Twoje dane są bezpieczne

Kradzieże danych zdarzają się na tyle często, że realnie niepokoją zarówno konsumentów, jak i e-commerce’y. Czasami są to zaplanowane cyberataki (przypadek marek Ochnik, New Balance, StreetStyle24, pickypica.com z września 2024), a czasami – wynik nieodpowiedniego zabezpieczenia (incydent na platformie VTEX, oferującej rozwiązania e-commerce z lutego 2025). Jednym ze sposobów ochrony danych jest RODO, które kładzie szczególny nacisk na płatności online.  

 

RODO a bezpieczeństwo płatności online

RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych) obowiązujące w UE od 2018 roku zrewolucjonizowało podejście do bezpieczeństwa danych – w tym podczas płatności online. Regulacje prawnewymuszają m.in.: 

 

• Minimalizację danych i ograniczenie celu (zbieranie tylko tych danych, które są niezbędne do finalizacji transakcji i dostarczenia produktu), 

 

• Przejrzystość przetwarzania (rodzaj i cel zbieranych danych powinny zostać przedstawione w zrozumiałej formie, np. w polityce prywatności i komunikatach podczas zakupu), 

 

• Integralność i poufność (konieczność zapewnienia odpowiednich środków bezpieczeństwa), 

 

• Rozliczalność (dowody na przestrzeganie zasad RODO, np. prowadzenie dokumentacji, przeprowadzanie audytów). 

 

Jak RODO chroni dane osobowe podczas transakcji?

RODO m.in. nakazuje firmom wdrożenie określonych środków technicznych i organizacyjnych, które zabezpieczają dane w trakcie procesu płatności. Jakie konkretne mechanizmy ochrony danych wprowadza w kontekście transakcji online? 

Środek ochrony danych	Zastosowanie w transakcjach online
Szyfrowanie (SSL/TLS)	Informacje wpisywane podczas płatności (dane karty, adres) są zaszyfrowane przez protokół HTTPS i nie mogą zostać odczytane przez osoby postronne w trakcie transmisji pomiędzy przeglądarką a serwerem
Tokenizacja	Zastąpienie wrażliwych danych kart płatniczych (numeru, CVV) losowo wygenerowym tokenem; można go zastosować do przyszłych transakcji w e-sklepie, jednak dane są bezpieczne u operatora płatności
Kontrola dostępu	Nadawanie pracownikom minimalnych uprawnień (zasada need-to-know), stosowanie silnych haseł, uwierzytelniania dwuskładnikowego w panelach administracyjnych itp. – brak otwartych  „furtek” dla osób wewnątrzfirmy i hakerów
Polityka retencji danych	Przechowywanie danych tylko tak długo, jak to konieczne (np. do momentu zrealizowania zamówienia i upływu okresu zwrotu towaru, chyba że inne przepisy wymagają inaczej)
Regularne audyty i testy	Audyty bezpieczeństwa systemów i testy penetracyjne do wykrywania ewentualnych luk; oceny skutków dla ochrony danych (DPIA) dla nowych rozwiązań (np. nowego systemu płatności)

Znaczenie zgody użytkownika w płatnościach online

Zgodnie z RODO zarządzanie danymi osobowych powinno odbywać się za zgodą użytkownika. Jeśli więc operator płatności chce je wykorzystać w szerszym zakresie niż to konieczne do samej transakcji, musi o nią poprosić w sposób jasny. To np. opcjonalne checkboxy w formularzu zamówienia.  

 

Ważne: nie można uzależniać zakupu od zgód marketingowych! Zlekceważenie zasad uzyskiwania zgody prowadzi do poważnych konsekwencji: 

 

• Kar finansowych ze strony organu nadzorczego (niemałych!), 

 

• Utraty zaufania klientów – badania pokazują, że 70% konsumentów zrezygnowałoby z zakupów u marki, która ucierpiała z powodu incydentu bezpieczeństwa, a aż 49% młodych dorosłych (25-34 lata) zmieniłooperatorów z powodu ich polityki prywatności. 

 

Najlepsze praktyki dla firm B2B w zakresie RODO

Stosowanie się do RODO to tak naprawdę „być albo nie być” dla szeroko pojętego sektora B2B (np. dostawców usług dla e-commerce, operatorów płatności, platform handlowych). Oprócz ciągłego szkolenia się w tejdziedzinie trzeba mieć gotowy plan działania na wypadek naruszenia danych! 

 

• Kogo informujesz najpierw? 

 

• Jak zabezpieczasz ślady? 

 

• Kto kontaktuje się z UODO i klientami? 

 

• Czy masz gotowe szablony komunikatów? 

 

Ponadto zawsze wybieraj zaufanych partnerów biznesowych i dostawców technologii (np. zewnętrznego software house’u, usług chmurowych, operatorów płatności). Sprawdzaj, czy przestrzegają zasad RODO iwymagaj przedstawienia na to dowodów!  

 

Rola PayU w zapewnieniu bezpieczeństwa transakcji

PayU od lat spełnia najwyższe standardy transakcyjne: 

 

• Jest certyfikowanym podmiotem PCI DSS Level 1, czyli spełnia najwyższy poziom wymagań bezpieczeństwa dla podmiotów przetwarzających dane kart płatniczych, 

 

• Chroni dane posiadaczy kart zgodnie ze światowym standardem ustalonym przez organizacje płatnicze (Visa, Mastercard itd.), 

 

• Przestrzega wymogów dyrektywy PSD2, w tym zasad silnego uwierzytelniania klienta – dlatego oferowane metody płatności są zgodne z europejskimi regulacjami finansowymi, 

 

• Inwestuje w zaawansowane technologie ochrony danych, np. najnowsze protokoły SSL/TLS czy AI do wykrywania podejrzanych zachowań, 

 

• Ma architekturę systemów zaprojektowaną na zasadzie segmentacji (naruszenie jednego elementu nie daje dostępu do całości danych) oraz wyszkolone zespoły od cyberbezpieczeństwa (dostępne w trybie 24/7), 

 

• Regularnie przeprowadzane testy penetracyjne (przez zewnętrznych specjalistów), aby wychwycić i naprawić wszelkie podatności zanim wykorzystają je przestępcy. 

 

Poza tym PayU, będąc administratorem i jednocześnie procesorem danych płatniczych ma własne polityki prywatności, odpowiednie klauzule informacyjne i mechanizmy uzyskiwania zgód. 

 

RODO w płatnościach online to bezpieczeństwo

Tysiące płatności online każdego dnia oznacza przetwarzanie ogromnej ilości danych osobowych i finansowych, które próbują ukraść przestępcy – i niestety dalej im się to udaje. Być może za kilka lat takie zagrożeniazmaleją, ale póki co trzeba z nimi walczyć tu i teraz  poprzez sumienne stosowanie RODO oraz wybór odpowiedniego partnera biznesowego.