Comment protéger vos clients en ligne contre le vol d'identité?
Si vous exploitez un site de commerce électronique, la protection des données privées de vos clients est probablement l'une de vos principales préoccupations. Les violations de données et les piratages peuvent être dévastateurs, en particulier pour les petites entreprises. Pour protéger vos clients en ligne contre le vol d'identité, vous avez besoin d'applications et de technologies qui éloigneront les pirates et les voleurs d'identité de vos fichiers. Vous devez également vous assurer que vous ne stockez pas les informations client qui ne sont pas absolument nécessaires à la conduite de votre entreprise.
Partie 1 sur 3: éviter les expositions inutiles
- 1Créez une politique de confidentialité écrite. Pour la plupart des entreprises en ligne, les politiques de confidentialité écrites ne sont pas exigées par la loi, mais il est toujours bon d'en avoir une et de la suivre. Votre politique de confidentialité explique à vos clients quelles informations personnelles vous collectez auprès d'eux et comment vous les utilisez.
- La loi fédérale peut vous obliger à avoir une politique de confidentialité pour vos clients dans certaines situations, par exemple si vous collectez des informations auprès d'enfants ou sur des enfants.
- Cependant, même si la loi ne vous oblige pas à avoir une politique de confidentialité, c'est toujours une bonne idée d'en créer une, de la mettre à la disposition de vos clients et de la suivre scrupuleusement.
- Vous pouvez rechercher en ligne des générateurs de politique de confidentialité simples et gratuits que vous pouvez utiliser pour vous aider à élaborer votre propre politique.
- En règle générale, vous devez inclure des informations sur la façon dont vous utilisez les cookies sur votre site Web, par exemple pour stocker les préférences de vos utilisateurs ou conserver des informations sur les articles qu'ils ont placés dans leur panier.
- Indiquez que toute information collectée ne sera utilisée que pour compléter la transaction du client et ne sera pas utilisée à d'autres fins sans le consentement du client.
- Fournissez des informations de contact afin que les clients puissent déposer une plainte auprès de la personne appropriée de votre entreprise s'ils soupçonnent que la politique de confidentialité a été violée ou s'ils ont des questions sur la manière dont leurs données sont collectées et utilisées.
- Si vous utilisez une société tierce pour vos paniers d'achat, vérifiez leurs politiques pour vous assurer que votre politique reflète fidèlement la façon dont ils collectent et utilisent les informations.
- 2Comprenez quelles informations sont stockées sur votre système et où. Pour protéger adéquatement vos clients en ligne, vous devez savoir exactement quelles informations ils fournissent sont conservées sur vos systèmes et où se trouvent ces informations.
- Gardez à l'esprit que vous ne pouvez pas protéger les informations si vous ne savez pas où elles se trouvent. Toutes les informations sensibles doivent être enregistrées et sauvegardées dans la même zone.
- Les informations client ne doivent pas être enregistrées à plusieurs endroits, par exemple sur l'ordinateur d'un employé et sur votre serveur. Il doit être enregistré dans un seul endroit et accessible uniquement à partir de cet emplacement.
- 3Évitez de stocker les profils des clients à moins que vous ne disposiez d'un système sécurisé. De nombreux clients trouvent pratique de créer des profils clients et d'enregistrer leurs adresses et leurs informations de paiement afin de ne pas avoir à les retaper à chaque fois.
- Cependant, évitez d'offrir à vos clients cette possibilité si vous ne pouvez pas protéger les informations de ces profils.
- Gardez à l'esprit que lorsqu'un client crée un profil, toutes ces informations sont potentiellement disponibles pour les voleurs d'identité. La mauvaise chose à propos d'un profil client est qu'il peut contenir toutes les informations nécessaires pour voler leur identité toutes ensemble au même endroit.
- 4Ne demandez jamais d'informations inutiles pour effectuer votre transaction. Plus vous conservez d'informations personnelles sur vos clients dans votre propre système, plus ces informations sont potentiellement exposées aux pirates, ce qui expose vos clients au vol d'identité.
- Vous pouvez limiter l'exposition de vos clients en ne stockant pas plus d'informations que ce qui est absolument nécessaire.
- Par exemple, si vous exploitez simplement un magasin de vente au détail en ligne ou similaire, vous ne devez jamais demander une partie des numéros de sécurité sociale ou de permis de conduire de vos clients. Ces informations ne sont pas nécessaires pour conclure une vente et sont des informations personnelles très sensibles.
- 5Utilisez votre propre serveur dédié. Utiliser un serveur partagé par d'autres entreprises peut sembler un bon moyen d'économiser de l'argent, mais plus les gens ont accès au serveur sur lequel les informations sont stockées, plus il y a de points d'accès potentiels aux informations de vos clients.
- Si vous louez de l’espace serveur, plutôt que d’exploiter vos propres serveurs, vous renoncez à sécuriser ces serveurs et à en surveiller l’accès.
- Vous pourrez peut-être passer un contrat avec une entreprise qui offre une sécurité de premier ordre pour les serveurs qu’elle loue. Si vous ne parvenez pas à gérer vos propres serveurs, faites de la sécurité une priorité lors de l'achat d'espace serveur.
- Assurez-vous que vous comprenez comment les informations dans les serveurs sont accédées et comment le trafic du serveur est surveillé pour les accès non autorisés.
- Si vous gérez vos propres serveurs, vous souhaiterez peut-être passer un contrat avec un service de surveillance de la sécurité. De nombreux fournisseurs de services Internet assureront également la sécurité de vos serveurs moyennant des frais supplémentaires.
- 6Adoptez le cryptage SSL sur votre boutique en ligne. La méthode la plus efficace pour éviter une exposition inutile des informations personnelles de vos clients consiste à mettre à niveau votre site Web de commerce électronique afin que vous puissiez activer la technologie de cryptage SSL plus sécurisée.
- Lorsqu'un site Web est chiffré, il passe sur «https» plutôt que sur «http».
- En règle générale, vous avez le choix de crypter uniquement votre processus de paiement ou de crypter l'ensemble de votre boutique en ligne.
- Vous souhaitez généralement choisir de chiffrer l'ensemble du magasin si vous donnez à vos clients la possibilité de créer leurs propres profils et de se connecter pour accéder à leurs préférences d'achat.
- Si vous ne fournissez pas aux clients l'option de profil, vous pouvez choisir de ne faire chiffrer que le système de paiement.
- Certains services qui vous aident à créer une boutique en ligne vous offrent l'option de cryptage. Si vous utilisez l'un de ces services de commerce électronique, il vous suffit généralement de cocher l'option d'activation des certificats SSL sur votre site Web.
Partie 2 sur 3: limiter l'accès aux systèmes
- 1Maintenez un pare-feu pour le réseau informatique et les serveurs de votre entreprise. Un pare-feu puissant empêche les pirates d'accéder à votre système et peut être activé dans le cadre de la configuration réseau sur la plupart des ordinateurs.
- Si vous disposez d'une connexion Internet sans fil dans votre entreprise, vous pouvez généralement configurer le pare-feu de votre routeur. Cela sécurise votre réseau et signifie qu'il ne reste pas ouvert à quiconque passe et trouve le signal.
- Le logiciel de configuration de votre routeur vous guidera à travers les étapes de configuration de votre pare-feu et les règles qu'il suivra. Par exemple, vous pouvez lui demander de ne pas autoriser le trafic Internet qui n'a pas été spécifiquement demandé par un ordinateur sur le réseau.
- Une fois votre réseau sécurisé, les employés auront besoin d'un mot de passe pour accéder à votre réseau sans fil.
- 2Abonnez-vous à un service de logiciel antivirus. Un logiciel antivirus ajoute une couche de protection supplémentaire au-delà de votre pare-feu. Si quelqu'un enfreint votre pare-feu, le logiciel antivirus peut identifier et détruire les logiciels malveillants et autres virus susceptibles d'être chargés sur votre réseau et utilisés pour voler les données des clients.
- Vous pouvez vous abonner à la protection antivirus auprès de certaines sociétés qui proposent des «logiciels en tant que service» antivirus. Le plus grand avantage est que vous n'avez jamais à vous soucier de la mise à niveau vers la dernière version - les mises à niveau sont généralement incluses et téléchargées automatiquement lorsque vous avez un abonnement.
- La meilleure façon de vous assurer que vos systèmes de sécurité restent à jour est de cocher la case dans les paramètres du logiciel pour activer les téléchargements automatiques des mises à jour.
- Si vous êtes en mesure de planifier des téléchargements automatiques, envisagez de les exécuter au milieu de la nuit, lorsque les gens ne sont pas susceptibles de travailler.
- 3Former les employés à la sécurité informatique et Internet. Tous les employés que vous avez qui doivent accéder aux données des clients privés dans le cadre de leur travail doivent recevoir une formation régulière et à jour sur la façon d'éviter les risques de sécurité potentiels.
- Gardez à l'esprit que toutes vos protections antivirus et autres mesures de sécurité ne sont aussi solides que les personnes qui travaillent au sein de votre système au quotidien.
- Certaines sociétés de sécurité des données et d'antivirus proposent des programmes de formation qui fournissent des informations sur la manière de travailler en toute sécurité sur Internet.
- Avoir des politiques écrites pour l'utilisation de l'ordinateur et d'Internet au travail que vos employés doivent suivre et les appliquer.
- Vous pouvez également former vos employés à reconnaître et à supprimer rapidement les e-mails malveillants ou les tentatives de phishing qui auraient pu passer par les filtres anti-spam de vos e-mails.
- 4Créez des mots de passe sécurisés. L'un des moyens les plus simples pour les pirates d'accéder à votre système et de voler les données des clients est de déchiffrer le mot de passe d'un employé. Utilisez des mots de passe complexes et modifiez-les régulièrement pour éliminer cette méthode d'accès.
- En règle générale, tous vos mots de passe doivent comporter au moins 16 caractères. Utilisez un mélange de chiffres, de symboles et de lettres majuscules et minuscules pour rendre les mots de passe difficiles à deviner.
- Évitez d'utiliser des noms ou d'autres informations d'identité comme nom d'utilisateur ou mot de passe.
- Par exemple, il est facile de deviner l'utilisation de la première initiale et du nom de famille de chaque employé comme nom d'utilisateur. Si les adresses e-mail de vos employés sont configurées de la même manière, un pirate informatique peut facilement deviner le nom d'utilisateur et lancer le processus de modification du mot de passe sans avoir à le deviner.
- Vous voudrez peut-être envisager d'utiliser un générateur de mot de passe, disponible en ligne. Beaucoup de ces services évalueront également la force de tout mot de passe que vous créez.
- Envisagez d'ajouter un processus de vérification en deux étapes ou d'activer ce processus pour les comptes essentiels avec d'autres fournisseurs de services. Ce processus signifie que même si quelqu'un connaît le mot de passe de votre compte, il doit également entrer un code envoyé sur votre téléphone pour accéder au compte.
- La vérification en deux étapes est essentielle si vous avez des mots de passe enregistrés sur des ordinateurs.
- Chaque fois qu'un employé quitte votre entreprise, vous devez immédiatement modifier les mots de passe auxquels cette personne avait accès et désactiver tous les mots de passe ou profils de connexion qui lui étaient propres.
- 5Scannez et approuvez tous les appareils. Les utilisateurs peuvent involontairement introduire des logiciels malveillants en connectant un appareil à votre réseau qui ne dispose pas d'une protection antivirus à jour. Pour éviter que cela ne se produise, vérifiez tout appareil avant son introduction et envisagez d'interdire aux employés de connecter leurs appareils personnels au réseau.
- Si vous utilisez régulièrement des appareils pour accéder à votre réseau d'entreprise, comme votre ordinateur portable personnel ou un autre appareil mobile, utilisez les mêmes paramètres de sécurité sur ces appareils que sur les ordinateurs professionnels.
- Activez le chiffrement sur tous les appareils pouvant être utilisés pour accéder aux informations client sensibles.
- Si vous autorisez les employés à travailler à domicile, assurez-vous que tous les ordinateurs ou appareils qu'ils utiliseront pour accéder au système sont aussi sécurisés que les ordinateurs du bureau. Fournissez à vos employés travaillant à domicile une liste de contrôle des tâches à effectuer pour garantir la sécurité de leurs ordinateurs.
Partie 3 sur 3: assurer la sécurité des données sensibles
- 1Utilisez un réseau privé virtuel (VPN) et un cryptage. Un VPN offre une sécurité améliorée pour votre réseau, tandis que le cryptage protège les données que vous transmettez ou stockez, les rendant inutiles même si elles tombent entre de mauvaises mains.
- L'utilisation d'un VPN est particulièrement importante si vos employés travaillent à distance, car la connexion à un VPN est tout aussi sécurisée qu'un réseau physique câblé.
- Un VPN vous permet également de maintenir un réseau sécurisé tout en utilisant le WiFi public ou d'autres réseaux Internet qui peuvent ne pas être correctement sécurisés pour accéder ou transmettre des données clients sensibles.
- Il existe plusieurs protocoles réseau différents à partir desquels vous pouvez choisir de configurer votre VPN. Consultez un expert en réseau informatique pour savoir quel protocole conviendrait le mieux à votre entreprise.
- 2Restreignez l'accès aux données sensibles. Quel que soit le nombre d'employés que vous avez, personne ne devrait avoir accès aux informations personnelles de vos clients à moins d'en avoir absolument besoin pour faire son travail. Moins il y a de personnes qui ont accès à ces informations, plus les informations sont sécurisées.
- Créez une politique écrite de gestion des documents et assurez-vous que chacun de vos employés la connaît et la comprend.
- Si certains employés n'ont pas besoin d'informations sur les clients privés dans le cadre de leurs tâches, ils ne devraient pas avoir accès à ces informations.
- Lorsque vous configurez des profils réseau pour chaque employé, vous aurez la possibilité de leur donner accès à différentes parties du réseau. Évitez de créer plusieurs comptes «admin» - donnez aux employés le minimum d'accès dont ils ont besoin pour faire leur travail.
- 3Supprimer complètement les informations personnelles. En vertu de la règle de disposition fédérale Fair and Accurate Credit Transaction Act (FACTA), toute information recueillie pour effectuer une transaction de crédit doit être complètement et définitivement détruite.
- Bien que la règle FACTA ait été mise en œuvre à l'origine pour traiter l'élimination des dossiers et documents papier, elle s'applique également à toute information électronique recueillie.
- Le simple fait de cliquer sur le bouton de suppression n'efface pas entièrement un fichier sur votre système et ne sera pas conforme aux règles d'élimination de FACTA.
- Vous pouvez acheter un logiciel d'effacement de fichiers qui efface complètement et définitivement les fichiers sensibles, ou vous pouvez télécharger un programme d'effacement de fichiers gratuit tel que Free Eraser ou File Shredder.
- 4Vérifiez que votre site Web est conforme à la norme PCI. Le Conseil des normes de sécurité PCI maintient et promeut les normes de sécurité de l'industrie des cartes de paiement, qui fournissent des exigences techniques minimales pour toute entreprise qui accepte les cartes de débit ou de crédit comme méthodes de paiement.
- Les petites entreprises seront généralement classées comme marchands de niveau 3 ou 4 aux fins de la conformité PCI.
- Les marchands de niveau 4 traitent moins de 20000 transactions de commerce électronique Visa par an, tandis que les marchands de niveau 3 traitent entre 20000 et un million de ces transactions.
- Si votre entreprise se situe à l'un de ces niveaux, vous devez télécharger et remplir le questionnaire d'auto-évaluation approprié et effectuer une analyse de vulnérabilité.
- Pour télécharger des questionnaires et trouver des informations sur les fournisseurs de numérisation approuvés, visitez le site Web PCI à pcisecuritystandards.org.
Lisez aussi:
Avertissement légal Le contenu de cet article est pour votre information générale et n'est pas destiné à se substituer à des conseils professionnels en droit ou en finance. De plus, il n'est pas destiné à être utilisé par les utilisateurs pour prendre des décisions d'investissement.