客户数据隐私:保护您的业务的 10 个不可协商的最佳实践

已发表: 2022-11-23

2020 年 7 月,一名黑客访问了 Twitter 的内部工具,夺取了埃隆·马斯克、比尔·盖茨、巴拉克·奥巴马和杰夫·贝佐斯等 130 个知名推特账户,以实施“双倍比特币”骗局。

数据隐私 2020 推特黑客

数以千计的 Twitter 用户上当受骗,在短短几个小时内,黑客窃取了价值超过 118,000 美元的比特币。 从那时起,数以千计的组织遭到破坏,从苹果和 Facebook 等大型跨国公司到大学、酒店、医院、政府部门,甚至教堂和筹款网站。

事实上,任何收集、处理或存储客户数据的组织都面临数据泄露的风险——包括您的组织。 这就是您必须立即采取行动保护这些数据的原因。 本文将向您展示如何操作。

目录

  • 数据隐私的重要性
  • 要了解的数据隐私法规和标准
  • 数据隐私和数据安全的最大威胁
  • 保护客户数据的 10 大最佳实践

数据隐私的重要性

数据隐私措施和控制有三个主要目标:保护信息的机密性和完整性,建立客户信任,以及遵守数据隐私法。 未能实施这些控制措施可能会导致违规,从而对个人和组织造成严重后果。

对个人的影响

数据被盗的个人可能成为身份盗用或欺诈的受害者。 黑客可能会使用窃取的数据冒充受害者并开设信用额度、申请贷款等。

敏感或私人数据的丢失也可能导致受害者面临羞辱、歧视、经济损失或心理伤害。 严重时,他们的健康、生命或家庭可能受到威胁。

对组织的影响

数据泄露也会对组织造成伤害,尤其是在财务上。 据 IBM 称,到 2022 年,违规的平均成本已上升至 435 万美元。违规成本可能包括攻击者的赎金要求,以及与违规补救和取证调查相关的“清理成本”。 监管罚款和诉讼也可能增加成本。

违规行为还会损害公司的声誉、客户认知度和股票价格。 它可能会失去客户的信任并难以履行其合同义务,这可能会影响其业务关系和利润。

美国与全球的数据泄露成本

要了解的数据隐私法规和标准

近年来发生了一连串数据泄露事件后,许多政府实施了数据隐私法。 这些法律规定了组织如何收集、处理、存储和丢弃消费者数据。 它们旨在保护消费者数据隐私并保护消费者免受数据泄露的破坏性影响。

通用数据保护条例

GDPR 适用于在任何国家/地区运营并收集欧盟居民信息的任何公司。 它管理公司如何收集、使用、传输和保护这些数据。 不遵守法律的组织可能被罚款 20+ 百万美元或全球总营业额的 4%。

美国数据隐私法

美国没有单一的联邦数据隐私法。 相反,许多特定于行业或州的法律规定了组织如何收集、处理或使用消费者数据。 例如,健康保险流通与会计法案 (HIPAA) 旨在维护受保护健康信息 (PHI) 的隐私。 同样,《加州消费者隐私法》(CCPA) 控制实体如何收集加州居民的个人信息。

CCPA 规定的权利

图片来源

行业特定的隐私标准

一些行业机构制定了适用于某些行业组织的隐私标准。 一个例子是 PCI-DSS,它适用于全球所有收集消费者信用卡信息的商家。 尽管该标准未由任何政府强制执行,但由于商家与信用卡公司的合同关系,商家必须遵守该标准。 目标是确保企业实施必要的保护措施来保护持卡人数据并防止信用卡欺诈。

在科技和广告行业,近年来我们看到了以隐私为名的许多变化。 例如,Google 降低了对搜索词报告的可见性,而 Facebook 强制要求聚合事件测量。

免费指南:10 个隐私友好的 Facebook 定位策略

数据隐私和安全的最大威胁

数据隐私涉及控制数据的收集、共享和使用方式,而数据安全涉及保护数据免受外部攻击者和恶意内部人员的侵害。 尽管存在这些差异,但这些想法之间存在一些重叠。 此外,还有许多威胁会影响数据隐私和安全。

网络钓鱼诈骗

在网络钓鱼诈骗中,攻击者发送看似来自可信来源的电子邮件。 该电子邮件可能包含恶意链接或恶意附件。 当用户点击链接时,他们将被带到一个网站,在那里他们将被要求提供他们的私人信息。

然后,攻击者会窃取此信息,从而造成破坏。 如果用户打开附件,攻击者可能会破坏他们的设备。 他们还可能获得对企业网络上其他资源的访问权限并造成广泛破坏。 因此,确保您投资于适合您企业的反网络钓鱼解决方案非常重要。

网络钓鱼电子邮件示例

图片来源

恶意软件和勒索软件

恶意软件和勒索软件是对数据安全和隐私的巨大威胁。 在勒索软件攻击中,攻击者用加密系统并锁定用户的恶意软件感染公司设备。 为了换取解密密钥,犯罪分子向该组织索要巨额赎金。 许多勒索软件可以在整个网络中传播并泄露大量数据。

内部威胁

内部威胁是对数据隐私的另一个严重威胁。 自 2020 年以来,内幕事件的发生频率增加了 44%,每起事件的成本增加到 1538 万美元。

一些威胁来自恶意或受损的内部人员,例如员工或第三方供应商。 其他人则来自网络安全卫生状况不佳的非恶意或粗心的内部人员。 例如,一个用户可能会与同事分享他们的密码,而另一个用户可能会将敏感数据存储在公共文件夹中。 此类错误可能导致意外的数据泄漏或暴露。

软件漏洞

设备和应用程序中的安全漏洞为网络犯罪分子打开了大门。 许多攻击者利用这些漏洞来攻击组织并泄露或破坏客户数据。

保护客户数据隐私的 10 大最佳实践

以下是保护您宝贵的客户数据免受网络攻击者和黑客攻击的十种方法。

1. 知道你在收集什么数据

只有知道数据是什么以及存储在哪里,才能保护数据。 了解您从客户那里收集的数据类型、使用方式以及使用对象。 您还应该知道数据的敏感程度、存储位置以及共享时间。

进行数据审计以识别整个企业的数据。 然后根据敏感性、用例和可访问性需求对每种数据类型进行分类。 最后,准备数据清单以了解需要保护哪些数据以及哪些合规性法律适用于您的组织。

常见数据分类

图片来源

以下是一些需要考虑的数据分类:

  • 公共数据:新闻稿、使命声明、目录列表信息。
  • 内部数据:工作时间表、预算、项目计划、业务流程、战略、营销数据。
  • 机密数据:个人信息、受保护的健康信息、人事记录、财务信息。
  • 受限数据:密码、合并/收购计划、知识产权。

2. 只收集必要的信息

您可以通过收集有限数量的个人数据来最大程度地减少数据泄露的潜在损害。 仅收集您的业务实现特定目标所需的私人或敏感数据,例如,改善客户体验和保留率。

要评估哪些数据是必不可少的,请定期进行数据审核。 然后评估您是否真的需要该数据。 如果没有,请停止收集它。 这样,您可以降低发生违规时造成损失的可能性。

3. 创建并发布透明的数据使用和隐私政策

定义并实施明确的数据隐私政策,并将其传达给所有利益相关者。 该策略应指定允许谁访问数据以及如何访问数据。 它还应该清楚地说明数据应该如何使用和不应该如何使用。

此外,在您的企业网站上为客户发布隐私政策。 该政策应说明贵公司如何收集、存储、使用和保护客户数据。 如果您对政策进行了更改,请确保让客户了解情况。

4.加密所有敏感的用户数据

未加密、存储不当的数据为黑客提供了攻击组织的理由。 加密您的所有数据,包括传输中的和静态的。 使用 256 键位长度加密来保护电子邮件中的数据,并使用文件级加密来保护系统和服务器上的数据。

此外,定期进行数据备份并将备份存储在安全位置。 这样,即使您成为勒索软件等网络攻击的目标,您仍然可以访问数据。 此外,您不必支付赎金。

敏感数据类型

图片来源

5. 防范网络钓鱼诈骗

为降低因网络钓鱼攻击造成损失的风险,请在整个组织中实施垃圾邮件过滤器。 还使用自动更新的防病毒和反恶意软件软件更新所有设备,以应对新出现的威胁并持续保护数据。

人们在最大限度地减少网络钓鱼攻击的影响方面发挥着重要作用。 鼓励员工向适当的人员或部门报告他们遇到的任何电子邮件诈骗。

6.更新所有软件

黑客利用设备和软件中的安全漏洞来攻击组织并破坏客户数据。 软件供应商通常会在检测到其产品中的漏洞后发布补丁。 实施这些补丁以使您的软件保持最新状态并保护您的客户数据。

7.实施多因素认证

多重身份验证 (MFA) 为企业帐户和数据提供更强大的保护。 MFA 需要额外的身份验证因素,而不仅仅是密码。 因此,即使黑客窃取了授权用户的密码,他们仍然需要第二个因素才能登录企业帐户。 通常,此因素仍由授权用户控制,因此黑客很难破坏或窃取它。

两因素与多因素身份验证

图片来源

8. 对人们进行网络安全实践培训

网络安全教育对于消除网络安全中与人相关的弱点至关重要。 对您的员工进行网络安全最佳实践方面的教育。 训练他们识别网络钓鱼攻击的迹象以及如何避免社交工程诈骗。

解释强密码和 MFA 的重要性。 此外,向他们展示为什么他们不应使用公共 Wi-Fi 网络工作并始终遵守组织的安全和隐私政策。

9.限制对数据的访问

在需要知道的基础上限制对数据的访问可以最大限度地减少对数据的内部威胁。 尽可能实施最小权限原则 (PoLP),以便用户只能访问或编辑他们角色所需的数据。 使用身份和访问管理 (IAM) 工具管理访问级别和权限。

10.实施全面的数据保护基础设施

为了保护客户数据并避免泄露,您需要一个包含所有这些工具的综合安全基础架构:

  • 防病毒和反恶意软件
  • 反广告软件和反间谍软件
  • 下一代网络防火墙
  • 弹出窗口拦截器
  • 端点检测和响应 (EDR) 工具
  • 漏洞扫描器
  • 密码管理器
  • 艺术硕士

为这些工具预留预算。 它们将帮助保护您的组织免受数据泄露,并且您将很快收回您的投资。

确保您的业务、客户和数据安全

近年来,数据泄露的数量和频率显着增加。 过去五年的情况尤其糟糕,黑客以许多知名组织为目标,影响了数百万人。

幸运的是,一切都没有丢失。 您确实对您收集和使用的数据有一定的控制权。 更重要的是,您可以保护这些数据并防止其落入坏人之手。 通过采用此处分享的想法和最佳实践,您可以降低公司和客户面临的风险。

  1. 了解您收集的数据
  2. 只收集必要的信息
  3. 创建并发布透明的数据使用和隐私政策
  4. 加密所有敏感的用户数据
  5. 防范网络钓鱼诈骗
  6. 更新所有软件
  7. 实施多重身份验证
  8. 对人们进行网络安全实践培训
  9. 限制对数据的访问
  10. 实施全面的数据保护基础设施

关于作者

Irina Maltseva 是 Aura 的增长主管和 ONSAAS 的创始人。 在过去的七年里,她一直在帮助 SaaS 公司通过集客营销来增加收入。 在她之前的公司 Hunter,Irina 帮助 3M 营销人员建立重要的业务联系。 现在,在 Aura,Irina 正在致力于她的使命,为每个人创造一个更安全的互联网。 要取得联系,请在 LinkedIn 上关注她。