Bezpieczeństwo cybernetyczne i ochrona własności intelektualnej

4.2.1 Jak przedsiębiorstwo może zapewnić bezpieczeństwo podczas transakcji międzynarodowych?

Bezpieczeństwo ma zasadnicze znaczenie dla każdej aktywności w Internecie, a handel elektroniczny jest specyficznym środowiskiem, w którym współdzielona i przechowywana jest ogromna ilość danych. Jednak nie chodzi tu tylko o zabezpieczenie danych biznesowych, ale także o ochronę wrażliwych danych klientów, umożliwienie bezpiecznego przeglądania i zabezpieczania płatności, między innymi. Rozważając internacjonalizację, konieczne może być podjęcie większej liczby środków, które będą również powiązane z zasadami i warunkami panującymi na rynkach, na które będzie ukierunkowane przedsiębiorstwo.

Dla każdej firmy planującej rozpoczęcie sprzedaży online, środki bezpieczeństwa są krytyczne. Każda informacja, która trafia do sieci jest podatna na cyberataki. Chociaż przedsiębiorstwo może wprowadzić nowe środki w momencie ataku na system, który stanie się skuteczny od tego momentu, wcześniej przechowywane dane nadal będą narażone na ryzyko. Dlatego też wdrożenie środków bezpieczeństwa jest koniecznością, która powinna obejmować również regularne i precyzyjne środki kontroli, w tym regularne aktualizacje oprogramowania i przeglądarek, aby móc wykryć wszelkie ataki cybernetyczne zanim spowodują one jakiekolwiek szkody.

Bezpieczeństwo online jest dość często związane z płatnościami online. W tym zakresie warunkiem wstępnym jest zaszyfrowane przesyłanie danych pomiędzy konsumentem, a sprzedawcą, zwłaszcza danych karty kredytowej. Powinno to również obejmować możliwość potwierdzenia, kim jest sprzedawca i kupujący. Jednakże przed umożliwieniem klientom płatności online istnieją inne środki, które są niezbędne do wdrożenia. Zaczynają się one od zabezpieczenia sieci, w szczególności zabezpieczenia serwera przed atakami osób trzecich, zarówno z zewnątrz (Internet), jak i z wewnątrz (sieć LAN), oraz zabezpieczenia serwera przed dostępem osób nieupoważnionych do danych klienta bez ich zgody. Innymi podstawowymi środkami bezpieczeństwa są certyfikaty SSL i pieczęcie bezpieczeństwa.

Certyfikat SSL łączy nazwę domeny, nazwę serwera lub nazwę hosta z tożsamością organizacyjną (tzn. nazwą firmy) i jej lokalizacją. Jest to pierwszy krok do udokumentowania, że strona handlu elektronicznego jest chroniona. Celem jego wdrożenia jest zabezpieczenie połączeń z serwera WWW do przeglądarki, a w szczególności zabezpieczenie transakcji kartą kredytową, transferu danych, logowania i przeglądania mediów społecznościowych. Strona handlu elektronicznego, która posiada certyfikat SSL, będzie posiadała kłódkę lub zielony pasek obok protokołu HTTPS na pasku adresu, wcześniej http („s” w https pochodzi od angielskiego słowa „secure” i oznacza „bezpieczna”).

Pieczęcie bezpieczeństwa (zwane również pieczęciami zaufania) dokumentują przestrzeganie przez sklep internetowy polityki prywatności, kiedy zostało przeprowadzone ostatnie skanowanie bezpieczeństwa (tj. w poszukiwaniu złośliwego oprogramowania lub wirusów) oraz czy strona jest bezpieczna. Istnieją dwa rodzaje pieczęci bezpieczeństwa, weryfikacja serwera i weryfikacja strony internetowej. Pierwszy z nich polega na skanowaniu serwera hostingowego w celu wyeliminowania potencjalnego zagrożenia. Drugi zabezpiecza użytkowników przed wstawianiem niepożądanych skryptów na przeglądane strony (z języka ang. tzw. cross site scripting) i manipulowaniem danymi użytkownika, co może spowodować unieważnienie transakcji lub zniszczenie danych (tzw. SQL injection). Strona handlu elektronicznego, która posiada pieczęć zaufania, będzie miała na swojej stronie identyfikator lub komunikat „zabezpieczony” / „zweryfikowany” (np. Norton Secured), ale również w wielu przypadkach taka informacja będzie również na pasku adresu, a jej ważność można sprawdzić klikając na tę ikonę, w rezultacie przechodząc do strony, która weryfikuje autentyczność tej pieczęci. Kolejną wskazówką, że strona jest zabezpieczona, jest jej zielona nazwa na pasku adresu przeglądarki.

Płatności internetowe są szczególnie podatne na ataki cybernetyczne i oszustwa, a problem ten będzie nadal narastał ze względu na rosnącą popularność zakupów internetowych i mobilnych. Cyberprzestępcy kradną poufne informacje, a transakcje z wykorzystaniem kart płatniczych są ich głównym celem. Konsumenci wolą używać kart kredytowych (lub ogólnie kart) do transakcji internetowych. Europejski Bank Centralny szacuje, że tego typu transakcje stanowią ponad 60 proc. oszustw związanych z kartami. Inne powszechne przykłady oszustw internetowych w handlu elektronicznym to m.in.:

Oszustwa dotyczące tożsamości akceptanta: gdy cyberprzestępca zakłada konto akceptanta, które jest podobne do konta legalnej firmy, a następnie obciąża skradzione karty kredytowe, zanim prawdziwy posiadacz karty zorientuje się, co się stało.

Kradzież karty: gdy oszust uzyskuje informacje o karcie kredytowej, takie jak numer karty, data ważności i kod CVV/CVC, które mogą być wykorzystane do dokonania zakupu.

Kradzież tożsamości klienta: gdy cyberprzestępca uzyskuje kluczowe dane osobowe, które są następnie wykorzystywane do dokonania zakupu.

Testowanie kart: gdy oszust używa skradzionych kart do dokonywania częstych zakupów o niskiej wartości.

Przechwytywanie przesyłek: gdy oszust używa skradzionej karty do zakupu przedmiotów fizycznych, a następnie przechwytuje lub zmienia trasę przesyłki podczas jej dostawy.

Pozyskiwanie poufnych danych osobistych (ang. phishing): gdy cyberprzestępca próbuje uzyskać poufne dane, takie jak nazwa użytkownika, hasło, dane karty kredytowej itp., w powiązaniu z wiadomościami e-mail lub stronami internetowymi.

Fałszywe żądanie zwrotu pieniędzy: gdy (fałszywy) posiadacz karty składa wniosek o obciążenie zwrotne zamiast próbować uzyskać zwrot pieniędzy i (fałszywy) klient chce odzyskać pieniądze za legalny zakup.

Złośliwe przekierowanie: gdy cyberprzestępca przekierowuje na zainfekowaną stronę.

Niewłaściwe użycie przekierowań (ang. pagejacking): gdy cyberprzestępcy atakują strony internetowe i przekierowują klientów na strony, którym nie można ufać.

Inne cyberataki, które mogą być łatwiejsze do wykrycia i wyeliminowania, to m.in:

Malwersacja: gdy fałszywe kampanie reklamowe (charakteryzujące się błędami w pisowni, niewłaściwym produktem, itp.) są rozpowszechniane, zarażając strony internetowe.

Podejrzane wyskakujące okienka: gdy na ekranie pojawiają się fałszywe komunikaty, po kliknięciu, w które automatycznie pobiera się złośliwe oprogramowanie na komputer.

Zastępowanie treści strony (ang. defacement): kiedy cyberprzestępca zastępuje treść strony swoją nazwą, logo i/lub grafiką.

Niektóre dodatkowe środki, które należy wdrożyć w celu ochrony przed wyżej wymienionymi rodzajami oszustw i zagwarantowania bezpieczeństwa transakcji, to m.in. norma PCI DSS (Payment Card Industry Data Security Standard), środek bezpieczeństwa, który został stworzony w celu zwiększenia poziomu bezpieczeństwa użytkowników kart i zmniejszenia liczby oszustw związanych z kartami kredytowymi; system weryfikacji adresu (ang. Address Verification Service, AVS) w celu sprawdzenia, czy nabywca jest właścicielem karty, poprzez weryfikację adresu rozliczeniowego posiadacza karty, oraz kod weryfikacyjny karty (ang. Card Verification Value, CVV), znany również jako kod bezpieczeństwa karty (ang. Card Security Code, CSC) w celu sprawdzenia, czy nabywca posiada kartę – dwa ostatnie dotyczą wyłącznie transakcji dokonanych kartą kredytową, a AVS nie dotyczy wszystkich krajów. Weryfikacja 3D Secure jest dodatkową warstwą bezpieczeństwa dla internetowych transakcji kartami kredytowymi i debetowymi, która uwzględnia dodatkowy krok uwierzytelniania dla klientów kupujących online.

Dodatkowo, śledzenie adresów IP, numerów kart i innych elementów, które mogą być związane z transakcjami, które wydają się być oszustwem, jest ważnym środkiem bezpieczeństwa. Firmy, które chcą prowadzić biznes online powinny również upewnić się, że informacje o międzynarodowych kursach wymiany walut oraz wszystkie inne informacje są podawane w języku, którym posługuje się rynek docelowy. W zależności od kraju docelowego, mogą być wymagane różne środki bezpieczeństwa, a decyzja czy przedsiębiorstwo zdecyduje się na ich wdrożenie, czy też nie, będzie miała wpływ na sukces rynkowy przedsiębiorstwa.

Oprócz podstawowych rozwiązań w zakresie ochrony przed nadużyciami finansowymi, o których była mowa wcześniej, na rynku dostępne są również bardziej zaawansowane narzędzia, z których każde zapewnia w pełni zintegrowaną kontrolę w zakresie zapobiegania i wykrywania nadużyć finansowych przed samą transakcją lub weryfikacją płatności. Różne środki bezpieczeństwa powinny być wybierane w zależności od rodzaju strony internetowej, wielkości przedsiębiorstwa, liczby klientów i możliwości dotarcia do nowych rynków.

4.2.2 Ochrona własności intelektualnej oraz RODO

Własność intelektualna odnosi się do różnych aspektów kreatywności w umysłach jednostek oraz grup i jest chroniona przez prawo. To również własność konkretnego produktu lub usługi, co czyni ją ważnym elementem handlu elektronicznego, gdzie udostępniane są opisy produktów / usług, zdjęcia, filmy lub inne dane. Ponieważ handel przez Internet musi być chroniony, stosowanie technologicznych systemów bezpieczeństwa i prawa własności intelektualnej powinno być jednakowo adresowane, w przeciwnym razie własność intelektualna może zostać skradziona. Przykładami własności intelektualnej są patenty, znaki towarowe, prawa autorskie i tajemnice handlowe. Handel elektroniczny i przedsiębiorstwa internetowe opierają się na licencjonowaniu produktów lub patentów, również znaków towarowych, które, jeśli nie są chronione, mogą wyrządzić szkodę przedsiębiorstwu. Dlatego też własność intelektualna jest ściśle powiązana z wszelkimi wrażliwymi danymi i bezpieczeństwem, a to odnosi się do RODO.

RODO oznacza Ogólne Rozporządzenie o Ochronie Danych Osobowych, zgodnie z którym gromadzenie danych osobowych regulowane jest zgodą konsumenta, który wyraża zgodę na gromadzenie i przechowywanie jego danych. Oznacza to, że nie jest możliwe zbieranie, przechowywanie i wykorzystywanie danych bez zgody klienta. Ogólne rozporządzenie o ochronie danych osobowych (RODO) z dnia 14 kwietnia 2016 r., przyjęte 25 maja 2018 r., zostało opracowane w celu ochrony obywateli UE. Rozporządzenie wprowadza ograniczenia zarówno w zakresie gromadzenia, jak i wykorzystywania danych, wyjaśnia zasady ochrony danych i prywatności danych oraz ogranicza wykorzystywanie danych bez alienacji klienta.

Ochrona danych osobowych i wrażliwych jest obowiązkowa, jak również rozróżnienie między nimi, ponieważ mogą być wymagane różne poziomy ochrony. Dane osobowe, poza imieniem i nazwiskiem, adresem lub danymi konta bankowego, to „ciasteczka” i adresy IP, a dane biometryczne będą klasyfikowane jako dane wrażliwe. Strona handlu elektronicznego będzie miała styczność z ogromną ilością danych osobowych i wrażliwych, dlatego też środki bezpieczeństwa muszą być wprowadzane od momentu pierwszego odwiedzającego na stronie (zwłaszcza, gdy strona korzysta z „ciasteczek”, zebrała już dane od odwiedzającego, lub gdy ta osoba zapisuje się do e-biuletynu) oraz podczas ich konwersji na klienta (założenie konta, dokonanie zakupu, czy wprowadzenie danych). W każdym przypadku, przedsiębiorcy są zobowiązani do wyjaśnienia klientom, dlaczego proszą o ich dane i że są odpowiedzialni za ochronę danych klientów. Informacje te powinny być również dostępne dla klientów do wglądu w dowolnym momencie (np. w polityce prywatności lub w dowolnym innym miejscu na stronie internetowej, które jest łatwe do znalezienia).

Digitalizacja ułatwia gromadzenie danych, ale wraz z wprowadzeniem RODO ilość gromadzonych danych znacznie spada, ponieważ klienci są bardziej ostrożni z informacjami, którymi dzielą się online. Przedsiębiorstwa zaczynają również rozumieć, że nie muszą gromadzić tak dużej ilości danych od klientów, co dodatkowo buduje zaufanie tych klientów, którzy mogą uważać, że przedsiębiorstwa korzystają z ich danych i niekoniecznie je chronią. W handlu elektronicznym zbieranie i przechowywanie danych nie jest konieczne do celów realizacji zamówienia, ale może być niezbędne do celów innych działań, np. analizy zachowań konsumentów w Internecie lub przy subskrypcji e- biuletynu. W każdym przypadku konsument musi zawsze potwierdzić, że wyraża zgodę na gromadzenie swoich danych przez stronę internetową / dostawcę usług handlu elektronicznego, co ma zastosowanie w ramach RODO.

Wspieranie bezpieczeństwa handlu elektronicznego i zagwarantowanie konsumentom aktywności online, a tym samym ochrony ich praw w Internecie, to unijna strategia jednolitego rynku cyfrowego (z maja 2015 r.). Główne propozycje zawarte w tej strategii obejmują m.in. usługi płatnicze i zakaz geoblokowania. Jeśli chodzi o płatności, dyrektywa w sprawie usług płatniczych (rozporządzenie (UE) 2015/2366) została ustanowiona w celu zwiększenia praw konsumentów, zagwarantowania bezpiecznych i szybszych płatności, opisania praw do zwrotu kosztów zamówienia, podania jasnych informacji na temat metod płatności oraz promowania płatności mobilnych. W odpowiedzi na geoblokadę rozporządzenie 2018/302 z dnia 28 lutego 2018 r., przyjęte w dniu 3 grudnia 2018 r., kładzie kres geoblokowaniu, ułatwiając prowadzenie działalności w zakresie handlu elektronicznego (sprzedaż i kupno poza krajem zamieszkania) oraz zwiększając sprzedaż na terytorium UE. Geoblokowanie nakłada ograniczenia nie tylko na konsumentów i przedsiębiorstwa, ale również na gospodarki. Ponadto w kwietniu 2018 r. konsumenci uzyskali dodatkową ochronę dzięki propozycjom nowego ładu dla konsumentów, który zobowiązuje rynki internetowe do informowania konsumentów, czy dokonują zakupów od przedsiębiorcy czy od osoby fizycznej, czy ich wyniki wyszukiwania są z góry opłacane przez przedsiębiorcę i na jakich warunkach, a także do umożliwienia konsumentom odstąpienia od umowy zakupu usługi cyfrowej w ciągu 14 dni. Oczekuje się, że w styczniu 2021 r. wejdą w życie nowe przepisy dotyczące podatku VAT w odniesieniu do sprzedaży towarów i usług przez Internet, które uproszczą przepisy dotyczące podatku VAT w odniesieniu do sprzedaży towarów przez Internet, a także umożliwią zwalczanie oszustw podatkowych. UE regularnie wprowadza nowe przepisy dotyczące ochrony praw konsumentów w Internecie oraz poprawy wyników handlu elektronicznego. Więcej informacji na ten temat można znaleźć na stronach Komisji Europejskiej „Kształtowanie przyszłej polityki cyfrowej Europy”. (Komisja Europejska, 2020).