دليل شامل حول حماية البيانات الشخصية للعملاء
تقوم أغلب الشركات والمؤسسات بحفظ البيانات الشخصية الخاصة بعملائها كالأسماء وأرقام الضمان الاجتماعي وأرقام بطاقات الائتمان وغيرها من المعلومات في ملفاتها وعلى أجهزتها، إذ غالباً ما تكون هذه البيانات ضرورية لإنجاز الأعمال وخدمة هؤلاء العملاء بطريقة مثالية وبشكل يعكس صورة جيدة عن المؤسسة أو الشركة، لكن هذه البيانات والمعلومات الخاصة بالعملاء هي سلاح ذو حدين، فبقدر ما هي مفيدة لتقديم أفضل الخدمات لهم، فإنّها يُمكن أن تكون سبباً في فقدان ثقتهم بالشركة أو حتى قيامهم برفع دعاوى قضائية عليها أمام المحاكم القانونية، وذلك في حال تسرُّب هذه البيانات والاطلاع عليها من قبل الآخرين.
كما قد يتسبب تسرّب بيانات العملاء بتكاليف مادية باهظة، ويُمكن أن يتم اقتحام بيانات العملاء الشخصية والتجسس عليها من خلال الهجمات الإلكترونية التي يقوم بها المحتالون عبر شبكة الإنترنت من خلال العديد من البرمجيات الخبيثة التي تُسهل عليهم ذلك، ويوضح الدليل الإرشادي الآتي الإجراءات والطرق التي يُمكن للشركات من خلالها حماية البيانات الشخصية الخاصة بعملائها.
يتناول هذا الدليل المُمارسات والطرق الصحيحة التي يُمكن من خلالها حفظ بيانات العملاء وحمايتها من خطر التعرض للتجسس أو الاختراق من أي جهة كانت:
تحديد مصادر جمع المعلومات
تُعتبر الخطوة الأولى في سبيل حماية البيانات الشخصية الخاصة بعملاء أي شركة أو مؤسسة تحديد المصادر التي يتم من خلالها جمع تلك البيانات؛ إذ يُمكن أن يتم الحصول عليها وتجميعها من خلال العملاء أنفسهم، أو من شركات بطاقات الائتمان، أو من خلال عناوين البريد الإلكتروني الخاصة بالعملاء أو حتى من مقاولين مختصين بهذا الأمر، وغيرها من الطرق التي يُمكن من خلالها جمع تلك البيانات. فمعرفة جهات الحصول على بيانات العملاء تجعل صاحب العمل أو الشركة يُقيّم خطر تسرّب تلك البيانات أو التجسس عليها، ومعرفة فيما إذا كانت هناك جهات أخرى تحتفظ بنسخة من بيانات العملاء قبل تقديمها للشركة أو المؤسسة.
تحديد أماكن حفظ البيانات
بعد الاطلاع على الجهات المورّدة لبيانات العملاء وكيفية الحصول عليها، فإنّه يتوجب معرفة أين يتم حفظ هذه البيانات والمعلومات، فهل يتم حفظها فقط عبر أجهزة الحاسوب الخاصة بالشركة؟ أم أنه يتم الاحتفاظ بنسخ منها على أجهزة الهواتف المحمولة أو حتى الأقراص الصلبة الخارجية أو أي جهة تخزين أخرى؟ أو أنها موجودة أيضاً بنسخ ورقية في مكاتب المؤسسة وأرشيفها؟ فمعرفة مكان حفظ البيانات الشخصية للعملاء، ومن لديه حق الوصول إليها يجعل من الممكن تحري الدقة في كيفية حفظ هذه البيانات بشكل صحيح وضمان عدم تسربها.
الاحتفاظ فقط بالبيانات اللازمة
من المُمارسات الآمنة والسليمة في سبيل الحفاظ على أمن البيانات الشخصية الخاصة بالمُستخدِمين الاحتفاظ فقط بالبيانات والمعلومات اللازمة لإنجاز عمل الشركة والقيام بمهامها وتقديم خدماتها على أفضل وجه؛ ففي حين قد يكون من الضروري للشركة حفظ أسماء العملاء دون الحاجة لحفظ أرقام حساباتهم المصرفية على سبيل المثال، لذا فإنّه يتوجب أن يتم حذف أي بيانات زائدة ولا حاجة لها، إذ إنّ هذا الأمر يُقلّل من الخطر الذي قد تتعرض له الشركة في حال تم تسريب البيانات والاطلاع عليها من قبل أي جهة كانت ويحد من الآثار المترتبة على ذلك.
تقييد الوصول المادي
يُمكن أن ينطوي خطر فقدان البيانات الشخصية للعملاء على ضياع المستندات الورقية التي تحتوي تلك البيانات أو اختراقها بشكل مادي من قبل الآخرين وتعرضها للسرقة، لذا فإنّه يتوجب تخزين أي مستندات ورقية تتضمن بيانات العملاء الورقية وحفظها في غرفة مقفلة أو خزنة لا يُمكن الوصول إليها إلا من أصحاب الاختصاص، كما يتوجب تقييد الوصول إلى النسخ الرقمية المحفوظة على الأقراص الصلبة أو أي وسائط تخزين أخرى، وذلك عبر حفظها هي الأخرى بمكان آمن لا يُمكن اختراقه بشكل مادي من قبل أي كان.
وضع خطة للكوارث
يتوجب أن يتم وضع خطة استجابة طارئة للتعامل مع أي حوادث اختراق وتجسس على بيانات العملاء، وذلك بهدف تقليل المخاطر الناجمة عن هذا الأمر في حالة حدوثه ومحاولة إنقاذ الموقف بأسرع ما يُمكن.
التخلُص السليم
يُمكن أن يتم حدوث اختراق لخصوصية بيانات العملاء في أثناء قيام الشركة بالتخلص منها، سواء كان ذلك في حاويات القمامة بالنسبة للسجلات الورقية والمطبوعة، أو كان ذلك بالتخلص غير السليم من النسخ الرقمية المحفوظة على الأقراص الصلبة أو ما شابهه، لذا فإنّه يتوجب أن يتم التحقق من التخلص من البيانات القديمة، والتي لا تحتاجها الشركة بطريقة سليمة؛ فالسجلات المطبوعة يتوجب أن يتم تمزيقها وتقطيعها جيداً بحيث لا يُمكن أن يتم استصلاحها بأي شكل. وكذلك الأمر بالنسبة لمحركات الأقراص الصلبة التي يُراد التخلص منها، إذ يتوجب التحقق من إزالة المعلومات التي كانت محفوظة عليه وبشكل لا يُمكن معه استرداد البيانات بأي من الطرق التقنية المختلفة.
تحقيق الأمان الإلكتروني
من الأمور الهامة إلى حد بعيد في حفظ البيانات الخاصة بالعملاء ومنع تعرضها للاختراق أو السرقة والتجسس عليها من قبل اللصوص عبر الإنترنت هو تحقيق الأمان التقني والإلكتروني لهذه البيانات، والذي يُمكن تحقيقه من خلال الآتي:
.png)
الاحتفاظ بنسخة احتياطية
للحفاظ على البيانات الشخصية للعملاء، فإنّه يُوصى بأخذ نسخة احتياطية منها وبشكل دوري ومستمر، ودون أن يكون هناك اتصال بالإنترنت في أثناء أخذ مثل هذه النسخة، ذلك لتجنّب حدوث أي هجمات إلكترونية على النسخة الاحتياطية في أثناء إجرائها وتعرضها للحذف أو التشفير من قبل الجهات المنفذة للهجوم، ويوصى بعد إجراء النسخة الاحتياطية أن يتم اختبارها والتحقق من أنها تعمل، ويُمكن استعادة البيانات منها في حال وقوع أي مشكلة على البيانات الموجودة عبر أنظمة المؤسسة أو الشركة.
استخدام بروتوكولات اتصال آمنة
يعدّ تحديد بروتوكولات صارمة وآمنة لاستخدام أجهزة الحاسوب الخاصة بالشركة عن بعد من الأمور الهامة لتحقيق الأمن السيبراني لبيانات العملاء، إذ تعدّ خدمات الوصول إلى سطح المكتب البعيد (Remote Desktop) من الطرق التي عادةً ما يصل من خلالها المحتالون إلى أنظمة ضحاياهم.
تحديث الأجهزة والبرامج
إذ يتوجب تحديث جميع البرامج الموجودة على أجهزة المؤسسة أو الشركة، والإعداد الصحيح للأجهزة الموجودة خلالها وتمكين ميزات الأمان المتوفرة عبر تلك الأجهزة، ومن الأمور التي يُوصى باتباعها إجراء فحص منتظم للثغرات الأمنية المحتملة التي قد توجَد عبر نظام تقنية المعلومات الخاص بالشركة ومعالجتها في حال وجدت.
كلمات مرور قوية
تعدّ كلمات المرور الضعيفة أحد المنافذ التي يتم استغلالها لتنفيذ الهجمات الإلكترونية للوصول إلى البيانات والمعلومات المحفوظة عبر أي نظام، لذا فإنّه يوصى باستخدام كلمات مرور قوية عبر جميع الأجهزة والحسابات التي تتضمن أي بيانات خاصة بالعملاء، ويُمكن جعل كلمة المرور قوية من خلال جعلها طويلة وعشوائية ومكوّنة من أرقام وحروف ورموز.
استخدام شبكات آمنة
من الهام جداً في سبيل تحقيق الأمن السيبراني لبيانات العملاء الشخصية ومعلوماتهم المختلفة استخدام شبكات اتصال آمنة قدر الإمكان، وأهمّها هي تلك الشبكات التي يتم استخدامها لحفظ قواعد بيانات العملاء عليها، إذ تُقلّل الخوادم الآمنة مخاطر تعرّض البيانات الموجودة عليها للاختراق والاستيلاء من أي جهة.
إجراءات أخرى
فيما يأتي بعض إجراءات الأمن السيبراني الأخرى التي يُمكن عبر اتباعها حماية البيانات الشخصية للعملاء والمحافظة عليها من التعرض للاختراق:
- تجنّب حفظ البيانات الشخصية الحساسة على الأجهزة الإلكترونية المتصلة بالإنترنت.
- تشغيل برامج مكافحة الفيروسات بشكل منتظم على الأجهزة الشخصية والخوادم والشبكة.
- منع تثبيت البرمجيات والتطبيقات على الأجهزة إلا من خلال المختصين، إذ يُمكن أن يتسبب ذلك بتثبيت برامج ضارة من شأنها تسهيل عمليات اختراق الأنظمة التقنية التي تتضمن بيانات العملاء.
- تحسين أمان التطبيقات المُستخدمة عبر الويب لأخذ بيانات العملاء الشخصية.
- استخدام أنظمة المصادقة متعددة العوامل لتعزيز الحماية والأمان للأجهزة والحسابات.
- ضبط الأجهزة بحيث يتم قفلها في حال إدخال المستخدم لكلمة مرور خاطئة لأكثر من مرة.
- تغيير الإعدادات الافتراضية ككلمة المرور واسم المستخدم للبرامج التي يتم تثبيتها على أجهزة الشركة.
- استخدام جدار الحماية عبر أجهزة المؤسسة أو الشركة لتعزيز أمان هذه الأجهزة ومنع وصول المتسللين إليها.
- استخدام برامج إدارة كلمات المرور التي من شأنها إنشاء كلمات مرور آمنة وقوية.
- تفعيل نظام التشفير عبر جهاز الواي فاي الخاص بالشركة.
- تحديد الأشخاص او الأجهزة التي يُمكن أن تتصل بالشبكات اللاسلكية الخاصة بالمؤسسة أو الشركة.
- تنفيذ برامج توعية بالأمن السيبراني لموظفي الشركة أو المؤسسة، وذلك لتجنيبهم خطر الوقوع في فخ متصيدي الإنترنت.
- استخدام الشبكات الافتراضية الخاصة (VPN) حيث يُمكن من خلالها إنشاء اتصال ذي خصوصية كاملة عبر الإنترنت، وهو ما يزيد من أمان البيانات الشخصية للعملاء وضمان عدم اختراقها أو التجسس عليها.