Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Cómo proteger la información personal de los clientes en la empresa

Fecha de publicación 18/06/2020
Autor
INCIBE (INCIBE)
Protección clientes PtE

En Internet, las empresas de éxito serán las que mejor protejan a sus clientes garantizando la seguridad de sus datos personales y, por tanto, generando confianza. Conservar la imagen de la empresa, ser responsables con las decisiones y aplicar buenas prácticas en el comercio online, son algunas de las características más importantes para lograr una buena percepción de los servicios empresariales por parte del usuario.

Acciones a considerar para la protección del cliente

Podemos considerar la protección de un cliente como el conjunto de acciones coordinadas y encaminadas a su protección y tranquilidad aportando beneficios mutuos tanto para la empresa como para los clientes. Entre estas acciones, podemos señalar las siguientes:

Reputación online e imagen

Nuestra imagen en la red puede ser nuestro valor diferencial. Para protegerla, debemos concentrarnos en mejorar aquellos factores que dependen de la empresa, tales como la calidad del servicio prestado, atención a los clientes y el cumplimiento de acuerdos y contratos. Cuando contamos con medios online para la interacción con nuestros clientes hemos de considerar algunos puntos clave como la calidad de la presentación de la página web corporativa y la presencia coordinada a través de las redes sociales. En estas tendremos especial cuidado en el tratamiento de los comentarios recibidos y la pronta atención a los clientes, pues son esenciales para nuestra reputación. En general, buscaremos prestar una buena atención a los clientes a través todas las vías online habilitadas y la diligencia en la gestión de incidencias que puedan surgir.

Es recomendable actuar siempre con transparencia, los clientes deben poder tomar decisiones apoyándose en información que les permita conocer los productos y servicios de la empresa de una forma clara y comprensible, informándoles en todo momento de las posibles incidencias surgidas.

Acuerdos a nivel de servicio

Los acuerdos de nivel de servicio (SLA por sus siglas en inglés: Service Level Agreement) son aquellos acuerdos establecidos entre proveedor y cliente que permiten conocer la calidad, y la seguridad, de un proyecto o servicio prestado de cierta duración. Deben estar consensuados por ambas partes y en ellos se pueden acordar puntos tan importantes para la ciberseguridad como:

  • la disponibilidad o el horario del servicio de asistencia online,
  • los tiempos de respuesta en la resolución de incidencias,
  • el personal asignado al servicio,
  • los modos de acceso al servicio,
  • las responsabilidades de ambas partes, como quién hará las actualizaciones y backups,
  • los límites de carga del servicio
  • y las interrupciones programadas.

Estos acuerdos deberán revisarse periódicamente, y siempre que haya cambios, para verificar su vigencia.

Comunicación con el cliente

La comunicación con el cliente no se debe descuidar cuando se hace por medios digitales. Siempre verificaremos que se realice de forma segura utilizando correo electrónico corporativo o cuentas oficiales en redes sociales, sobre redes de comunicación confiables y cifrando la información intercambiada si esta es confidencial. Solamente se podrá contactar con los clientes por los canales establecidos en la política de la empresa, evitando otras vías de comunicación no oficiales y por lo tanto menos confiables. El fin es evitar la fuga de información, para lo cual existen también herramientas específicas DLP (Data Loss Prevention) que «vigilan» los movimientos de los ficheros y complementan a los antivirus y firewalls.

Responsabilidades si somos proveedores de servicios

Si ofrecemos servicios externos, gestionaremos y protegeremos la información de nuestros clientes como si fuera propia. Para ello, una buena práctica es ofrecer contratos de confidencialidad o clausulas adicionales al contrato de servicios, respetando siempre la legislación de protección de datos (LOPDGDD y RGPD). Esto mismo lo exigiremos cuando somos nosotros los que contratamos servicios externos, ya sean o no tecnológicos y en particular aquellos en los que intervengan datos personales.

No debemos olvidar la concienciación en ciberseguridad, pues los empleados deben ser en todo momento conscientes de la importancia de la información que manejan tanto de la empresa como de los clientes. Para proteger la información más sensible es posible firmar con los empleados que la manejen acuerdos de confidencialidad para tal fin. La concienciación se ha de acompañar de medidas técnicas o políticas para regular el acceso de los empleados a la información de los clientes y otorgar solo el acceso necesario para el correcto desempeño de las funciones.

Satisfacción del cliente

La obtención del servicio demandado por el cliente en la forma y tiempo acordados es importante para establecer una relación de confianza duradera, por tanto, es vital llevar un seguimiento de la percepción del cliente respecto de los servicios prestados. Para ello podemos realizar encuestas de satisfacción que nos ayudarán a ser proactivos ante el cliente detectando y corrigiendo a tiempo los posibles problemas.

Consideraciones sobre comercio electrónico

Sea cual sea el tamaño y actividad de la empresa, tenemos que proteger la información de los clientes, especialmente si ofrecemos servicios de comercio electrónico u otros donde recojamos o tratemos datos de clientes como información de medios de pago, direcciones de envío o facturación, etc. Estos datos son especialmente vulnerables ya que se venden a buen precio en el mercado negro, y son utilizados posteriormente para realizar otros ataques y fraudes. Por este motivo y por las pérdidas económicas y reputacionales que puede ocasionarnos, se deben extremar las precauciones implementando medidas destinadas a proteger los datos de los clientes tales como:

  • Utilizar protocolos seguros https para páginas web y pasarelas de pago. Asegurando de esta manera que la información va cifrada.
  • Utilizar un certificado válido y al día para la web y la tienda online. Garantizando así que las conexiones a la web empresarial son legítimas.
  • Actualizar el software de los servidores web, evitando así vulnerabilidades conocidas.
  • Cifrar la información sensible que se almacene en las bases de datos de la web.
  • Almacenar las contraseñas de los clientes cifradas y nunca enviarlas como texto plano.
  • Utilizar los sellos de confianza o distintivos que muestran el compromiso de la empresa con códigos éticos y la implantación de medidas de seguridad.
  • Usar sistemas de reputación por votos, permitiendo a los clientes valorar públicamente el servicio recibido.

En el caso de que contratemos servicios a proveedores tecnológicos, como por ejemplo servicios cloud, tendremos que asegurar que firmamos con nuestros proveedores los acuerdos necesarios para recibir un correcto servicio y que se cumplen nuestros requisitos de seguridad, los que garantizan la confidencialidad, integridad y disponibilidad de la información y de nuestros servicios. En todo caso, conviene recordar que el deber de secreto sobre los datos personales se ha de mantener incluso una vez finalizada la prestación de un servicio.

Medidas de seguridad básicas

Es recomendable fijar unas medidas básicas de seguridad. Estas medidas han de trasladarse a los contratos externos que se establezcan. Algunas de estas medidas son:

  • mantener los sistemas actualizados libres de virus y vulnerabilidades;
  • concienciar a los empleados de la correcta utilización de los sistemas corporativos;
  • utilizar redes seguras para comunicar con los clientes cifrando la información cuando sea necesario;
  • incluir la información de los clientes en los análisis de riesgos anuales, realizar copias de seguridad periódicas y verificar sus procedimientos de restauración;
  • implementar mecanismos correctos de autenticación, comunicar las contraseñas a los clientes de forma segura y almacenarlas cifradas, asegurando que solo él puede recuperarla y cambiarla.

Los datos de tus clientes han de estar en todo momento protegidos. Sigue estas recomendaciones para generar y mantener con ellos la confianza necesaria. ¡Protege tu empresa!

Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad