Специфика работы с персональными данными (ПДн) в розничной торговле заключается в необходимости обработки больших объемов информации. На ПДн завязано существенное количество бизнес-процессов, и в их обработку вовлечено значительное число сотрудников. «Если речь идет о крупных сетях магазинов розничной торговли, то для них характерной особенностью, в первую очередь, является большая и сложная информационная инфраструктура, а также сочетание централизованной и децентрализованной обработки данных, что, безусловно, необходимо учитывать при определении подхода к построению системы защиты персональных данных», – говорит Ринат Катчиев, руководитель направления аудита и консалтинга департамента ИБ Softline.

Кроме того, работа ритейлера связана с передачей данных третьих лицам в интересах бизнеса. Например, среди крупных компаний с большой долей оборота онлайн бизнес-процессы затрагивают большое количество сторонних компаний, таких как службы доставки и грузоперевозок, рекламные агентства, проводящие рассылки по клиентским базам, аутсорсинговые компании, берущие на себя операционную деятельность в части взаимодействия с клиентами и т.д.

Наконец, для ритейлеров высокую ценность имеет информация о собственных клиентах. «Зачастую именно база клиентов для ритейлеров является одним из основных “козырей” в борьбе с конкурентами. Кроме того, специфика бизнеса таких компаний ставит их в сильную зависимость от лояльности покупателей. И в данном контексте вопросы защиты ПДн и предотвращение утечек данных несут серьезные репутационные риски», – объясняет руководитель направления Compliance центра информационной безопасности компании «Инфосистемы Джет» Елена Козлова.

Также в розничных сетях присутствует большой «пласт» информации, которую можно отнести к категории коммерческой тайны: это финансовые данные, стратегические планы развития бизнеса, объемы реализации продукции, анализ конкурентоспособности товаров, информация о рекламной деятельности, данные о партнерах и конкурентах, сведения о персонале.

Наличие большого количества разноплановой конфиденциальной информации предъявляет повышенные требования к обеспечению безопасности. Благодаря этому проекты ИБ в рознице отличаются значительными масштабами, однако технически используются те же самые средства, что и в других отраслях экономики. Для защиты ПДн применяются практики, включающие в себя процессы управления рисками ИБ, разграничения доступа к ресурсам, обеспечения безопасности сети, антивирусной защиты и другие.

В целом, российская розница справляется с защитой данных – локальные утечки случаются, но крупных инцидентов, когда бы в открытом доступе оказалась клиентская база данных, зафиксировано не было (в отличие, например, от сотовых операторов). «Это обусловлено тем, что ритейл в основном сформирован представителями небольших компаний, для которых утечка клиентской базы по размерам финансового ущерба может оказаться критической для бизнеса в целом», – объясняет Елена Козлова.

Теме не менее, в обеспечении ИБ в ритейле есть несколько специфических моментов, на которых хотелось бы остановиться подробнее.

Требования регулятора и облака

Федеральный закон №152 «О персональных данных» предъявляет дополнительные требования при работе с данными третьих лиц и предусматривает ответственность за их невыполнение, что создает дополнительные сложности для розничных сетей. Функционирование программ лояльности напрямую связано с накоплением, обработкой и анализом данных о клиентах.

«В единую базу поступают ПДн клиентов из различных источников – это анкеты программ лояльности в магазинах, обращения в сервисный центр, заказы интернет-магазина, обращения в контакт-центр. Все эти данные, собранные в разной форме, аккумулируются в единой базе данных и используются в соответствии с заявленными целями обработки с согласия клиента», – делится опытом Константин Коротнев, менеджер по информационной безопасности «Эльдорадо». Для обеспечения ИБ компания использует средства сетевой защиты, антивирусы, разграничение доступа, системы управления рисками. При этом система менеджмента информационной безопасности была сертифицирована на соответствие международному стандарту ISO 27001:2005, определяющему требования к организации процессов управления ИБ.

Обработка ПДн может происходить в традиционных ЦОДах, в виртуализированной среде внутреннего облака компании, в публичном облаке внешнего провайдера РФ или у заграничного оператора. В каждом случае необходимо учесть определенные нюансы. На первый взгляд, в облачной среде используется тот же подход, что и в простых ЦОДах. «Ставятся периметровые средства защиты, закрывающие всю площадку. После этого остается решить лишь вопрос с защитой виртуализации и разграничения информационных систем ПДн между собой. Решения для обеих задач представлены на рынке», – объясняет Дмитрий Дудко, ведущий инженер центра компетенции ИБ компании «АйТи».

Однако нынешнее правовое поле не определяет условия и требования к техническим системам и технологиям, в рамках которых осуществляется обработка ПДн, устанавливая только функциональные требования к защите, что накладывает определенные ограничения, считает Ринат Катчиев. «Это и недостаточный набор средств защиты информации при использовании в облачной архитектуре, еще более ограниченный спектр решений СЗИ, прошедших оценку соответствия установленным образом, условия размещения в ЦОД облака и пр. Основная задача исполнителя, реализующего выполнение требований законодательства о ПДн, - найти такой разумный компромисс, при котором в равной степени выполняются требования к защите ПДн, а условия, предъявляемые к облачному сервису, остаются в пределах коммерческой привлекательности», - говорит спикер.

Среди условий, которые необходимо выполнить, – размещение провайдера облачных услуг на территории РФ, использование сертифицированных криптографических средств для защиты канала передачи данных, подписание провайдером облачных услуг договора об обработке ПДн.

Отдельно стоить отметить ситуацию, когда данные хранятся у зарубежного провайдера. Такое может случиться, если ритейлер арендует площадку для интернет-магазина у иностранного поставщика. «Если провайдер входит в перечень стран, подписавших Конвенцию Совета Европы о защите ПДн, или в специальный перечень стран Роскомнадзора, то достаточно включить в договор с провайдером пункт о необходимости обеспечения конфиденциальности персональных данных и задокументировать применяемые им меры защиты. Если провайдер в числе стран, не обеспечивающих адекватную защиты ПДн, например, США, то необходимо согласие каждого клиента на передачу и обработку данных таким провайдером, что может быть проблематично», – утверждает эксперт по ИБ компании «Микротест» Сергей Борисов.

Платить банковской картой опасно?

С точки зрения покупателя, наиболее «ценные» данные, которые он оставляет в магазине, - это сведения о банковской карте при безналичном расчете. В России крупных утечек такого рода пока не было, а на Западе они случаются регулярно. Например, только в 2014 г. сообщалось о краже данных пластиковых карт через POS-терминалы розничных сетей Neiman Marcus, Target, Michaels , Sally Beauty Holdings.

Для противодействия мошенникам был разработан стандарт безопасности PCI DSS, учрежденный платежными системами Visa, Mastercard и рядом других. Он представляет собой 12 детализированных требований к защите. Положения стандарта выполняются по-разному при работе в оффлайн и онлайн. В первом случае используются платежные терминалы банков-эквайеров, который выполняет большую часть ИБ, но делегирует розничному магазину некоторые функции.

«Условия определяются договором между банком-эквайером и компанией розничной торговли – мерчантом, в рамках которого установлен перечень обязательств по обеспечению ИБ со стороны ритейлера. Естественно, банк-эквайер формирует эти требования на основе PCI DSS и требует их соблюдения. Компании розничной торговли, на практике, ограничиваются только выполнением требований по договору, а не всего стандарта целиком», – комментирует Ринат Катчиев.

В случае онлайн торговли нагрузка на ритейлера выше. Для обеспечения безопасности используется протокол шифрования SSL (https), а также технология двухфакторной аутентификации 3-D Secure. Небольшие сайты осуществляют переадресацию на сайт платежной системы или банка, на плечи которых ложится основная работа, однако они предъявляют к партнерам-ритейлерам определенные требования ИБ как и в случае оффлайн. Крупные площадки обрабатывают транзакции в собственных информационных системах, поэтому вынуждены полностью выполнять требования PCI DSS.

В целом, выполнение стандарта безопасности пластиковых карт остается на низком уровне. «Среди оффлайн-компаний, использующих только выделенные банками-эквайерами POS-терминалы, доля подтвердивших соответствие PCI DSS очень мала. Однако она начинает расти под давлением эквайеров, среди которых доля сертифицированных по PCI DSS намного больше», – утверждает Елена Крылова. «Осознание необходимости применения PCI DSS ретейлерами пока мало. Даже среди западных компаний процент осознания необходимости всех мер защиты не превышает 40%», – согласен Сергей Борисов.