymają informację w swoich przeglądarkach o niezaufanym certyfikacie. Już sama forma takiego komunikatu może spowodować rezygnację klientów z odwiedzania strony i robienia tam zakupów.

KB: Jak wygląda proces instalacji certyfikatu SSL w sklepie internetowym?

AD: W pierwszej kolejności certyfikat należy uzyskać w centrum certyfikacji za pośrednictwem formularza internetowego. Na tym etapie niezbędne będzie utworzenie przez przyszłego subskrybenta pary kluczy oraz tzw. żądania CSR – można to zrobić przy wykorzystaniu narzędzi systemowych dostępnych we wszystkich najpopularniejszych serwerach WWW lub wykorzystać automatyczny generator CSR (np. udostępniany przez wyżej wymieniane Certum).

Po przyjęciu danych do certyfikatu i zweryfikowaniu ich przez centrum certyfikacji, subskrybent otrzymuje certyfikat. Ten należy umieścić w odpowiednim miejscu na serwerze, gdzie znajduje się dany sklep internetowy oraz skonfigurować w odpowiedni sposób połączenia, tak aby wykorzystywany był protokół https zamiast standardowego http.

KB: Hosting sklepu zapewnia zewnętrzna firma, która dokłada wszelkich starań, aby wszystkie dane były bezpieczne. Czy w tej sytuacji jest sens inwestować w certyfikat SSL?

AD: Certyfikat SSL gwarantuje tutaj bezpieczeństwo na całkiem innej płaszczyźnie. Dostawcy usług hostingowych są w stanie dbać o bezpieczeństwo danych, które znajdują się już na ich serwerach. Certyfikat SSL zabezpiecza natomiast proces komunikacji pomiędzy klientem a sklepem internetowym i uniemożliwia przechwycenie danych w trakcie przesyłania.

Dobrym przykładem może być tutaj sektor finansowy, gdzie ponad 92% instytucji stosuje Certyfikat SSL jako sposób ochrony przesyłanych danych osobowych za pośrednictwem formularzy WWW (Privacy & Data Protection Practices: a Benchmark Study of the Financial Services Industry). Wynika to z faktu, iż certyfikaty SSL są pod tym kątem najbardziej popularnym i wciąż jednym z bezpieczniejszych rozwiązań.

KB: Jak liczyć zwrot z inwestycji w certyfikat SSL? Czy właściciele sklepów postrzegają to raczej jak inwestycja w ubezpieczenie AC samochodu – dopiero jak coś się stanie, to żałują, że wcześniej nie wykupili?

AD: Inwestycja w zakup certyfikatu SSL to przede wszystkim spełnienie wymogu prawnego dotyczącego ochrony danych osobowych, o którym wie, lub chce wiedzieć tylko część właścicieli sklepów. Wciąż panuje powszechna opinia (zwłaszcza wśród niewielkich sprzedawców), że nie potrzebują certyfikatów SSL, bo mają małe obroty albo dlatego, że ich biznes nie jest taki dochodowy, jak rywali. To błędne podejście szkodzące zarówno właścicielom sklepów jak i ich klientom. Myślę, że analiza porównawcza odwiedzin i dokonanych transakcji przed instalacją certyfikatu i po niej dałaby pewien obraz utraconych korzyści. Problem w tym, że takich analiz nikt nie prowadzi, bo kosztują więcej niż sam certyfikat.

KB: Czy są w Polsce przykłady (case’y) na to, że brak certyfikatu SSL spowodował poważne straty dla sklepu internetowego?

AD: Wymianę danych pomiędzy klientami a sklepem internetowym bez szyfrowania (stosowania certyfikatów SSL) porównać można z przesyłaniem tradycyjnej kartki pocztowej. Wszelkie zapisane na niej informacje są dostępne dla każdego, kto taką kartkę będzie mógł zobaczyć. Nie wiadomo więc, ile osób zapozna się z treścią zanim pocztówka trafi do adresata i w jaki sposób wykorzystane będą zapisane na niej informacje. Z tego względu trudno określić, ile działań niepożądanych jest wynikiem przechwycenia danych podczas zakładania kont w niezabezpieczonych certyfikatem SSL sklepach internetowych. Nie wiadomo też, jaki procent otrzymywanego spamu jest wynikiem przejęcia adresów e-mail z takich serwisów. Jedno jest pewne – prawo nakłada obowiązek stosowania zabezpieczeń w celu ochrony danych osobowych.

KB: Co grozi firmie w przypadku braku odpowiednich zabezpieczeń danych osobowych?

AD: Właściciel sklepu internetowego musi się liczyć z utratą zaufania wśród klientów, a w konsekwencji spadku zamówień i wizją zamknięcia sklepu. Brak zabezpieczeń to również ryzyko konfliktu z prawem. Uprawnienia kontrolne posiada między innymi Generalny Inspektor Ochrony Danych Osobowych, który stwierdzając nieprawidłowości z pewnością podejmie stosowne działania administracyjne. Nie można też wykluczyć podważania zaufania wśród klientów przez firmy konkurencyjne – lub osoby wrogo nastawione – brak certyfikatu SSL to wbrew pozorom mocny pretekst do osłabienia zaufania.

KB: Na koniec pytanie hipotetyczne. Mam w sklepie certyfikat SSL. Czy kradzież danych osobowych klientów dalej jest możliwa?

AD: Certyfikat SSL jest tylko jednym z elementów zabezpieczających. Posiadanie certyfikatu SSL uniemożliwia przechwycenie danych w trakcie wymiany informacji. Właściciel sklepu musi równolegle zadbać o prawidłowe przechowywanie gromadzonych danych np. poprzez korzystanie z usług hostingowych oferowanych przez wyspecjalizowane firmy, które w ramach świadczonych usług zapewniają miedzy innymi: ochronę fizyczną serwerów, programowe zabezpieczenia przed wrogim oprogramowaniem, ciągłość działania itp. Spełnienie powyższych warunków pozwala skupić się na rozwoju swojego e-biznesu.

P.S. Firma Unizeto Technologies SA świętuje właśnie swoje 45. urodziny i z tej okazji udostępniła dla Czytelników eKomercyjnie specjalny kod rabatowy, uprawiający do zniżki 20% (przy zamówieniach na Certyfikaty SSL, Certyfikaty do Podpisywania Kodu, Certyfikaty niekwalifikowane zaufane i Certyfikaty VPN). Aby skorzystać z tak dużej promocji musicie wpisać w koszyku sklepu Unizeto kod 20EKOMERCYJNIE (ważny do 30.11.2010).

Regularnie otrzymuj powiadomienia o nowych materiałach. Dołącz do grupy ponad 6500 osób, którzy prenumerują eKomercyjnie!