Le tendenze vanno e vengono nel commercio elettronico. Le aspettative dei clienti si espandono rapidamente man mano che i negozi online si sforzano di soddisfarli. Tuttavia, una cosa rimane costante: i clienti desiderano e meritano di sentire i propri dati al sicuro quando fanno acquisti online.
In qualità di responsabile della sicurezza informatica di BigCommerce, sono orgoglioso di affermare che la sicurezza e la conformità sono due aspetti in cui investiamo costantemente.
Attualmente esiste una tendenza globale che coinvolge i governi che intervengono per fornire maggiore regolamentazione e controllo per garantire la riservatezza dei dati dei clienti.
In questo post, voglio spiegare cosa sta cambiando nella sicurezza e-commerce e come BigCommerce si sta preparando per questo, oltre a chiarire eventuali idee sbagliate che ci sono intorno a questi importanti problemi.
L'aumento di regolamenti e standard di sicurezza
Negli ultimi anni ci sono state numerose violazioni della sicurezza di alto profilo nel commercio elettronico che hanno messo a fuoco la necessità di pratiche di sicurezza vigili.
Di conseguenza, i clienti hanno sempre più richiesto migliori pratiche di sicurezza, il che ha portato all'emanazione di più standard di sicurezza e conformità.
Lo vediamo sia con il GDPR (Regolamento generale sulla protezione dei dati) nell'Unione Europea sia con il CCPA (California Consumer Privacy Act) qui negli Stati Uniti. Anticipo piuttosto che successivamente, vedremo altri Stati Uniti adottare i propri standard di protezione dei consumatori.
Sicurezza vs. Conformità
Prima di capire cosa significano queste protezioni dei dati sia per i consumatori che per i commercianti, è importante definire la differenza tra sicurezza e conformità.
In sostanza: la conformità è testo e la sicurezza è tecnologia.
Conformità le linee guida assicurano che un'organizzazione disponga di sistemi di controllo interno che misurino e gestiscano adeguatamente i rischi che deve affrontare. Sicurezza si riferisce a tutte le misure adottate per proteggere e difendere le risorse informatiche e tecnologiche di un'impresa. Cybersecurity è il processo di protezione delle informazioni prevenendo, rilevando e rispondendo agli attacchi.
In BigCommerce abbiamo sia un team di cybersecurity che un team di conformità.
Un alfabeto di standard.
Se ti trovi nello spazio e-commerce, probabilmente hai familiarità con una serie di acronimi diversi da ISO a PCI e GDPR a CCPA.
Prima di immergerci nel clima generale che ha richiesto una maggiore regolamentazione, esaminiamo rapidamente il significato di alcuni di questi.
PCI DSS
Se sei un commerciante che accetta carte di credito, il Consiglio per gli standard di sicurezza PCI ha alcune norme applicabili a te. Il PCI DSS (Payment Card Industry Data Security Standards) è uno standard creato per aumentare i controlli sui dati dei titolari di carta e ridurre le frodi con le carte di credito. Ci sono multe per non essere conformi.
Ognuno alzerà la mano e dirà che sono conformi a PCI, ma questo è davvero solo un livello base di ciò che le aziende dovrebbero fare.
ISO
L'International Organization for Standardization (ISO) pubblica standard in diversi settori a livello internazionale. Le aziende possono ottenere la certificazione in base a questi standard per dimostrare l'impegno a rispettarli.
A febbraio, BigCommerce ha ricevuto la certificazione ISO / IEC 27001: 2013, che si applica alla gestione della sicurezza delle informazioni. Il conseguimento di questa certificazione richiede un processo rigoroso e dimostra il nostro impegno per la sicurezza e le protezioni che vanno ben oltre la sola conformità PCI.
GDPR
Il regolamento generale sulla protezione dei dati (GDPR) è un regolamento che copre la protezione dei dati e della privacy. Si applica a tutti i cittadini dell'Unione europea e dello Spazio economico europeo e offre loro una maggiore titolarità e controllo dei loro dati e maggiori diritti sulla raccolta dei dati.
Vale la pena sottolineare che, ad alto livello, il GDPR si applica alle imprese che operano al di fuori dell'UE e del SEE che intrattengono rapporti commerciali con cittadini dell'UE.
CCPA
Il California Consumer Privacy Act (CCPA) è simile al GDPR in quanto fornisce ai consumatori più proprietà, controllo e sicurezza dei loro dati. Tuttavia, come suggerisce il nome, si applica ai cittadini della California e a chiunque possa venderli e raccogliere i propri dati.
A mio avviso, il GDPR e la CCPA sono solo la punta dell'iceberg e presto vedremo uno standard nazionale di regolamentazione in materia di protezione dei dati e della privacy o più stati che saltano a bordo. Prima del CCPA, il Massachusetts disponeva delle più severe normative sulla privacy; ora altri stati stanno muovendo in quella direzione: altri 15 stati.
Perché spingere per una maggiore regolamentazione?
Le persone sono sempre più preoccupate di ciò che le aziende stanno facendo con i loro dati. È comprensibile dato quanto preziose informazioni personali siano diventate.
Il motivo per cui sono stati emanati GDPR e CCPA è perché le aziende non erano così attente quanto avevano bisogno di sicurezza e protezione delle informazioni dei clienti.
La sicurezza era nella loro lista, ma non c'erano sempre denti dietro. Proteggere i clienti e i loro dati non era la priorità che doveva essere, motivo per cui gli organi di governo stanno entrando e stanno creando forti sanzioni per la non conformità.
Il massimo della conformità.
BigCommerce ha cercato di rimanere molto avanti nel settore in termini di priorità per la sicurezza. Vogliamo renderlo al centro della piattaforma per i nostri commercianti, quindi non devono assumersi il peso di questo passaggio su se stessi.
Poiché siamo stati lungimiranti con i nostri piani di sicurezza, quando arriveranno CCPA e i suoi predecessori, non dovremo apportare modifiche sostanziali. Stiamo già fornendo ai nostri commercianti gli strumenti principali di cui hanno bisogno per essere conformi. Detto questo, non smettiamo mai di migliorare le nostre capacità.
La nostra filosofia è di considerare questi standard non come qualcosa da raggiungere, ma piuttosto come una barra bassa che vorremmo superare di gran lunga.
Come accennato in precedenza, abbiamo sia un team di sicurezza informatica che un team di conformità e questi team si impegnano a garantire che siamo in linea non solo con le normative esistenti, ma anche con quelle nuove.
Mantenimento di un sito sicuro e conforme
Se stai leggendo questo, ci sono buone probabilità che tu sia un commerciante di e-commerce con un interesse acquisito sia nel mantenere il tuo sito in modo sicuro e nel mantenere la privacy dei dati dei clienti, sia nel rispettare le ultime normative.
Ti starai chiedendo: qual è il modo migliore per tenere il passo con tutto questo?
Il mio team ha creato una risorsa separata su tutti i suggerimenti e i trucchi per le migliori pratiche di sicurezza del sito. Tuttavia, per quanto riguarda il mio miglior consiglio per prepararti a un'efficace sicurezza e conformità, è questo: scegli la piattaforma giusta.
SaaS vs. on-premise.
Le piattaforme SaaS (Software-as-a-Service), come BigCommerce, affrontano il duro lavoro di mantenimento della conformità per i nostri commercianti. Con soluzioni on-premise, questi requisiti ricadono sul commerciante per mantenersi.
I nostri obblighi nei confronti dei nostri commercianti includono problemi di sicurezza, privacy e conformità dei dati su tutta la nostra piattaforma e attraverso tutti i sistemi interni come Marketo e Salesforce.
Oltre a prevenire la compromissione dei dati, rispettiamo anche le normative sulla privacy come il diritto di un individuo all'oblio.
Nel complesso, ci assicuriamo che tutti i dati degli acquirenti siano al sicuro da attacchi dannosi e garantiamo che i commercianti possano servire i loro clienti in modo sicuro e conforme.
I dati dei nostri commercianti sono i loro dati. Consideriamo la loro proprietà dei loro dati molto seriamente, differenziandoci in tal senso anche all'interno dello spazio SaaS. Mettiamo chiari confini su ciò che faremo con i dati dei nostri commercianti.
Guardando in un futuro più sicuro
Io, per esempio, sono entusiasta della direzione che BigCommerce e il più ampio settore dell'e-commerce stanno muovendo in termini di maggiore sicurezza e privacy dei dati.
I consumatori chiedono comprensibilmente un maggiore controllo dei propri dati e maggiori garanzie in merito alla propria privacy. Le aziende si stanno alzando per soddisfare le loro richieste, in alcuni casi in risposta a una spinta da parte delle entità governative.
In BigCommerce, ci impegniamo a spostarci verso il futuro pronti a soddisfare e superare gli standard di sicurezza e conformità e creare strumenti che possano aiutare i nostri commercianti a impegnarsi nello stesso impegno con i propri clienti.
Questo materiale non costituisce consulenza legale, fiscale, professionale o finanziaria e BigCommerce declina ogni responsabilità in merito a questo materiale. Si prega di consultare il proprio avvocato o consulente professionale su specifiche questioni legali, professionali o finanziarie.