Главная / Блог / Все, что вам надо знать о безопасности базы подписчиков

Подборки

Все, что вам надо знать о безопасности базы подписчиков

Простые правила сохранности данных

Катерина Стриженова
30 августа, 2018

2383

вопросы в службу заботы

Не важно, предоставляете вы банковские услуги или продаете яблоки, безопасность — главный приоритет сервиса рассылок.

В нашу Службу заботы о клиентах часто поступают вопросы о безопасности базы. В статье я расскажу, как мы собираем, храним и обрабатываем данные. Отвечу на самые частые и острые вопросы.

О чем нас спрашивают чаще всего?

Вопрос 1. Что если мы загрузим базу к вам, а ее украдут или продадут?

Этот вопрос регламентируется Политикой конфиденциальности сервиса (каждый пункт важен, но самые-самые п.2.1., 4.1., 6.1.).

Загрузка данных должна быть безопасной и комфортной. Поэтому мы несем ответственность за действия всех своих сотрудников. Если возникли опасения — смело пишите нам.

Мы никому не передаем ваши данные. Они хранятся и обрабатываются только на наших серверах.

Что мы делаем для безопасности вашей базы:

Каждый день проверяем вероятности несанкционированного доступа к хранимым данным.
Периодически массово сбрасываем пароли для входа в аккаунт.
Меняем значения API-ключей (если вы давно работаете с нами — помните такие случаи).

Да, мы защищаем ваши данные. И все же не забывайте: вы используете всемирную паутину, а в ней осторожность никогда не помешает.

Вопрос 2. Где хранятся и как обрабатываются наши данные?

Мы используем для хранения и обработки хостинг-площадки (хостинг — это место на сервере, которое предоставляет определенная компания для размещения и сохранения данных) в Западной Европе, России, США и Канаде. Так мы обеспечиваем высокую скорость работы кабинета во всех уголках мира.

Как выбрать хостинг

Если интересно, вот немного технических данных:

Вся информация размещена на серверах в сертифицированных датацентрах.
Передача данных проходит по защищенному протоколу SSL (защищенный протокол HTTPS). Протокол SSL — это зеленый замочек в строке браузера. Он не дает мошенникам перехватить или подменить личные данные пользователей: контактную информацию, номера банковских карт, логины, пароли, адреса электронной почты.

Правильность работы протокола SSL обеспечивает сертификат одного из ведущих сертификационных центров Comodo.
Все передаваемые данные, шифруются 128-битным ключом, как в крупных банках или платежных системах.
Мы постоянно следим за безопасностью серверов и сервиса в целом.

Вы спокойно собираете данные подписчиков — мы их надежно храним.

Если ваши сервера расположены на территории РФ

Unisender соответствует требованиям 152-ФЗ.

Роскомнадзор внес Unisender в Реестр операторов, осуществляющих обработку персональных данных (Приказ № 103 от 25.04.2017).

Данные обрабатываются на наших серверах, расположенных на территории РФ. Мы можем: собирать, систематизировать, использовать, передавать, блокировать, удалять персональные данные.

Unisender получил оценку эффективности мер по обеспечению безопасности персональных данных. Мы соответствуем четвертому уровню защищенности персональных данных УЗ 4.

Мы практически банк ?

Соответствуем ли мы GDPR

Если лень читать, сразу отвечу: да, соответствует. Ниже объясню почему.

Общий регламент по защите данных (General Data Protection Regulation, сокращенно GDPR) вступил в силу 25 мая 2018 г. Он устанавливает единые правила защиты данных в странах Европы. GDPR применяется ко всем компаниям, которые обрабатывают персональные данные граждан ЕС, независимо от местонахождения компании.

В понимании GDPR вы — Контроллер. Вы определяете цели и средства обработки персональных данных.

Мы — Процессор (п. 8 ст. 4 GDPR). Мы обрабатываем данные от вашего имени. Согласно вашим целям, предоставляем необходимые вам средства обработки. Мы обеспечиваем должную сохранность, обработку и защиту данных.

Что мы сделали для соответствия GDPR:

Провели оценку существующих методов и средств обработки персональных данных на соответствие новым правилами GDPR.
Пересмотрели политику конфиденциальности и пользовательские соглашения.

Изменения в Политике конфиденциальности UniSender

Проводим обучение сотрудников и проверяем их деятельность по обработке данных.
Продуманы механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных.

Вопрос 3. Мы хотим, чтобы наш сотрудник отправлял письма, но не видел данные клиентов. Что делать?

У вас есть минимум два пути:

Путь 1. Разграничить права для сотрудников

В Unisender легко разграничить права доступа. Можно отправлять из главного аккаунта, а можно создать специальные аккаунты, которые управляются главным.

Дополнительные пользователи могут использовать разные функции:

Просмотр контактов.
Загрузка контактов.
Создание сообщений.
Отправка email- и SMS-рассылок.

Вы разделяете базу по зонам ответственности сотрудников, создаете специальные списки. Затем создаете дополнительного пользователя который отвечает за раздел.

Разграничение доступов в UniSender

Нажатием на иконку вы выбираете, как именно ваш сотрудник будет работать с базой:

Выбираем, как функции сервиса будут доступны пользователю

У такого пользователя нет доступа к пополнению баланса, данным по действующему в аккаунте тарифу, всем вашим письмам, шаблонам, сегментам.

Настроить отправку по API

По API значит без загрузки базы контактов в Unisender.

API — это специальный интерфейс для разработчиков. Он позволяет интегрировать возможности электронной рассылки практически с любым открытым веб-сервисом или desktop-приложением. Наш API дает возможность управлять списками, создавать и отправлять разные типы сообщений, смотреть статистику, работать с партнёрами.

Работа с API бесплатна для всех аккаунтов без исключения. Достаточно получить ключ к нему в Личном кабинете.

Ключ доступа не следует передавать другим или делать видимым в коде веб-страниц. Кто-нибудь может воспользоваться им и отправлять сообщения от вашего имени. А вы же этого не хотите, верно?

Вопрос 4. Как максимально обезопасить доступ к данным?

В Unisender для этого есть особая функция — вход в аккаунт с заданного IP-адреса.

Рекомендуем составить список IP-адресов и после этого предоставлять всем сотрудникам беспрепятственный доступ к данным.

Такие IP можно указать и у нас в кабинете.

Заходим в Настройки аккаунта и прописываем для логина нужные ІР-адреса.

Все попытки входа с другого IP будут отклонены системой. Так вы сможете организовать защищенный канал. Зайти можно будет только из защищенной внутренней сети вашей компании.

И да — нельзя будет зайти из дома, с мобильного, другого IP.

Указываем IP-адреса, с которых можно залогиниться

Ошибка при входе с «левого» IP-адреса

Вопрос 5. Сотрудник перешел в другую компанию и может украсть нашу базу. Как быть?

Мы часто получаем обращения от клиентов о воровстве базы бывшим сотрудником (предполагаемом). Ну как часто — несколько раз в месяц.

Риск есть всегда. Зафиксировать факт и время, место кражи сложно. Предоставляя доступ к данным, вы зависите только от честности и лояльности сотрудника (особенно если вы не очень хорошо попрощались).

Расскажу, как предупредить такие ситуации.

Во-первых, создайте тестовые адреса на бесплатных доменах (mail.ru, yandex.ru, gmail.com) и добавьте их в список контактов. Не сообщайте об этом сотрудникам.

Допустим, вы завели адрес example@mail.ru. Если на него начинают приходить рассылки, на которые вы не подписывались, то стоит задать вопрос своему email-маркетологу.

Во-вторых, пропишите в трудовом договоре информацию об ответственности за передачу данных с которыми идет работа. Для этого лучше всего будет получить консультацию у юриста.

Если кого-то подозреваете — сразу напишите нам. Мы поможем разобраться и вовремя примем меры.

В-третьих, перед уходом сотрудника обязательно меняйте все доступы — пароли, входы в кабинет, CRM, API-ключи.

Важно

Никому не показывайте данные авторизации в сервисе (логин, пароль). Они — тайна и наши сотрудники никогда их не спрашивают.

Если вы предоставили доступ сотруднику, вы несете ответственность за действия, совершенные с использованием этих данных авторизации.

Если вы обращаетесь в полицию или суд по вопросам нарушения конфиденциальности данных, то в ответ на официальный запрос мы предоставим данные регистрации и входов в аккаунт.

Ситуация

Пришло письмо похожее на то, которое вы отправляете своим клиентам, но от другого адреса или в подписи изменены контактные данные.

Что делать:

Сохраните письмо.
Проверьте, была ли отправка через Unisender.
Напишите в Службу заботы о клиентах.

Как проверить, была ли отправка через Unisender. Открываем сохраненный ранее eml письма. Ищем Return-Path, spf=pass смотрим отличный от адреса отправителя домен, копируем и вставляем в поисковой строке браузера.

Если домен принадлежит Unisender и письмо было отправлено нами, вы увидите стилизованный логотип.

В этой ситуации мы находим аккаунт, с которого ушла рассылка и блокируем до выяснения ситуации.

Вопрос 6. Как быть уверенным, что с базой все будет в порядке?

Дадим несколько советов.

Совет 1. Внимательно изучайте политику конфиденциальности сервиса, с которым работаете.

Данные в нём не должны передаваться для обработки третьим лицам. Должна быть возможность отписки и гарантия полного удаления данных через определенный срок (если вы перестали пользоваться сервисом).

Совет 2. Не бойтесь задавать вопросы. Вы уверены, что ваш подрядчик соответствует законодательству?

Совет 3. Регистрируйтесь в сервисе с вашей корпоративной почты. Если ваш сотрудник зарегистрировал аккаунт на свой бесплатный ящик, шансов получить доступ в него почти нет.

Совет 4. Будьте в курсе: какие шаблоны писем отправляются, как называются списки рассылок, от какого адреса отправляются письма. Храните чеки по оплатам сервиса, проверяйте, чтобы оплаты проводились не с личной карты сотрудника. Это важно: сотрудник может уйти из компании и забрать с собой данные доступа.

Совет 5. Не храните на рабочем столе резервную копию базы с лаконичным названием база.xls (придумайте посложнее и чтоб не так очевидно). Файл можно перенести в какую-то папку. Не рекомендуем выкладывать файл в облако.

В заключении несколько полезных ссылок.