• Anasayfa
  • Nesne
  • Pazarlama
  • Müşteri Verilerinin Gizliliği: İşinizi Korumak için Tartışılamaz 10 En İyi Uygulama

Müşteri Verilerinin Gizliliği: İşinizi Korumak için Tartışılamaz 10 En İyi Uygulama

Yayınlanan: 2022-11-23

Temmuz 2020'de bir bilgisayar korsanı, "bitcoin'inizi ikiye katlayın" dolandırıcılığı gerçekleştirmek için Elon Musk, Bill Gates, Barack Obama ve Jeff Bezos gibi 130 yüksek profilli Twitter hesabını ele geçirmek için Twitter'ın dahili araçlarına erişti.

veri gizliliği 2020 twitter hilesi

Binlerce Twitter kullanıcısı buna kandı ve sadece birkaç saat içinde bilgisayar korsanı 118.000 dolardan fazla bitcoin çaldı. O zamandan beri, Apple ve Facebook gibi büyük çok uluslu şirketlerden üniversitelere, otellere, hastanelere, devlet dairelerine ve hatta kiliselere ve bağış toplama web sitelerine kadar binlerce kuruluş ihlal edildi.

Gerçek şu ki, müşteri verilerini toplayan, işleyen veya depolayan herhangi bir kuruluş, sizinki de dahil olmak üzere ihlal riski altındadır. Bu yüzden bu verileri korumak için şimdi harekete geçmelisiniz. Bu makale size nasıl olduğunu gösterecek.

İçindekiler

  • Veri gizliliğinin önemi
  • Veri gizliliği düzenlemeleri ve bilinmesi gereken standartlar
  • Veri gizliliği ve veri güvenliğine yönelik en büyük tehditler
  • Müşteri verilerinizi korumak için en iyi 10 uygulama

Veri gizliliğinin önemi

Veri gizliliği önlemleri ve kontrollerinin üç ana hedefi vardır: Bilgilerin gizliliğini ve bütünlüğünü korumak, müşterilerle güven oluşturmak ve veri gizliliği yasalarına uymak. Bu kontrollerin uygulanmaması, hem bireyler hem de kuruluşlar için ciddi sonuçları olabilecek bir ihlale yol açabilir.

Bireyler üzerindeki etki

Verileri çalınan kişiler, kimlik hırsızlığı veya dolandırıcılığın kurbanı olabilir. Bilgisayar korsanları, çalınan verileri kurbanın kimliğine bürünmek ve kredi limitlerini açmak, kredi başvurusu yapmak vb. için kullanabilir.

Hassas veya özel verilerin kaybı, mağdurun aşağılanma, ayrımcılık, mali kayıp veya psikolojik zarar görmesine de neden olabilir. Ciddi durumlarda, sağlıkları, yaşamları veya aileleri tehdit edilebilir.

Kuruluşlar üzerindeki etki

Veri ihlalleri, kuruluşlara da, özellikle mali açıdan zarar verir. IBM'e göre, bir ihlalin ortalama maliyeti 2022'de 4,35 milyon dolara yükseldi. İhlal maliyetleri, saldırganların fidye taleplerinin yanı sıra ihlalin düzeltilmesi ve adli soruşturmalarla ilgili "temizlik maliyetlerini" içerebilir. Düzenleyici para cezaları ve davalar da maliyeti artırabilir.

Bir ihlal ayrıca şirketin itibarına, müşteri algısına ve hisse senedi fiyatlarına zarar verebilir. Müşterilerinin güvenini kaybedebilir ve iş ilişkilerini ve karlarını etkileyebilecek olan sözleşmeden doğan yükümlülüklerini yerine getirme mücadelesi verebilir.

ABD'de veri ihlali maliyetine karşı küresel

Veri gizliliği düzenlemeleri ve bilinmesi gereken standartlar

Son yıllarda bir dizi veri ihlalinin ardından, birçok hükümet veri gizliliği yasalarını uygulamaya koydu. Bu yasalar, tüketici verilerinin kuruluşlar tarafından nasıl toplandığını, işlendiğini, saklandığını ve atıldığını düzenler. Bunlar, tüketici verilerinin gizliliğini korumayı ve tüketicileri veri ihlallerinin zararlı etkilerinden korumayı amaçlar.

GDPR

GDPR, herhangi bir ülkede faaliyet gösteren ve AB sakinlerinin bilgilerini toplayan tüm şirketler için geçerlidir. Şirketlerin bu verileri nasıl topladığını, kullandığını, ilettiğini ve güvence altına aldığını yönetir. Yasaya uymayan kuruluşlar 20+ milyon dolar veya toplam küresel cironun %4'ü oranında para cezasına çarptırılabilir.

ABD veri gizliliği yasaları

ABD'nin tek bir federal veri gizliliği yasası yoktur. Bunun yerine, sektöre veya eyalete özgü çok sayıda yasa, kuruluşların tüketici verilerini nasıl topladığını, işlediğini veya kullandığını düzenler. Örneğin, Sağlık Sigortası Taşınabilirlik ve Muhasebe Yasası (HIPAA), korunan sağlık bilgilerinin (PHI) gizliliğini korumayı amaçlamaktadır. Benzer şekilde, Kaliforniya Tüketici Gizliliği Yasası (CCPA), kuruluşların Kaliforniya'da ikamet edenlerin kişisel bilgilerini nasıl toplayabileceklerini denetler.

CCPA kapsamındaki haklar

Resim kaynağı

Sektöre özgü gizlilik standartları

Bazı sektör kuruluşları, belirli sektörlerdeki kuruluşlar için geçerli olan gizlilik standartları geliştirmiştir. Bir örnek, dünya çapında tüketicilerin kredi kartı bilgilerini toplayan tüm satıcılar için geçerli olan PCI-DSS'dir. Standart herhangi bir hükümet tarafından zorunlu kılınmasa da, kredi kartı şirketi ile olan sözleşmeye dayalı ilişkileri nedeniyle tacirler buna uymak zorundadır. Amaç, işletmelerin kart sahibi verilerini korumak ve kredi kartı sahtekarlığını önlemek için gerekli önlemleri almasını sağlamaktır.

Teknoloji ve reklamcılık endüstrisinde, son yıllarda gizlilik adına bir takım değişiklikler gördük. Örneğin, Google, arama terimleri raporundaki görünürlüğü azaltıyor ve Facebook, Toplu Etkinlik Ölçümünü zorunlu kılıyor.

Ücretsiz kılavuz: Gizlilik Dostu 10 Facebook Hedefleme Stratejisi

Veri gizliliği ve güvenliğine yönelik en büyük tehditler

Veri gizliliği , verilerin nasıl toplandığını, paylaşıldığını ve kullanıldığını kontrol etmekle ilgiliyken, veri güvenliği , verileri harici saldırganlardan ve kötü niyetli içeridekilerden korumakla ilgilidir. Bu farklılıklara rağmen, bu fikirler arasında çeşitli örtüşmeler vardır. Ayrıca, hem veri gizliliğini hem de güvenliği etkileyebilecek birçok tehdit vardır.

Kimlik dolandırıcılığı

Kimlik avı dolandırıcılığında, saldırgan güvenilir bir kaynaktan geliyormuş gibi görünen e-postalar gönderir. E-posta, kötü amaçlı bir bağlantı veya kötü amaçlı bir ek içerebilir. Bir kullanıcı bağlantıya tıkladığında, kendilerinden özel bilgilerini vermelerinin isteneceği bir web sitesine yönlendirilecektir.

Saldırgan daha sonra bu bilgileri çalarak bir ihlale neden olur. Kullanıcı eki açarsa, saldırgan cihazının güvenliğini aşabilir. Ayrıca kurumsal ağdaki diğer kaynaklara erişim elde edebilir ve yaygın hasara neden olabilirler. Bu nedenle, işletmeniz için doğru kimlik avına karşı koruma çözümüne yatırım yaptığınızdan emin olmanız önemlidir.

kimlik avı e-postası örneği

Resim kaynağı

Kötü amaçlı yazılım ve fidye yazılımı

Kötü amaçlı yazılım ve fidye yazılımı, veri güvenliği ve gizliliği için büyük tehditlerdir. Bir fidye yazılımı saldırısında, bir saldırgan kurumsal cihazlara sistemi şifreleyen ve kullanıcıyı kilitleyen kötü amaçlı yazılım bulaştırır. Suçlu, şifre çözme anahtarı karşılığında kuruluştan yüklü bir fidye talep eder. Birçok fidye yazılımı türü, ağ boyunca yayılabilir ve büyük miktarda veriyi sızdırabilir.

İçeriden gelen tehditler

İçeriden gelen tehditler, veri gizliliğine yönelik bir başka ciddi tehdittir. 2020'den bu yana içeriden öğrenilen olayların sıklığı %44 arttı ve olay başına maliyet 15,38 milyon dolara yükseldi.

Bazı tehditler, çalışanlar veya üçüncü taraf satıcılar gibi kötü niyetli veya güvenliği ihlal edilmiş içerideki kişilerden gelir. Diğerleri, siber güvenlik hijyeni zayıf olan, kötü niyetli olmayan veya dikkatsiz içeriden gelen kişilerden gelir. Örneğin, bir kullanıcı parolasını bir iş arkadaşıyla paylaşabilirken, bir başkası hassas verileri ortak bir klasörde depolayabilir. Bu tür hatalar, yanlışlıkla veri sızıntılarına veya ifşalara neden olabilir.

Yazılım açıkları

Cihazlardaki ve uygulamalardaki güvenlik açıkları, siber suçlulara kapı açar. Birçok saldırgan, kuruluşlara saldırmak ve müşteri verilerini çalmak veya tehlikeye atmak için bu güvenlik açıklarından yararlanır.

Müşteri verilerinin gizliliğini korumak için en iyi 10 uygulama

Değerli müşteri verilerinizi siber saldırganlardan ve bilgisayar korsanlarından korumanın on yolunu burada bulabilirsiniz.

1. Hangi verileri topladığınızı bilin

Verileri yalnızca ne olduğunu ve nerede saklandığını biliyorsanız koruyabilirsiniz. Müşterilerden ne tür veriler topladığınızı, bunların nasıl kullanıldığını ve kimlerin kullandığını anlayın. Ayrıca verilerin ne kadar hassas olduğunu, nerede saklandığını ve ne zaman paylaşıldığını da bilmelisiniz.

Kuruluş genelinde verileri belirlemek için bir veri denetimi gerçekleştirin. Ardından, her veri türünü hassasiyete, kullanım durumuna ve erişilebilirlik ihtiyacına göre kategorilere ayırın. Son olarak, hangi verilerin korunması gerektiğini ve kuruluşunuz için hangi uyumluluk yasalarının geçerli olduğunu anlamak için bir veri envanteri hazırlayın.

ortak veri sınıflandırmaları

Resim kaynağı

Dikkate alınması gereken bazı veri sınıflandırmaları şunlardır:

  • Kamuya açık veriler: Basın bültenleri, misyon beyanları, dizin listeleme bilgileri.
  • Dahili veriler: İş programları, bütçeler, proje planları, iş süreçleri, stratejiler, pazarlama verileri.
  • Gizli veriler: Kişisel bilgiler, korunan sağlık bilgileri, personel kayıtları, mali bilgiler.
  • Kısıtlanmış veriler: Parolalar, birleşme/satın alma planları, fikri mülkiyet.

2. Yalnızca gerekli bilgileri toplayın

Sınırlı miktarda kişisel veri toplayarak bir veri ihlalinin olası zararını en aza indirebilirsiniz. Yalnızca, örneğin müşteri deneyimlerini ve elde tutmayı iyileştirmek gibi belirli hedeflere ulaşmak için işletmeniz için ihtiyaç duyduğunuz özel veya hassas verileri toplayın.

Hangi verilerin gerekli olduğunu değerlendirmek için periyodik veri denetimleri yapın. Ardından, bu verilere gerçekten ihtiyacınız olup olmadığını değerlendirin. Değilse, toplamayı bırakın. Bu şekilde, bir ihlal olması durumunda kayıp olasılığını azaltabilirsiniz.

3. Şeffaf bir veri kullanımı ve gizlilik politikası oluşturun ve yayınlayın

Net bir veri gizliliği politikası tanımlayın ve uygulayın ve bunu tüm paydaşlara iletin. Politika, verilere kimin ve nasıl erişmesine izin verildiğini belirtmelidir. Ayrıca verilerin nasıl kullanılması ve kullanılmaması gerektiğini açıkça belirtmelidir.

Ayrıca, iş web sitenizde müşteriler için bir gizlilik politikası yayınlayın. Politika, şirketinizin müşteri verilerini nasıl topladığını, sakladığını, kullandığını ve koruduğunu belirtmelidir. Politikada değişiklik yaparsanız müşterileri bilgilendirdiğinizden emin olun.

4. Tüm hassas kullanıcı verilerini şifreleyin

Şifrelenmemiş, yetersiz depolanmış veriler, bilgisayar korsanlarına kuruluşa saldırmak için bir neden verir. Hem geçiş halinde hem de bekleyen tüm verilerinizi şifreleyin. E-postalardaki verilerin güvenliğini sağlamak için 256 anahtar bit uzunluğunda şifreleme ve sistemler ve sunuculardaki verileri korumak için dosya düzeyinde şifreleme kullanın.

Ayrıca, düzenli olarak veri yedekleri alın ve yedekleri güvenli bir yerde saklayın. Bu şekilde, fidye yazılımı gibi bir siber saldırının hedefi olsanız bile verilere erişebilirsiniz. Üstelik fidyeyi ödemek zorunda kalmayacaksınız.

hassas veri türleri

Resim kaynağı

5. Kimlik avı dolandırıcılığına karşı koruyun

Kimlik avı saldırılarından kaynaklanan kayıp riskini azaltmak için kuruluş genelinde e-posta spam filtreleri uygulayın. Ayrıca tüm cihazları, ortaya çıkan tehditlerle başa çıkmak ve verileri sürekli olarak korumak için otomatik olarak güncellenen antivirüs ve kötü amaçlı yazılımdan koruma yazılımıyla güncelleyin.

Kimlik avı saldırılarının etkisinin en aza indirilmesinde insanlar önemli bir rol oynamaktadır. Çalışanları, karşılaştıkları herhangi bir e-posta dolandırıcılığını uygun kişiye veya departmana bildirmeye teşvik edin.

6. Tüm yazılımları güncelleyin

Bilgisayar korsanları, kuruluşlara saldırmak ve müşteri verilerini tehlikeye atmak için cihazlardaki ve yazılımlardaki güvenlik açıklarından yararlanır. Yazılım satıcıları genellikle ürünlerindeki güvenlik açıklarını tespit ettikten sonra yamalar yayınlar. Yazılımınızı güncel hale getirmek ve müşteri verilerinizi korumak için bu yamaları uygulayın.

7. Çok faktörlü kimlik doğrulamayı uygulayın

Çok faktörlü kimlik doğrulama (MFA), kurumsal hesaplar ve veriler için daha güçlü koruma sağlar. MFA, yalnızca bir parola değil, ek bir kimlik doğrulama faktörü gerektirir. Bu nedenle, bir bilgisayar korsanı yetkili bir kullanıcının parolasını çalsa bile, bir kurumsal hesaba giriş yapmak için yine de ikinci faktöre ihtiyaç duyacaktır. Genellikle, bu faktör yetkili kullanıcının kontrolünde kalır, bu nedenle bir bilgisayar korsanının onu ele geçirmesi veya çalması zordur.

iki faktörlü ve çok faktörlü kimlik doğrulama

Resim kaynağı

8. İnsanları siber güvenlik uygulamaları konusunda eğitin

Siber güvenlik eğitimi, siber güvenlikteki insanlarla ilgili zayıflıkları ortadan kaldırmak için şarttır. Çalışanlarınızı en iyi siber güvenlik uygulamaları konusunda eğitin. Kimlik avı saldırısının belirtilerini fark etmeleri ve sosyal mühendislik dolandırıcılıklarından nasıl kaçınacakları konusunda onları eğitin.

Güçlü parolaların ve MFA'nın önemini açıklayın. Ayrıca, iş için neden halka açık Wi-Fi ağlarını kullanmamaları ve her zaman kuruluşun güvenlik ve gizlilik politikalarına uymaları gerektiğini gösterin.

9. Verilere erişimi sınırlayın

Verilere erişimi, bilinmesi gerekenler bazında sınırlamak, verilere yönelik dahili tehditleri en aza indirir. Mümkün olduğunda, kullanıcıların yalnızca rolleri için ihtiyaç duydukları verilere erişebilmesi veya bunları düzenleyebilmesi için en az ayrıcalık ilkesini (PoLP) uygulayın. Kimlik ve erişim yönetimi (IAM) araçlarıyla erişim düzeylerini ve izinleri yönetin.

10. Kapsamlı bir veri koruma altyapısı uygulayın

Müşteri verilerini güvence altına almak ve ihlalleri önlemek için tüm bu araçları içeren kapsamlı bir güvenlik altyapısına ihtiyacınız var:

  • Antivirüs ve kötü amaçlı yazılımdan koruma yazılımı
  • Reklam yazılımı ve casus yazılım önleme yazılımı
  • Yeni nesil web güvenlik duvarı
  • Pop-up engelleyiciler
  • Uç nokta algılama ve yanıt (EDR) araçları
  • Güvenlik açığı tarayıcısı
  • Şifre yöneticisi
  • MFA

Bu araçlar için bir bütçe ayırın. Kuruluşunuzu veri ihlallerinden korumaya yardımcı olacaklar ve yatırımınızı oldukça hızlı bir şekilde geri alacaksınız.

İşletmenizi, müşterilerinizi ve verilerinizi güvende tutun

Veri ihlallerinin sayısı ve sıklığı son yıllarda önemli ölçüde artmıştır. Son beş yıl, bilgisayar korsanlarının bir dizi yüksek profilli kuruluşu hedef alması ve milyonlarca insanı etkilemesiyle özellikle kötü geçti.

Neyse ki, her şey kaybolmadı. Topladığınız ve kullandığınız veriler üzerinde bir miktar kontrole sahipsiniz. Daha da önemlisi, bu verileri güvenceye alabilir ve yanlış ellere geçmesini engelleyebilirsiniz. Burada paylaşılan fikirleri ve en iyi uygulamaları kullanarak şirketinize ve müşterilerinize yönelik riskleri azaltabilirsiniz.

  1. Hangi verileri topladığınızı bilin
  2. Yalnızca gerekli bilgileri toplayın
  3. Şeffaf bir veri kullanımı ve gizlilik politikası oluşturun ve yayınlayın
  4. Tüm hassas kullanıcı verilerini şifreleyin
  5. Kimlik avı dolandırıcılığına karşı koruyun
  6. Tüm yazılımları güncelleyin
  7. Çok faktörlü kimlik doğrulamayı uygulayın
  8. İnsanları siber güvenlik uygulamaları hakkında eğitin
  9. Verilere erişimi sınırlayın
  10. Kapsamlı bir veri koruma altyapısı uygulayın

Yazar hakkında

Irina Maltseva, Aura'da Büyüme Lideri ve ONSAAS'ta Kurucudur. Son yedi yıldır, SaaS şirketlerinin gelen pazarlama ile gelirlerini artırmalarına yardımcı oluyor. Önceki şirketi Hunter'da Irina, 3M pazarlamacılarının önemli iş bağlantıları kurmasına yardımcı oldu. Şimdi Aura'da Irina, herkes için daha güvenli bir internet yaratma misyonu üzerinde çalışıyor. İletişime geçmek için onu LinkedIn'de takip edin.