Как обеспечить безопасность данных в CRM-системе

Когда выбираете CRM-систему, важно понимать, насколько хорошо разработчики защитили пользователей от утечек и других угроз. Рассказываем всё, что нужно знать о безопасности данных в CRM, и как это реализовано в OkoCRM.

Есть минимум две причины, почему пользователям CRM-систем важно уделять внимание безопасности сервиса.

1. Чтобы сохранить клиентскую базу. Бывают случаи, когда сотрудники продают конкурентам клиентскую базу, которую компания собирала годами. Или один или несколько сотрудников решают организовать свой бизнес, увольняются, а клиентскую базу забирают себе. Это можно предотвратить, если в CRM реализованы основные функции защиты клиентских данных.

2. Чтобы не допустить утечки данных о клиентах. Если клиентскую базу сольют, это ударит не только по продажам. Утечка контактных данных клиентов — нарушение закона № 152-ФЗ «О персональных данных». Можно получить штраф — до 1 миллиона рублей. За контактами клиентов охотятся не только ваши конкуренты, но и хакеры.

В обоих случаях бизнес теряет деньги. Если данные попадут к хакерам, это ещё бьёт по репутации, приходится платить штрафы.

У каждой компании есть конфиденциальные данные, которые хотят украсть мошенники. У клиник — это данные о клиентах, у банков — номера банковских карточек, CVV или CVC коды, у производителей — уникальные технологии производства, у ритейлеров — данные о поставщиках и клиентах.

Есть несколько способов, как можно украсть конфиденциальные данные компании:

1. Заразить компьютер вирусом, например, кейлоггером, который записывает все нажатия клавиш. Он может попасть на компьютер из социальных сетей и мессенджеров, email-рассылок.

2. Подкупить сотрудников скопировать информацию о клиентской базе, сохранить документы на флешку. Или отправить данные на смартфон, используя специальные программы.

3. Украсть данные с помощью мессенджеров. Например, мошенники могут получить доступ к перепискам в Telegram. Это сложнее сделать, если в компании используют корпоративный мессенджер или CRM-систему с встроенным чатом для сотрудников.

4. Воспользоваться халатностью сотрудников. Прислать на почту письмо, которое сотрудник откроет, перейдёт по ссылке, запустит вирус, а тот соберёт конфиденциальные данные со всей корпоративной сети. Так, например, в 2022 году уже похищали клиентские данные Яндекс Еды.

Мы в OkoCRM стремимся максимально защищать персональные данные, поэтому используем несколько способов для их защиты. Рассказываем, каким образом нам удаётся обеспечивать безопасность данных в CRM-системе.

Скрываем номера телефонов. В настройках можно скрыть контакты клиентов. Сотрудники не будут их видеть, но смогут звонить клиентам из CRM, используя интеграцию с телефонией. Это самый простой и надёжный способ сохранить клиентскую базу.

Ограничиваем работу с API. С помощью API к CRM подключают другие сервисы, например, телефонию или социальные сети. Если сервис, подключенный по API, опасен, можно потерять данные CRM-системы. Поэтому нужно ограничивать доступ к работе с API.

Ограничиваем доступ по IP-адресу. Заходить в CRM смогут только те пользователи, чьи IP-адреса внесены в специальный раздел в настройках системы. Это значит, если кто-то украдёт пароль сотрудника для входа в аккаунт, он всё равно не сможет войти в CRM, так как его IP не подходит для входа.

Проводим мониторинг активности. В OkoCRM можно установить норму открытия карточек сделок или контактов. Например, вы устанавливаете норму — открывать 50 карточек контактов в день. Если менеджер откроет 51 карточку, OkoCRM вас об этом оповестит. Если менеджер регулярно открывает большое количество карточек, вы узнаете об этом с помощью CRM.

Настраиваем права доступа. В OkoCRM практически каждое действие сотрудников можно ограничить. Не хотите, чтобы сотрудники могли импортировать данные → закрываете для них эту функцию. Или закрываете её только для части сотрудников. Так тоже можно.

В OkoCRM можно управлять:

• работой со сделками
• работой с клиентской базой
• задачами
• аналитикой
• счетами
• справочниками
• чатами
• проектами
• настройками

В OkoCRM реализовано управление доступами для каждой функции.

Используем шифрование данных. В OkoCRM для безопасного входа в систему применяется шифрование паролей, а также паролей в проектах, для электронной почты и интеграций. Используем стандарт шифрования AES.

Используем дополнительную защиту. Для передачи данных используем защищённый протокол SSL. Каждый день делаем бэкапы, то есть создаём резервные копии данных.

1. Регулярные резервные копии

Чтобы важная информация сохранилась в CRM, система автоматически регулярно создаёт резервные копии — на распределённых серверах. Если кто-то случайно или специально удалит клиентскую базу, или вдруг произойдёт крупный сбой на одном из серверов, данные всё равно сохранятся. Облачные версии CRM обновляются автоматически, коробочные — не всегда, это лучше уточнить у разработчика.

2. Ролевая модель и допуск к информации

Эффективнее всего бороться с утечкой данных, если ограничить сотрудникам доступ к важной информации. Для этого в CRM-системе есть возможность настроить уровни доступа, как для отдельных сотрудников, так и по отделам.

Менеджерам можно запретить удалять сделки, редактировать и удалять контакты, удалять письма и сообщения, импортировать данные. В таком случае руководитель может быть спокоен — менеджеры ничего не смогут удалить или скопировать.

Если скрыть от менеджеров номера контактов, они даже не смогут сфотографировать экран или переписать себе номер телефона. Менеджер будет звонить клиенту, но не увидит его телефонный номер.

3. Регулярные аудиты и мониторинг

В CRM-системах можно отслеживать действия сотрудников. Буквально смотреть, кто в какие разделы CRM заходит, куда нажимает. Если периодически просматривать действия сотрудников, получится заметить подозрительную активность. Например, менеджер много времен проводит в разделе «Контакты». Это может быть связано с тем, что он пытается похитить контакты клиентов.

4. Защита от вредоносных программ

Разработчики не просто так выпускают обновления CRM. Они совершенствуют защиту от вредоносного программного обеспечения. Чтобы обезопасить CRM от вирусов, не забывайте обновлять систему.

5. Обучение и осведомленность пользователей

Важно, чтобы сотрудники разбирались в основах информационной безопасности. Иначе из-за спама, который пришёл на корпоративную почту, можно потерять клиентскую базу или конфиденциальную информацию. Поэтому стоит регулярно проводить обучение всех сотрудников, работающих в CRM.

6. Шифрование данных

Шифрование используют, чтобы только ограниченный круг людей мог получить доступ к конфиденциальной информации. Обычно CRM шифрует передаваемые данные 128-битным ключом, как в крупных банках или платежных системах.

Еще пользователи самостоятельно могут использовать симметричное или асимметричное шифрование данных.

Симметричное. Для него используют только один код.

Это очень простой способ шифрования данных, но у него есть минус — нужно придумать безопасный способ передачи кода от бухгалтера директору, так как сам код могут перехватить и тогда не сложно будет расшифровать документ.

Асимметричное. Для этого типа шифрования используют два кода. Один — закрытый, второй — публичный. 

Поэтому такой способ более эффективный: даже если злоумышленники перехватят публичный ключ, этого недостаточно для расшифровки данных. Закрытый ключ никому передавать не надо, он хранится на сервере, но даже в случае взлома сервер генерирует новые ключи.

Для входа в CRM-систему нужно ввести логин и пароль, но таких действий может быть недостаточно для защиты. Чтобы обеспечить безопасность данных в CRM, часто используют дополнительные способы подтверждения личность во время входа в аккаунт. Например, на телефон, указанный при регистрации в системе, присылают код. Только после того, как пользователь введёт код, можно попасть в CRM.

1. Безопасность данных в СРМ очень важна, так как из-за её недостаточной реализации можно не только потерять конфиденциальные данные. Есть риск, что клиентскую базу украдут сотрудники или хакеры
   
2. Разработчики CRM-систем борются с этим разными способами: зашифровывают данные, добавляют функции распределения ролей доступа, делают мониторинг активности, резервные копии и т.д.
3. В OkoCRM для защиты данных есть возможность скрывать номера клиентов, устанавливать роли доступа, мониторить активность сотрудников, ограничивать работу по API и устанавливать IP-адреса для входа пользователей