Kollig op kleinhandel: inligtingsekuriteit en dataprivaatheid

Volgens die Kantoor vir Nasionale Statistiek, in November 2023, 30% van alle kleinhandelverkope in Groot-Brittanje is aanlyn gedoene. Intussen het 'n verslag van die sekuriteitsonderneming Sophos dit bevind twee uit drie maatskappye in die kleinhandelsektor het losprysaanvalle in 2022 aangemeld. Met soveel verbruikers wat aanlyn inkopies doen, is kliëntedata 'n aanloklike prys vir kuberkrakers wat voordeel kan trek uit die verkoop of misbruik van daardie data.

Benewens toenemende kuberbedreigings, moet kleinhandelaars aan veelvuldige kuberveiligheidsregulasies voldoen. Hierdie regulasies en die risiko van aanvalle deur bedreigingsakteurs beteken dat kleinhandelkuberveiligheid op die voorpunt van handelsmerke se gedagtes moet wees.

Hoe kan jy aan die beste praktyke vir kleinhandelkuberveiligheid voldoen in die lig van tegnologiese vooruitgang, streng regulasies en kuberbedreigings?

Die kuberbedreigings wat die kleinhandelsektor in die gesig staar

Die eerste stap om veerkragtigheid van inligtingsekuriteit te verseker, is om die kuberveiligheidsuitdagings wat u besigheid in die gesig staar, te verstaan. Kleinhandelkuberveiligheid het 'n reeks bedreigings, wat alles insluit van opsetlike kuberaanvalle tot toevallige sekuriteitsverval.

Phishing

In 'n uitvissing-poging doen kubermisdadigers hulle as vertroude individue of maatskappye om die slagoffer te oortuig om persoonlike inligting, soos wagwoorde, te openbaar, wat dan gebruik kan word om toegang tot rekeninge en sensitiewe klantdata te verkry. 'n Verslag deur Zscaler ThreatLabz gevind dat die kleinhandelbedryf 'n toename van 436% in uitvissing-aanvalle vanaf 2020 tot 2021 gesien het.

Verkooppuntaanvalle

In verkooppuntaanvalle (POS) buit aanvallers swak netwerksekuriteit uit deur kwaadwillige wanware te installeer op stelsels wat gebruik word om finansiële transaksies uit te voer. Deur hierdie wanware te gebruik, kan kubermisdadigers maklik klante se betalingsdata, insluitend kredietkaartdata, van betaalstelsels steel.

ransomware

Ransomware is wanware wat ontwerp is om 'n organisasie te verhoed om toegang tot sy stelsels te kry deur sy data te enkripteer en 'n losprys te eis.

Die van Sophos Stand van losprysware in kleinhandel 2023 verslag het bevind dat 69% van kleinhandelorganisasies in 2023 losprysware-aanvalle in die gesig gestaar het, 'n afname vanaf 77% in 2022. 71% van daardie organisasies het egter gesê dat aanvallers hul data suksesvol geënkripteer het, en slegs een uit elke vier (26%) van kleinhandelaars het opgehou aanvalle voordat hul data geënkripteer is.

Voorsieningskettingaanvalle

Voorsieningskettingaanvalle kleinhandelaars teiken deur op kwesbaarhede in hul voorsieningskettings te fokus, gewoonlik deur verskaffers met swak sekuriteit wat toegang tot kleinhandelaars se sagteware of stelsels het. Deur hierdie derde partye te gebruik, infiltreer kubermisdadigers die teikenkleinhandelaar se stelsel of netwerk om toegang tot sensitiewe data te verkry.

Wat is die kritiese inligtingsekuriteitstandaarde en -regulasies in kleinhandel

Sodra jy die risiko's verstaan ​​wat kleinhandelorganisasies in die gesig staar, is die volgende stap om deur die oorvloed van standaarde en regulasies te gaan wat jou organisasie moet bewus wees en waaraan jy moet voldoen. Afhangende van waar jy werksaam is en watter kliënte jy bedien, kan daar baie wees om te oorweeg; hieronder is 'n opsomming van die belangrikste wat kleinhandelaars moet oorweeg.

Die Algemene Databeskermingsregulasie (GDPR)

Kleinhandelaars en e-handelmaatskappye moet die EU se Algemene Databeskermingsregulasie (GDPR) volg wanneer Europese kliëntedata versamel en hanteer word, ongeag of hulle 'n EU-gebaseerde organisasie is of nie. Die GDPR vereis dat maatskappye duidelike, regstellende toestemming kry wanneer hulle persoonlike inligting soos name, kontakbesonderhede, aankoopgeskiedenis en enige data wat vir gedragsprofilering of geteikende advertensiedoeleindes gebruik word, insamel.

Spesifiek, deursigtige kennisgewing en uitdruklike intekening-toestemming word vereis om kliënte se persoonlike data vir gedragsreklame te verwerk. Dit sluit in die bou van profiele wat persoonlike voorkeure, belangstellings, bestedingsgewoontes en ander eienskappe ontleed of voorspel. Maatskappye moet duidelik verduidelik dat hierdie tipe verwerking plaasvind en kliënte in staat stel om te kies of hulle saamstem.

Maatskappye moet ook kliënte toegang gee tot hul gestoorde persoonlike inligting en hulle toelaat om foute op versoek reg te stel of uit te vee. Maklik om te verstaan ​​privaatheidsbeleide moet verduidelik watter data 'n kleinhandelaar insamel en hoe hulle dit gebruik. Streng reëls reguleer ook die oordrag van kliëntedata internasionaal buite die EU. Boonop moet groter maatskappye Databeskermingsbeamptes aanstel om GDPR-nakoming oor bedrywighede heen te monitor.

Sou 'n kleinhandelaar 'n data-oortreding ervaar wat waarskynlik kliënte se regte en vryhede in gevaar stel, moet kleinhandelaars hul databeskermingsowerheid sonder onnodige vertraging in kennis stel. In sommige gevalle moet hulle dalk ook besonderhede van die oortreding direk aan individue wat geraak word, kommunikeer. Daarom is die vestiging van robuuste prosedures vir die opsporing, ondersoek en bekendmaking van oortredings 'n kritieke GDPR-nakomingsverpligting vir kleinhandelaars.

Wet op die Verbruikersbeskerming van Kalifornië (CCPA)

Die CCPA dek maatskappye met winsoogmerk wat aan sekere drempels voldoen, soos om meer as $25 miljoen in jaarlikse inkomste te hê of die persoonlike data van 50,000 XNUMX+ Kalifornië-verbruikers jaarliks ​​te koop/verkoop.

Vir kleinhandelaars en aanlynwinkels wat aan hierdie drempels voldoen, vereis die CCPA bykomende deursigtigheid, openbaarmakings en regte rondom Kalifornië-verbruikers se persoonlike data. Maatskappye moet openbaar watter tipe persoonlike inligting hulle insamel en hoe dit gebruik word. Verbruikers moet toegelaat word om te weier dat hul data aan derde partye verkoop word.

Kleinhandelaars moet ook redelike sekuriteitsprosedures implementeer soos enkripsie, toegangskontroles, inbraakdetectie en gereelde toetse om hierdie data teen oortredings of misbruik te beskerm. As 'n maatskappy wel 'n oortreding ervaar wat meer as 500 inwoners van Kalifornië raak, moet hulle verbruikers onmiddellik in kennis stel. Versuim om redelike sekuriteit te hê of verbruikers wat oortree is behoorlik in kennis te stel, kan stewige siviele boetes ingevolge CCPA tot gevolg hê.

Met Kalifornië die voorloper in digitale privaatheidswette, dui die CCPA op 'n beduidende verskuiwing vir e-handelverskaffers, bemarkingstegnologiemaatskappye, baksteen-en-mortier kleinhandelkettings en ander kleinhandelleiers in die Verenigde State. Virginia, Colorado, Utah en Connecticut het almal soortgelyke wette ingestel wat in 2024 in werking sal tree.

Baie ander state het ook oortredingskennisgewingswette wat verbruikerkennisgewing vereis as 'n data-oortreding die staat se inwoners raak. Kleinhandelaars moet dus, benewens die CCPA in Kalifornië, voldoen aan vinnig ontwikkelende privaatheidswette op staatsvlak oor die grootste deel van die land.

Die Gramm-Leach-Bliley-wet (GLBA)

Baie kleinhandelaars bied aan kliënte finansiële produkte en dienste soos kredietkaarte, finansieringsprogramme en lojaliteitsbeloningsprogramme. Kragtens die Amerikaanse federale Gramm-Leach-Bliley-wet (GLBA) moet kleinhandelaars wat hierdie tipe finansiële aanbiedinge verskaf, aan streng vereistes oor deursigtigheid, dataprivaatheid en sekuriteit voldoen.

Spesifiek, GLBA vereis dat kleinhandelaars hul inligtingversameling en deelpraktyke duidelik aan kliënte openbaar. In baie gevalle moet Maatskappye verbruikers toelaat om te onttrek voordat hulle data met eksterne partye deel.

Kleinhandelaars moet ook streng beheermaatreëls en voorsorgmaatreëls implementeer om kliëntedata te beskerm. Dit sluit in die aanwys van 'n sekuriteitskoördineerder, die uitvoer van risikobeoordelings, die gebruik van enkripsietegnologieë en die behoorlike wegdoen van rekords. Die belangrikste is dat GLBA voldoeningsvereistes uiteensit in die geval van 'n data-oortreding, insluitend die onmiddellike in kennis stel van kliënte wat geraak word. Met datakwesbaarhede en kuberaanvalle wêreldwyd aan die toeneem, is nakoming deur GLBA van kardinale belang vir kleinhandelaars wat op finansiële dienste gefokus is om kliëntevertroue te handhaaf en regulatoriese afdwingingsaksies te vermy.

Netwerk- en inligtingsekuriteitsrichtlijn (NIS2)

NIS2 het ten doel om 'n hoër vlak van kuberveiligheid en veerkragtigheid binne die EU te vestig met meer robuuste kuberveiligheidsverpligtinge. Dit wys spesifiek aanlynmarkplekke, soekenjins, wolkdienste en meer aan as "noodsaaklike" of "belangrike" entiteite wat vanaf Oktober 2024 gereguleer sal word. Dit beteken dat baie kleinhandelaars en e-handelmaatskappye soos Amazon, Shopify en eBay sal val. onder NIS2 se bestek. Kleinhandelmaatskappye wat kritieke dienste soos betalings en logistiek lewer, kan ook onder NIS2 val.

Onder NIS2 moet gedekte kleinhandelaars die risiko's vir hul IT-stelsels, toepassings, netwerke en data omvattend evalueer. Dit beteken om te evalueer:

• Infrastruktuur sekuriteit
• Sagteware kwesbaarhede
• Binnelandse bedreigings
• Derdeparty verskaffer/verkoper risiko's

 

Op grond van geïdentifiseerde risiko's sal kleinhandelaars dan die implementering van kuberveiligheidsmaatreëls soos multi-faktor-verifikasie (MFA), data-enkripsie in vervoer en rus, gereelde rugsteun van data, deurlopende penetrasietoetsing en kwesbaarheidskandering, sowel as tegnologieë en prosesse moet regverdig. vir bedreigingopsporing, insidentreaksie en voorsieningskettingrisikobestuur.

NIS2 skep ook bindende vereistes vir verslagdoening van kubervoorvalle vir kleinhandelaars. In die geval van 'n oortreding of kuberaanval wat bedrywighede of databeskikbaarheid wesenlik beïnvloed, moet hulle nasionale owerhede in elke EU-staat waarin hulle werksaam is in kennis stel en proaktief besonderhede aan kliënte wat geraak word, kommunikeer.

Met ingewikkelde digitale voorsieningskettings en datavloei, behoort groot kleinhandelaars wêreldwyd nou gereed te maak vir NIS2 se uitgebreide kuberveiligheidsverpligtinge wat gekoppel is aan hul verbindings met die ekonomiese sone van die EU. Gevorderde voorbereiding sal groot handelsmerke help om veerkragtigheid te bou terwyl ontwrigtende handhawingsaksies vermy word.

Die Betaalkaart Industry Data Security Standard (PCI DSS)

Enige kleinhandelaar wat gewilde kredietkaarte aanvaar of elektroniese betalings verwerk, moet voldoen aan die Betaalkaartindustrie-datasekuriteitstandaard (PCI DSS). PCI DSS, wat beskou word as een van die mees algemeen aanvaarde globale datasekuriteitsprotokolle, is 'n stel tegniese en beleidskontroles wat deur die PCI Security Standards Council bestuur word om sensitiewe kaarthouerinligting en transaksiedata te beskerm.

Spesifiek, kleinhandelaars wat betalings verwerk, moet voldoening bewys deur die implementering van:

• End-to-end-enkripsie
• Die handhawing van veilige stelsels en toepassings volgens PCI-leiding
• Beperk toegang tot betalingsdata
• Bou firewalls rondom kaarthouer-omgewings
• Beskerm IT-infrastruktuur met beskerming teen wanware.

Kleinhandelaars moet ook eksterne en interne kwesbaarheidskanderings uitvoer, penetrasietoetse uitvoer, insidentreaksieprosedures daarstel, alle derdeparty-verkopers monitor en jaarliks ​​of kwartaalliks nakomingsoudits ondergaan, afhangend van transaksievolume.

In Maart 2022 is PCI-DSS opgedateer vanaf weergawe 3.2.1 na weergawe 4.0, met die fokus op die handhawing van deurlopende sekuriteit en die verbetering van betalingsvalideringsprosesse. Organisasies het tot 31 Maart 2024 om die opgedateerde weergawe aan te neem - met 'n sperdatum van 18 maande om volle voldoening teen Maart 2025 te bereik.

PCI DSS v4.0 bestaan ​​uit 12 vereistes wat in ses kategorieë georganiseer is, insluitend:

• Verhoogde fokus op sekuriteit as 'n deurlopende proses
• Meer buigsaamheid in hoe organisasies hul sekuriteitsdoelwitte kan bereik
• Nuwe vereistes vir diensverskaffers, insluitend die gebruik van multi-faktor stawing en die implementering van 'n nul-trust argitektuur
• Hersiene vereistes vir sagteware-ontwikkeling, insluitend veilige koderingspraktyke en die gebruik van outomatiese gereedskap vir kwesbaarheidskandering en penetrasietoetsing
• Strenger reëls vir wagwoordbestuur, insluitend die gebruik van wagwoordfrases en die verbod op sekere tipes wagwoorde
• Aanmoediging van meer sistematiese en effektiewe enkripsie, insluitend die ondersteuning van die bekendstelling van kwantumveilige kriptografie

 

Die 12 kontroles binne PCI DSS 4.0 is opgedateer om tred te hou met beide veranderinge in die bedryf en kuberkriminele taktiek.

Die gevolge van swak inligting en datasekuriteitspraktyke in die kleinhandel

’n Versuim om inligtingsekuriteit en dataprivaatheid ernstig op te neem, kan kleinhandelaars, e-handelverskaffers en handelaarsorganisasies ’n groot impak hê.

Die Finansiële Bottom Line Van Nie-nakoming 

Al die regulasies en standaarde wat in hierdie blog uitgelig word, kom met finansiële boetes vir nie-nakoming. Maatskappye wat GDPR oortree staar streng strawwe in die gesig en kan beboet word met tot € 20 miljoen of 4% van die globale inkomste, wat ook al die hoogste is. Boonop kan individue (datasubjekte) vergoeding vir skade eis.

'n Maatskappy wat PCI-DSS oortree, kan beboet word van $ 5,000 100,000 tot $ 4,000 80,000 per maand (ongeveer XNUMX XNUMX tot XNUMX XNUMX in GBP) afhangende van die grootte van die maatskappy en die duur en omvang van nie-nakoming.

Die bank kan ook ander boetes oplê, soos om transaksiefooie te verhoog of die verhouding heeltemal te beëindig. Bykomende boetes, wat mettertyd toeneem, kan vir herhalende oortredings opgelê word.

Besighede wat GLBA oortree staar boetes van tot $100,000 10,000 per oortreding in die gesig, en individue in beheer van hierdie besighede kan met $XNUMX XNUMX per oortreding beboet word, met tot vyf jaar tronkstraf.

NIS 2 kom met baie strenger toepassingsvereistes as sy voorganger. Boetes vir nie-konformiteit wissel van sekuriteitsoudit en beveel om vasgestelde aanbevelings te volg tot boetes van €10 miljoen of 2% van die organisasie se totale wêreldwye omset – wat ook al die hoogste is.

Die maksimum siviele boete vir 'n onbedoelde CCPA-oortreding is $2,500 7,500 per oortreding. Vir opsetlike oortredings is die maksimum boete $XNUMX XNUMX per oortreding. Die maksimum boetebedrae klink relatief beskeie, maar as daar gevind word dat 'n maatskappy opsetlik duisende of selfs honderdduisende opsetlike oortredings gepleeg het, byvoorbeeld deur nie aan die CCPA-opt-out vereistes te voldoen nie, kan die totale bedrag groot wees.

CCPA laat verbruikers ook toe om $750 per verbruiker per voorval te eis of om werklike skadevergoeding te eis waar daar bewys kan word dat verlies plaasgevind het as gevolg van die oortreding.

Soos jy kan sien, kan die finansiële implikasies van nie-nakoming beduidend wees en 'n langtermyn impak hê op 'n maatskappy se winsgewendheid en langtermyn winsgewendheid.

Reputasie is alles 

Nie-nakoming gaan verder as die meer ooglopende finansiële implikasies en sluit in:

Reputasie skade: 'n Skending van persoonlike data kan 'n organisasie se reputasie aansienlik benadeel, wat lei tot 'n verlies aan kliënte en 'n afname in vertroue. Die negatiewe impak op 'n maatskappy se reputasie kan jare neem om te herstel.

regsgedinge: Organisasies kan regsgedinge in die gesig staar van individue wie se persoonlike data oortree is, wat lei tot verdere finansiële boetes en reputasieskade.

Verminderde kliëntevertroue: Wanneer persoonlike data oortree word, kan kliënte vertroue in die organisasie verloor, wat lei tot verminderde klantbetrokkenheid en moontlik die organisasie se handelsmerk en reputasie beskadig.

Verminderde voorraadwaarde: Data-oortredings kan 'n maatskappy se voorraadwaarde benadeel, aangesien beleggers bekommerd raak oor moontlike finansiële boetes en reputasieskade.

Groter ondersoek deur regulerende liggame: Organisasies wat gereelde data-oortredings of nie-nakomingskwessies ervaar, kan verhoogde oudits en ondersoeke deur regulatoriese agentskappe ondervind. Die organisasie loop die risiko dat selfs strenger regulasies ingestel word as probleme voortduur.

'n Standaardgebaseerde benadering tot kleinhandelkuberveiligheid

Die aanvaarding van 'n gevestigde inligtingsekuriteitsraamwerk is een van die doeltreffendste maniere waarop kleinhandelaars kliënte en vennote kan verseker dat hulle robuuste sekuriteitsbasis het. Die ISO 27001 raamwerk is 'n wêreldwyd erkende internasionale standaard vir inligtingsekuriteitbestuurstelsels (ISMS) wat 'n sistematiese en risiko-gebaseerde benadering bied om sensitiewe inligtingbates te beveilig.

Deur die ISO 27001-raamwerk te implementeer, kan kleinhandelaars 'n omvattende inligtingsekuriteitbestuursbenadering bou wat beleide, prosedures, kontroles en risikobestuurspraktyke insluit om te beskerm teen potensiële sekuriteitsbedreigings en kwesbaarhede en om die sekuriteit van hul kliënte se data en bewyse van hul vermoëns te verseker .

Sommige van die kernvereistes van ISO 27001 sal organisasies in staat stel om hoë vlakke van digitale vertroue te demonstreer, insluitend:

Neem 'n risiko-gebaseerde benadering: Die ISO 27001-raamwerk vereis dat organisasies risiko's vir hul inligtingsbates identifiseer en evalueer en toepaslike beheermaatreëls implementeer om daardie risiko's te versag. Hierdie benadering verseker dat inligtingsekuriteitsmaatreëls aangepas is vir die spesifieke risiko's en behoeftes van die organisasie, wat help om vertroue by kliënte en belanghebbendes te bou.

Verseker nakoming van regulasies: Die ISO 27001-raamwerk is ontwerp om organisasies te help om te voldoen aan verskeie regulatoriese vereistes wat verband hou met inligtingsekuriteit, insluitend databeskermingswette, privaatheidsregulasies en industriespesifieke regulasies. Organisasies kan vertroue met reguleerders en ander belanghebbendes bou deur voldoening aan hierdie regulasies te demonstreer.

Aktiveer deurlopende verbetering: Die ISO 27001-raamwerk beklemtoon die behoefte aan deurlopende monitering, hersiening en verbetering van die inligtingsekuriteitbestuurstelsel. Deur voortdurend hul sekuriteitsmaatreëls te verbeter, kan organisasies hul verbintenis toon om sensitiewe inligting te beskerm en vertroue by belanghebbendes te bou.

Doeltreffende bestuur van derdeparty-verskaffers: ISO 27001-sertifisering word wêreldwyd erken as 'n validering van 'n organisasie se inligtingsekuriteitbestuurstelsel. Deur sertifisering te bekom, kan organisasies aan kliënte, vennote en ander belanghebbendes demonstreer dat hulle 'n omvattende en doeltreffende inligtingsekuriteitbestuurstelsel geïmplementeer het.

PCI-DSS en ISO 27001:2022

Interessant genoeg kan baie PCI-DSS-beginsels direk na ISO 27001 gekarteer word, wat die geleentheid skep om 'n geïntegreerde benadering te volg wat kostevoordele en bedryfsdoeltreffendheid kan bied, wat die hulpbronne wat benodig word verminder deur op die raamwerke se gedeelde vereistes te fokus.

Verdere voordele sluit in die verbetering van die algehele sekuriteitsposisie teen 'n breër reeks bedreigings deur die sterkpunte van beide standaarde te ontgin om leemtes te identifiseer en te vul. Uiteindelik fasiliteer die geïntegreerde perspektief voortdurende verbetering deur gereelde hersiening en beter aanpasbaarheid by opkomende bedreigings.

Ons het 'n handige gids geskep wat hierdie benadering tot gelyktydige nakoming van beide ISO 27001 en PCI-DSS v4 uiteensit, waartoe u hier toegang kan kry: Kartering van die PCI-DSS v4-raamwerk na die opgedateerde ISO 27001:2022

Neem 'n veilige standpunt in teen kuberveiligheidsbedreigings in die kleinhandel

Aangesien die kleinhandellandskap steeds aanlyn verander, moet kuberveiligheid 'n topprioriteit wees vir kleinhandelaars van alle groottes. Tussen toenemende kuberbedreigings, komplekse regulasies soos GDPR en PCI DSS, en die reputasierisiko's van data-oortredings, het kleinhandelhandelsmerke baie op die spel wanneer dit kom by die beskerming van kliëntedata.

Kleinhandelaars moet kritieke stappe neem om robuuste sekuriteitskontroles te implementeer, wêreldwyd erkende standaarde soos ISO 27001 te bereik, en 'n geïntegreerde benadering volg om nakomingsverpligtinge na te kom. Deur die beste praktyke vir kuberveiligheid te volg en gevorderde tegnologieë te gebruik, sal dit help om sensitiewe stelsels en data te beveilig.

Die belangrikste is dat kleinhandelaars kuberveerkragtigheid 'n deurlopende proses eerder as 'n eenmalige projek moet maak. Soos bedreigings en regulasies ontwikkel, moet kuberverdediging ook ontwikkel. Deur inligtingsekuriteit 'n gereelde raadsaalbespreking te maak en voldoende hulpbronne toe te wy, kan kleinhandelaars veiliger, betroubare rentmeesters van klantdata word. Die finansiële, reputasie- en wetlike gevolge van gebrek aan optrede is te beduidend om te ignoreer.

Versterk jou nakoming vandag

As jy jou reis na PCI-DSS V4-voldoening wil begin, kan ons help.

Ons ISMS-oplossing maak 'n eenvoudige, veilige en volhoubare benadering tot PCI-DSS en inligtingbestuur moontlik met ISO 27001 en meer as 100 ander raamwerke. Besef vandag jou mededingende voordeel.

Boek 'n demo