Как сделать CRM-систему безопасной. Гайд для параноиков

Предприниматели ставят CRM-систему, чтобы собирать и хранить клиентские и коммерческие данные. Но в них и опасность. Базу могут стащить и выложить в сеть, вот как было у Яндекс Еды. А еще бывают невнимательные сотрудники, которые могут где-то потерять блокнот с контактами.

Если конфиденциальность данных нарушена, бизнес может влететь на деньги, запятнать репутацию, потерять клиентов, получить административку и даже закрыться. Последствия зависят от того, что конкретно случилось.

Чтобы свести риск утечки на нет, в OkoCRM есть настройки, которые защищают уязвимые места. Расскажу, от кого надо защищаться в CRM, как сделать систему безопасной и что будет, если на это всё забить.

Даже если кажется, что ваши данные никому не нужны, это только кажется. На живые клиентские базы есть спрос у конкурентов, а хакеры взламывают чужое ПО ради прикола. Или денег. Поэтому защита одинаково нужна крупной региональной фирме и цветочному ларьку у дома.

Но чтобы разобраться в защите, сначала надо понять, откуда может прийти опасность.

❌ Взломают конкуренты. Данные клиентов — коммерческая ценность. В них не только имена, фамилии и номера телефонов. В базе есть информация, как клиенты покупают, на какие акции реагируют. Это маркетинговые данные. Они помогают формировать предложения, благодаря которым клиенты купят и принесут доход.

Также живые базы клиентов долго собирать, плюс это недешево. Нужен штат маркетологов, продавцов, айтишник, рекламщики и бюджет. Крупные расходы, не каждому бизнесу по карману.

Выходит, клиентские данные — это актив, он имеет ценность.

Конкуренты охотятся за чужими базами, чтобы сэкономить деньги, выведать маркетинговые секреты и отследить деловые связи. Например, узнать, кто поставщик, во сколько обходится логистика и аренда складов.

Стащить из CRM клиентскую базу можно по-разному: подкупить сотрудников или нанять хакеров, чтобы те взломали ПО. Если база окажется у конкурентов, они начнут переманить клиентов и поставщиков, копировать работу бизнеса.

❌ Отомстят бывшие сотрудники. Бывает, менеджеры — отличные ребята, но до первого конфликта. Если бизнес по какой-то причине увольняет сотрудника, тот в может стереть из данные CRM . Другой вид мести — увести часть клиентской базы, чтобы работать по ней в другой фирме или продать конкурентам на черном рынке.

❌ Менеджеры начнут гнать левак. Еще бывает так: менеджер связывается с клиентом и предлагает скидку на услуги мимо кассы. Тут вроде база и данные в целости, но менеджер использует актив бизнеса ради собственной выгоды. Нехороший человек.

❌ Данные сольет по глупости кто-то из персонала. Менеджер может открыть письмо с вирусом, с рабочей почты на личную переслать данные клиентов, скинуть логин и пароль от CRM коллеге в мессенджер. Все это — примеры нарушения безопасности. Данные оказываются без защиты, к ним можно получить доступ со стороны.

Если у бизнеса пропали клиентские данные, это бьет по кошельку. Опять нужны деньги, люди, рассылки, акции, настройка рекламы. Легко попасть на целый бюджет.

Ещё хуже нарушить закон № 152-ФЗ «О персональных данных». Он говорит так: любой менеджер, который работает с CRM, является оператором персональных данных. Он обрабатывает информацию про клиентов и сотрудников, поэтому обязан нести ответственность за их защиту. То есть не разглашать и не допускать ее утечки за пределы компании.

Получается, забота о безопасности CRM — дело бизнеса. Если что-то случится с данными, можно попасть на штраф (ст. 13.11 КоАП РФ):

• для должностных лиц — от 8 тысяч до 20 тысяч ₽
• для ИП — от 20 до 40 тысяч ₽
• для юридических лиц — от 50 до 100 тысяч ₽

Чтобы защитить себя и бизнес, надо настроить безопасность в CRM-системе. Это снизит шанс утечки данных, взлом хакеров и воровство бывших коллег.

✅ Скрывать клиентские номера телефонов. Опасно, когда простые менеджеры видят полные номера клиентов в CRM-системе. Они могут связаться с заказчиками за пределами офиса, чтобы сделать левак мимо кассы. Либо скопировать из CRM номера, чтобы унести с собой в случае увольнения или продать конкурентам.

А если номера частично скрыть, то и опасность исчезнет. В OkoCRM такое настраивается в пару кликов:

1. Нажимаете иконку с шестерней в панели инструментов — вот вы и в «Настройках»
2. Переходите во вкладку «Безопасность», ставите галочку напротив «Скрывать номера телефонов»
3. Сохраняете и готово

Скрыть номера от менеджеров в OkoCRM просто: ставите галочку напротив соответствующей настройки и готово.

Теперь номера телефонов в CRM защищены. Когда менеджеры откроют список клиентов, то увидят такую картину:

Зашифрованные номера никак не мешают в работе. Менеджеры как и прежде могут по ним звонить и отвечать на звонки через CRM. Только они не видят их полностью.

✅ Ограничить доступ по IP-адресу. Сначала разберемся, что такое IP-адрес.

IP-адрес — это уникальный номер, который есть у каждого устройства, если оно подключается к интернету по кабелю или Wi-Fi. Выглядит адрес так: 5.18.177.122.

Когда менеджеры работают в офисе, они все время подключаются к интернету через одни и те же устройства, поэтому их IP-адреса не меняются. Выходит, безопасно, ограничить доступ к CRM только с тех IP, которые известны бизнесу. А если IP неизвестные или чужие, то доступ к системе лучше закрыть.

В OkoCRM можно перечислить достоверные айпишники, после чего система будет каждый раз проверять, кто к ней подключается: менеджер через офисные компьютеры и сети или посторонние через общественный интернет. Если обнаружит, что IP не совпадает с теми, которые указаны в ее настройках, закроет доступ.

Ограниченный доступ через IP защищает систему от посторонних. Они не могут войти в CRM, даже если у них есть логин и пароль.

Чтобы настроить список безопасных IP-адресов, есть инструкция:

1. Заходите в «Настройки» OkoCRM и выбираете закладку «Безопасность»
2. Кликаете «Ограничение доступ по API», открывается список настроек
3. Жмете на «+», появляется текстовое поле. В нем указываете IP-адреса, которым доверяете. Готово

Узнать IP-адреса можно у своего интернет-провайдера. Потом их надо перечислить в настройках OkoCRM и сохранить.

Дополнительно можно поставить галочку напротив «Не проверять IP-адрес для доступа администратора». Это значит, администратор сможет зайти в CRM с любого устройства, не только с офисного. Без галочки система будет проверять и администратора. Но тут надо выбирать по обстоятельствам. Если ограничить вход администратора, случись что, он не сможет зайти в OkoCRM оперативно.

Тут надо уточнить: настраивать доступ по IP нельзя, если сотрудники подключаются к офису через удаленный рабочий стол. Их IP все время меняются, а значит перечислить их не получится. Можно настроить статичные IP-адреса, но это надо договариваться с провайдером интернета. Иначе не выйдет — устанете ковыряться в настройках.

✅ Разрешить работу с API только администраторам. К CRM подключают разные веб-сервисы через специальные настройки — API. Когда пользователи оставляют на сервисах свои контакты, то автоматически попадают в систему и на них тут же заводятся сделки.

Еще по API в OkoCRM попадает информация, на каком конкретно сервисе клиент оставил контакты, с какой рекламы перешел, какой контент просматривал. Информация записывается в виде меток. Эти метки помогают анализировать, какой веб-сервис приводит больше клиентов, как пользователи себя на нем ведут, что смотрят. А сохраняются метки в карточках сделок, в разделе «Аналитика».

Можно настроить какие угодно метки. Например, создать метку, в которую запишется информация, сколько денег бизнес потратил на привлечение клиента или в каком городе клиент находится.

Информация из меток — коммерческие данные. Ее используют:

• маркетологи, чтобы придумать, как завлечь клиентов
• аналитики, чтобы рассчитать, откуда идут клиенты и по какой цене
• рекламщики, чтобы спланировать рекламный бюджет

Если менеджеры сольют данные конкурентам, те могут украсть коммерческие идеи. Например, начать использовать те же веб-платформы или настраивать ту же рекламу, чтобы переманивать клиентов. Поэтому подобные метки полезно скрывать. Вот как это сделать в OkoCRM:

1. Зайдите в раздел с настройками
2. Выберите вкладку «Безопасность»
3. Установите галочку напротив «Разрешить работу с API только администраторам» и сохраните

Теперь никто, кроме админа, не сможет увидеть информацию о метках. Они в безопасности.

✅ Подключить мониторинг активности. Мониторинг активности выявляет подозрительное поведение менеджеров в CRM. Например, каждый менеджер за день открывает в среднем 20 сделок. Это статистика бизнеса. Но вдруг менеджер начал открывать не 20, а 100 сделок. Уже странно. Возможно, менеджер собирает данные, чтобы продать конкурентам и незаконно обогатиться.

Тут-то и надо настроить мониторинг активности. Если менеджер начнет открывать больше сделок, карточек с клиентами или компаниями, чем ему положено, мониторинг это заметит и деактивирует менеджера — тот вылетит из системы.

Мониторинг включается так:

1. Заходите в раздел «Настройки» и жмете вкладку «Безопасность»
2. Ставите галочку напротив «Мониторинг активности» и устанавливаете лимиты для карточек сделок, контактов и компаний за сутки или час.
3. Сохраняете

Настроить мониторинг можно частично. Например, установить лимит только на сделки. Тогда на карточки клиентов и компаний ограничений не будет.

✅ Настроить иерархию ролей. В OkoCRM можно дать разный доступ сотрудникам и отделам. В итоге они не могут просматривать данные, менять настройки, редактировать сведения, которые не относятся к их работе. Доступ выдается через роли. Роль в CRM — это определенный набор прав.

Чтобы создать роль в OkoCRM, надо зайти в раздел настроек, затем щелкнуть «Пользователи» и нажать на кнопку «Создать роль».

Настроить роли в OkoCRM можно для отдельного сотрудника или отделов. Ограничения на количеству ролей нет.

Дальше под каждую роль настроить доступ, то есть перевести переключатели напротив действия в CRM-системе в активное состояние.

При добавлении новой роли, у нее тут же появятся настройки уровня доступа.

У некоторых позиций может быть четыре варианта доступа:

• Разрешено. Все пользователи с ролью могут выполнять действие, например, просматривать или редактировать сделки
• Ответственный. То есть сотрудники с ролью могут выполнять только те действия, на которых они значатся как «Ответственные». Допустим, у них будут права, чтобы редактировать свои сделки, а вот сделки коллег — нет
• Для группы. Группа — это отделы и сотрудник, которые образуют некоторую структуру в компании. Если дать доступ менеджеру, который входит в группу, доступ автоматически появится и у остальных участников
• Запрещено. Сотрудник или отдел не получают доступ

Некоторые действия могут иметь только два вида доступа «Разрешено», «Запрещено», другие — четыре: «Разрешено», «Ответственный», «Для групп», «Запрещено».

Доступы бизнес раздает из собственных соображений безопасности, но я рекомендую закрывать от обычных сотрудников все, что касается настроек. Иначе они могут перенастраивать их случайно или намеренно, из-за чего CRM начнет работать с ошибками. Оставить доступ к настройкам можно администраторам или РОПам.

Управление настройками, интеграциями, правами доступов и безопасностью стоит оставлять самым надежным сотрудникам.

1. CRM-система собирает и хранит персональные данные клиентов и коммерческую информацию бизнеса. Они влияют на доход, поэтому важно сохранять их в безопасности
   
2. Если безопасностью пренебречь, данные могут попасть в руки конкурентов. Они переманят клиентов или начнут копировать работу бизнеса. Другая неприятность — риск нарушить Федеральный закон № 152-ФЗ «О персональных данных». Если данные окажутся за пределами компании в случае хакерской атаки, бизнес получит административку и штраф
3. Чтобы защитить данные, в OkoCRM есть ряд настроек. Например, можно скрыть номера клиентов от менеджеров. Они не смогут звонить клиентам за пределами компании, чтобы продавать мимо кассы, или копировать номера, чтобы толкнуть на черном рынке
4. Еще можно ограничить доступ по IP. Тогда к системе подключаться только сотрудники из офиса компании. Вне офиса доступа не будет даже с верными логином и паролем
5. Третья защита — включить мониторинг активности. Если менеджеры начнут просматривать за день подозрительного много карточек, то вылетят из системы
6. Еще возможно разрешить работу с API только администраторам. Маркетинговые данные будут недоступны рядовым менеджерам
7. Также в OkoCRM можно раздать разный уровень доступа сотрудникам и отделам. Для этого создают роли и под каждую настраивают свой доступ