Spotlight on Retail: Informationssäkerhet och datasekretess

Enligt Office for National Statistics, i november 2023, 30 % av all detaljförsäljning i Storbritannien skedde onlinee. Under tiden fann en rapport från säkerhetsföretaget Sophos det två av tre företag inom detaljhandeln rapporterade ransomware-attacker 2022. Med så många konsumenter som handlar online är kunddata ett frestande pris för hackare som kan tjäna på att sälja eller missbruka denna data.

Förutom ökande cyberhot måste återförsäljare följa flera cybersäkerhetsregler. Dessa regleringar och risken för attacker från hotaktörer gör att detaljhandelns cybersäkerhet bör stå i främsta rummet för varumärken.

Hur kan du möta bästa praxis för cybersäkerhet i detaljhandeln inför tekniska framsteg, stränga regler och cyberhot?

Cyberhoten som står inför detaljhandeln

Det första steget för att säkerställa motståndskraft mot informationssäkerhet är att förstå de cybersäkerhetsutmaningar som ditt företag kan möta. Detaljhandelns cybersäkerhet har en rad hot, som omfattar allt från avsiktliga cyberattacker till oavsiktliga säkerhetsbortfall.

Nätfiske

I ett nätfiskeförsök utger sig cyberbrottslingar som betrodda individer eller företag för att övertyga offret att avslöja personlig information, såsom lösenord, som sedan kan användas för att komma åt konton och känslig kunddata. En rapport av Zscaler ThreatLabz fann att detaljhandeln såg en ökning med 436 % av nätfiskeattacker från 2020 till 2021.

Point-of-Sale Attacker

I point-of-sale (POS)-attacker utnyttjar angripare svag nätverkssäkerhet genom att installera skadlig skadlig programvara på system som används för att utföra finansiella transaktioner. Med hjälp av denna skadliga programvara kan cyberbrottslingar enkelt stjäla kundbetalningsdata, inklusive kreditkortsdata, från kassasystem.

Ransomware

Ransomware är skadlig programvara utformad för att förhindra en organisation från att komma åt dess system genom att kryptera dess data och kräva en lösensumma.

Sophos's Status för ransomware i detaljhandeln 2023 rapporten fann att 69 % av detaljhandelsorganisationerna utsattes för ransomware-attacker 2023, en minskning från 77 % 2022. Däremot uppgav 71 % av dessa organisationer att angripare framgångsrikt hade krypterat sin data, och endast en av fyra (26 %) av återförsäljarna slutade attacker innan deras data krypterades.

Supply Chain attacker

Supply chain attacker rikta in sig på återförsäljare genom att fokusera på sårbarheter i deras leveranskedjor, vanligtvis genom leverantörer med svag säkerhet som har tillgång till återförsäljarnas mjukvara eller system. Genom att använda dessa tredje parter infiltrerar cyberbrottslingar målåterförsäljarens system eller nätverk för att komma åt känslig data.

Vilka är de kritiska informationssäkerhetsstandarderna och reglerna i detaljhandeln

När du väl förstår riskerna för detaljhandelsorganisationer är nästa steg att gå igenom de många standarder och regler som din organisation måste vara medveten om och följa. Beroende på var du verkar och vilka kunder du servar kan det finnas mycket att tänka på; nedan är en sammanfattning av de viktigaste som återförsäljare måste överväga.

Den allmänna dataskyddsförordningen (GDPR)

Återförsäljare och e-handelsföretag måste följa EU:s allmänna dataskyddsförordning (GDPR) vid insamling och hantering av europeiska kunddata, oavsett om de är en EU-baserad organisation eller inte. GDPR kräver att företag ska få ett tydligt, bekräftande samtycke när de samlar in personlig information som namn, kontaktuppgifter, köphistorik och all data som används för beteendeprofilering eller riktad reklam.

Specifikt krävs ett öppet meddelande och ett uttryckligt samtycke för att bearbeta kunders personuppgifter för beteendebaserad reklam. Detta inkluderar att bygga profiler som analyserar eller förutsäger personliga preferenser, intressen, konsumtionsvanor och andra egenskaper. Företag måste tydligt förklara att denna typ av bearbetning äger rum och göra det möjligt för kunderna att välja om de samtycker.

Företag måste också ge kunder tillgång till sina lagrade personuppgifter och tillåta dem att korrigera eller radera fel på begäran. Lättförståeliga sekretesspolicyer måste förklara vilken data en återförsäljare samlar in och hur de använder den. Stränga regler reglerar även överföring av kunddata internationellt utanför EU. Dessutom måste större företag utse dataskyddsombud för att övervaka efterlevnaden av GDPR över verksamheten.

Skulle en återförsäljare råka ut för ett dataintrång som sannolikt riskerar kundernas rättigheter och friheter, måste återförsäljare meddela sin dataskyddsmyndighet utan onödigt dröjsmål. I vissa fall kan de också behöva kommunicera detaljer om överträdelsen direkt till berörda individer. Att etablera robusta rutiner för upptäckt, utredning och avslöjande av intrång är därför en viktig skyldighet att följa GDPR för återförsäljare.

California Consumer Privacy Act (CCPA)

CCPA täcker vinstdrivande företag som uppfyller vissa tröskelvärden, som att ha över 25 miljoner USD i årliga intäkter eller att köpa/sälja personuppgifter från 50,000 XNUMX+ Kalifornien-konsumenter årligen.

För återförsäljare och onlinebutiker som uppfyller dessa tröskelvärden kräver CCPA ytterligare transparens, avslöjande och rättigheter kring kaliforniska konsumenters personuppgifter. Företag måste avslöja vilka typer av personlig information de samlar in och hur den används. Konsumenter måste tillåtas välja bort att få sina uppgifter sålda till tredje part.

Återförsäljare måste också implementera rimliga säkerhetsprocedurer som kryptering, åtkomstkontroller, intrångsdetektering och regelbundna tester för att skydda dessa data från intrång eller missbruk. Om ett företag upplever ett intrång som påverkar över 500 invånare i Kalifornien måste de meddela konsumenterna omedelbart. Underlåtenhet att ha rimlig säkerhet eller korrekt underrätta konsumenter som bryter mot dem kan resultera i rejäla civilrättsliga påföljder enligt CCPA.

Med Kalifornien som leder vägen inom digital integritetslagar, signalerar CCPA en betydande förändring för e-handelsleverantörer, marknadsföringsteknikföretag, fysiska detaljhandelskedjor och andra detaljhandelsledare i USA. Virginia, Colorado, Utah och Connecticut införde alla liknande lagar som kommer att träda i kraft 2024.

Många andra stater har också lagar om anmälan om brott som kräver konsumentmeddelanden om ett dataintrång påverkar statens invånare. Så återförsäljare måste följa snabbt utvecklande integritetslagar på statlig nivå över stora delar av landet utöver CCPA i Kalifornien.

Gramm-Leach-Bliley Act (GLBA)

Många återförsäljare erbjuder sina kunder finansiella produkter och tjänster som kreditkort, finansieringsprogram och lojalitetsbelöningsprogram. Enligt den amerikanska federala Gramm-Leach-Bliley Act (GLBA) måste återförsäljare som tillhandahåller dessa typer av finansiella erbjudanden följa strikta krav kring transparens, datasekretess och säkerhet.

Specifikt kräver GLBA att återförsäljare tydligt avslöjar sina metoder för insamling och delning av information direkt till kunderna. I många fall måste företag tillåta konsumenter att välja bort dem innan de delar data med externa parter.

Återförsäljare måste också implementera stränga kontroller och skyddsåtgärder för att skydda kunddata. Detta inkluderar att utse en säkerhetssamordnare, utföra riskbedömningar, använda krypteringstekniker och korrekt kassera register. Det viktigaste är att GLBA ställer krav på efterlevnad i händelse av ett dataintrång, inklusive att omedelbart meddela berörda kunder. Med datasårbarheter och cyberattacker på uppgång globalt, är efterlevnad av GLBA avgörande för återförsäljare som fokuserar på finansiella tjänster för att upprätthålla kundernas förtroende och undvika lagstadgade åtgärder.

Nätverks- och informationssäkerhetsdirektivet (NIS2)

NIS2 syftar till att etablera en högre nivå av cybersäkerhet och motståndskraft inom EU med mer robusta cybersäkerhetsskyldigheter. Den betecknar specifikt onlinemarknadsplatser, sökmotorer, molntjänster och mer som "väsentliga" eller "viktiga" enheter som kommer att regleras från och med oktober 2024. Detta innebär att många återförsäljare och e-handelsföretag som Amazon, Shopify och eBay kommer att falla under NIS2:s räckvidd. Detaljhandelsföretag som tillhandahåller viktiga tjänster som betalningar och logistik kan också falla under NIS2.

Enligt NIS2 måste återförsäljare som omfattas av en omfattande utvärdering av riskerna för deras IT-system, applikationer, nätverk och data. Detta innebär att utvärdera:

• Infrastruktur säkerhet
• Programvarulösheter
• Insiderhot
• Tredjepartsleverantörs-/leverantörsrisker

 

Baserat på identifierade risker måste återförsäljare sedan motivera implementeringen av cybersäkerhetsåtgärder som multifaktorautentisering (MFA), datakryptering under överföring och vila, regelbunden säkerhetskopiering av data, pågående penetrationstestning och sårbarhetsskanning, såväl som teknologier och processer för hotdetektering, incidentrespons och riskhantering i försörjningskedjan.

NIS2 skapar också bindande krav på rapportering av cyberincidenter för återförsäljare. I händelse av ett intrång eller cyberattack som väsentligt påverkar verksamheten eller datatillgängligheten måste de meddela nationella myndigheter i varje EU-stat de är verksamma i och proaktivt kommunicera detaljer till berörda kunder.

Med invecklade digitala leveranskedjor och dataflöden borde stora återförsäljare globalt nu göra sig redo för NIS2:s omfattande cybersäkerhetsskyldigheter kopplade till deras kopplingar till EU:s ekonomiska zon. Avancerade förberedelser kommer att hjälpa stora varumärken att bygga motståndskraft och samtidigt undvika störande tillsynsåtgärder.

Payment Card Industry Data Security Standard (PCI DSS)

Alla återförsäljare som accepterar populära kreditkort eller behandlar elektroniska betalningar måste följa Payment Card Industry Data Security Standard (PCI DSS). PCI DSS anses vara ett av de mest använda globala datasäkerhetsprotokollen och är en uppsättning tekniska och policykontroller som hanteras av PCI Security Standards Council för att skydda känslig korthållarinformation och transaktionsdata.

Specifikt måste återförsäljare som behandlar betalningar bevisa efterlevnad genom att implementera:

• End-to-end kryptering
• Underhålla säkra system och applikationer enligt PCI-vägledning
• Begränsa åtkomst till betalningsdata
• Bygga brandväggar runt korthållarmiljöer
• Skydda IT-infrastruktur med skydd mot skadlig programvara.

Återförsäljare måste också utföra externa och interna sårbarhetsskanningar, utföra penetrationstester, upprätta procedurer för incidentrespons, övervaka alla tredjepartsleverantörer och genomgå efterlevnadsrevisioner årligen eller kvartalsvis, beroende på transaktionsvolym.

I mars 2022 uppdaterades PCI-DSS från version 3.2.1 till version 4.0, med fokus på att upprätthålla kontinuerlig säkerhet och förbättra betalningsvalideringsprocesser. Organisationer har fram till den 31 mars 2024 på sig att anta den uppdaterade versionen – med en 18-månaders deadline för att uppnå full efterlevnad senast i mars 2025.

PCI DSS v4.0 består av 12 krav som är organiserade i sex kategorier, inklusive:

• Ökat fokus på säkerhet som en kontinuerlig process
• Mer flexibilitet i hur organisationer kan uppnå sina säkerhetsmål
• Nya krav för tjänsteleverantörer, inklusive användning av multifaktorautentisering och implementering av en nollförtroendearkitektur
• Reviderade krav för mjukvaruutveckling, inklusive säker kodningsmetoder och användning av automatiserade verktyg för sårbarhetsskanning och penetrationstestning
• Strängare regler för lösenordshantering, inklusive användning av lösenordsfraser och förbud mot vissa typer av lösenord
• Uppmuntra mer systematisk och effektiv kryptering, inklusive stöd till införandet av kvantsäker kryptografi

 

De 12 kontrollerna inom PCI DSS 4.0 har uppdaterats för att hålla jämna steg med både förändringar i branschen och cyberkriminella taktik.

Konsekvenserna av dålig informations- och datasäkerhetspraxis i detaljhandeln

Ett misslyckande med att ta informationssäkerhet och datasekretess på allvar kan djupt påverka återförsäljare, e-handelsleverantörer och handelsorganisationer.

Den finansiella grundlinjen för bristande efterlevnad 

Alla regler och standarder som lyfts fram i den här bloggen kommer med ekonomiska påföljder för bristande efterlevnad. Företag som bryter mot GDPR riskerar stränga straff och kan få böter på upp till 20 miljoner euro eller 4 % av den globala omsättningen, beroende på vilket som är högst. Utöver detta kan enskilda (registrerade) kräva ersättning för skador.

Ett företag som bryter mot PCI-DSS kan bötfällas från $ 5,000 100,000 till $ 4,000 80,000 i månaden (ungefär XNUMX XNUMX till XNUMX XNUMX i GBP) beroende på företagets storlek och varaktigheten och omfattningen av bristande efterlevnad.

Banken kan också utdöma andra påföljder, som att höja transaktionsavgifterna eller att helt avsluta relationen. Ytterligare böter, som ökar med tiden, kan utdömas för upprepade överträdelser.

Företag som bryter mot GLBA riskerar böter på upp till $100,000 10,000 per överträdelse, och individer som ansvarar för dessa företag kan få böter på $XNUMX XNUMX per överträdelse, med upp till fem års fängelse.

NIS 2 kommer med mycket strängare tillämpningskrav än sin föregångare. Påföljder för bristande överensstämmelse sträcker sig från att säkerhetsgranskas och beordras att följa fastställda rekommendationer till böter på 10 miljoner euro eller 2 % av organisationens totala globala omsättning – beroende på vilket som är högst.

Den maximala civilrättsliga påföljden för ett oavsiktligt CCPA-brott är 2,500 7,500 USD per överträdelse. För uppsåtliga överträdelser är det maximala bötesbeloppet $XNUMX XNUMX per överträdelse. De maximala straffbeloppen låter relativt blygsamma, men om ett företag uppsåtligen skulle ha begått tusentals eller till och med hundratusentals avsiktliga överträdelser, till exempel genom att inte uppfylla CCPA:s krav på undantag, kan det totala beloppet bli enormt.

CCPA tillåter också konsumenter att göra anspråk på 750 USD per konsument per incident eller att begära faktiska skadestånd där förlust kan visas ha uppstått på grund av överträdelsen.

Som du kan se kan de ekonomiska konsekvenserna av bristande efterlevnad vara betydande och ha en långsiktig inverkan på ett företags resultat och långsiktiga lönsamhet.

Rykte är allt 

Bristande efterlevnad går utöver de mer uppenbara ekonomiska konsekvenserna och inkluderar:

Rykteskada: Ett brott mot personuppgifter kan orsaka betydande skada på en organisations rykte, vilket leder till förlust av kunder och minskat förtroende. Den negativa inverkan på ett företags rykte kan ta år att reparera.

stämningar: Organisationer kan ställas inför stämningar från individer vars personuppgifter har kränkts, vilket leder till ytterligare ekonomiska påföljder och skada på rykte.

Minskat kundförtroende: När personuppgifter bryts kan kunder förlora förtroendet för organisationen, vilket resulterar i minskat kundengagemang och potentiellt skada organisationens varumärke och rykte.

Minskat lagervärde: Dataintrång kan skada ett företags aktievärde när investerare blir oroliga för potentiella ekonomiska påföljder och skada på rykte.

Större granskning av tillsynsorgan: Organisationer som upplever frekventa dataintrång eller bristande efterlevnadsproblem kan möta ökade revisioner och utredningar av tillsynsmyndigheter. Organisationen riskerar att införa ännu hårdare regler om problemen kvarstår.

En standardbaserad metod för detaljhandelns cybersäkerhet

Att anta ett etablerat ramverk för informationssäkerhet är ett av de mest effektiva sätten att återförsäljare kan försäkra kunder och partners om att de har en robust säkerhetsgrund. De ISO 27001  ramverket är en globalt erkänd internationell standard för informationssäkerhetshanteringssystem (ISMS) som tillhandahåller ett systematiskt och riskbaserat tillvägagångssätt för att säkra känslig informationstillgångar.

Genom att implementera ISO 27001-ramverket kan återförsäljare bygga en heltäckande strategi för informationssäkerhetshantering som inkluderar policyer, procedurer, kontroller och riskhanteringsmetoder för att skydda mot potentiella säkerhetshot och sårbarheter och säkerställa säkerheten för sina kunders data och bevis på deras förmåga. .

Några av kärnkraven i ISO 27001 kommer att göra det möjligt för organisationer att visa höga nivåer av digitalt förtroende, inklusive:

Att ta ett riskbaserat tillvägagångssätt: ISO 27001-ramverket kräver att organisationer identifierar och bedömer risker för sina informationstillgångar och implementerar lämpliga kontroller för att minska dessa risker. Detta tillvägagångssätt säkerställer att informationssäkerhetsåtgärder är skräddarsydda för organisationens specifika risker och behov, vilket hjälper till att bygga förtroende hos kunder och intressenter.

Säkerställa efterlevnad av föreskrifter: ISO 27001-ramverket är utformat för att hjälpa organisationer att följa olika regulatoriska krav relaterade till informationssäkerhet, inklusive dataskyddslagar, integritetsbestämmelser och branschspecifika bestämmelser. Organisationer kan bygga upp förtroende med tillsynsmyndigheter och andra intressenter genom att visa efterlevnad av dessa regler.

Aktivera ständig förbättring: ISO 27001-ramverket betonar behovet av kontinuerlig övervakning, översyn och förbättring av ledningssystemet för informationssäkerhet. Genom att kontinuerligt förbättra sina säkerhetsåtgärder kan organisationer visa sitt engagemang för att skydda känslig information och bygga förtroende hos intressenter.

Effektiv hantering av tredjepartsleverantörer: ISO 27001-certifiering är erkänd globalt som en validering av en organisations ledningssystem för informationssäkerhet. Genom att erhålla certifiering kan organisationer visa för kunder, partners och andra intressenter att de har implementerat ett omfattande och effektivt ledningssystem för informationssäkerhet.

PCI-DSS och ISO 27001:2022

Intressant nog kan många PCI-DSS-principer mappas direkt till ISO 27001, vilket skapar möjligheten att ta ett integrerat tillvägagångssätt som kan erbjuda kostnadsfördelar och operativ effektivitet, vilket minskar de resurser som krävs genom att fokusera på ramverkens gemensamma krav.

Ytterligare fördelar inkluderar att förbättra den övergripande säkerhetsställningen mot ett bredare spektrum av hot genom att utnyttja styrkorna i båda standarderna för att identifiera och fylla luckor. I slutändan underlättar det integrerade perspektivet ständiga förbättringar genom regelbundna granskningar och bättre anpassningsförmåga till nya hot.

Vi har skapat en praktisk guide som beskriver detta tillvägagångssätt för samtidig överensstämmelse med både ISO 27001 och PCI-DSS v4, som du kan komma åt här: Mappning av PCI-DSS v4-ramverket till den uppdaterade ISO 27001:2022

Ta en säker ställning mot cybersäkerhetshot i detaljhandeln

När detaljhandelslandskapet fortsätter att förändras online måste cybersäkerhet vara en högsta prioritet för återförsäljare av alla storlekar. Mellan ökande cyberhot, komplexa regleringar som GDPR och PCI DSS, och ryktesriskerna för dataintrång, har detaljhandelsvarumärken mycket på spel när det gäller att skydda kunddata.

Återförsäljare måste ta kritiska steg för att implementera robusta säkerhetskontroller, uppnå globalt erkända standarder som ISO 27001 och ta ett integrerat tillvägagångssätt för att uppfylla kraven på efterlevnad. Att följa bästa praxis för cybersäkerhet och utnyttja avancerad teknik hjälper till att säkra känsliga system och data.

Det viktigaste är att återförsäljare måste göra cyberresiliens till en kontinuerlig process snarare än ett engångsprojekt. I takt med att hot och regler utvecklas, måste även cyberförsvaret göra det. Genom att göra informationssäkerhet till en regelbunden diskussion i styrelserummet och avsätta tillräckliga resurser kan återförsäljare bli säkrare, pålitliga förvaltare av kunddata. De ekonomiska, anseende och juridiska konsekvenserna av passivitet är för betydande för att ignorera.

Stärk din efterlevnad idag

Om du vill börja din resa mot PCI-DSS V4-kompatibilitet kan vi hjälpa dig.

Vår ISMS-lösning möjliggör ett enkelt, säkert och hållbart förhållningssätt till PCI-DSS och informationshantering med ISO 27001 och över 100 andra ramverk. Förverkliga din konkurrensfördel idag.

Boka en demo