Sikker kundehåndtering på Internett

Nettbutikker må ha gode rutiner for beskyttelse av passord, tilgang til kundens kontonummer og sletting av kundeopplysninger.

Informasjon om kunden avgrenses normalt til navn, adresse, e-post, passord, kontonummer og kredittkortinformasjon. Kunder må oppgi identitet og øvrige kontaktopplysninger for å kunne handle på internett, slik som i nettbutikker, på auksjonssider eller andre former for nettkjøp. I tillegg til å be om kundens kontaktopplysninger lagrer virksomheten også kundens transaksjoner tilbake i tid og dette øker mengden og spredningen av personopplysninger.

Virksomheter som tilbyr handel på nett må be om kundeopplysninger for å være sikre på at han kommuniserer med en reell person. Kunden må derfor ofte opprette en konto med e-postadresse som brukernavn og et personlig passord og eventuelt benytte andre identifiserende mekanismer for å gjennomføre handelen. Sikkerhetsmekanismer som ligger hos leverandører av betalingsløsninger kan også brukes i tillegg for en mer entydig identifikasjon.

Virksomhetene plikter å behandle kundeopplysningene på en sikker måte.

Passord er privat og skal beskyttes

Passord er en nøkkel som kunden skal bruke for å låse opp en konto eller brukerprofil som tilhører en enkeltperson. Kunden skal ikke måtte dele denne nøkkelen andre fordi det øker muligheten for at andre kan foreta en handel på vedkommendes vegne. I tillegg bruker mange kunder samme passord i flere tjenester og i flere nettbutikker som igjen øker faren for missbruk av opplysningene.

Passord er beskyttelseverdig og vil dermed omfattes av krav til konfidensialitet. En database med brukernavn (e-post) og passord er et yndet objekt for ID-tyver og andre som ønsker å skaffe seg informasjon de kan bruke i andre sammenhenger. Slik informasjon kan dermed ha verdi på det ”svarte markedet”. Virksomheten må også forholde seg til at risikoen for utro tjenere kan være en variabel når man skal vurdere tiltak for beskyttelse av slik informasjon.

Passord kan sikres ved å:

  • kryptere databasen slik at nøkkelen ikke er tilgjengelig
  • gjøre passordet usynlig for kundebehandlerne
  • sende nytt midlertidig passord til kunden med kort gyldighet (noen timer). Er brukernavnet og e-posten som passordet sendes på det samme, vil uautorisert tilgang til denne e-posten kunne kompromittere brukerkontoen. 
  • bruke kryptert innlogging, slik som SSL-sertifikat eller lignende

Kontroller som Datatilsynet tidligere (2008) har gjort av auksjonstjenester på nett avdekket at brukernes passord var tilgjengelig for ansatte i virksomheten som han hadde handlet hos. Tilgangen til kunders passord var begrenset til de som hadde tilgang til kundesystemet, men de kunne se passordene i klartekst. Eventuelle utro tjenere hadde dermed nok informasjon til å misbruke kundens kontro og potensielt også kontoer som kunden hadde andre steder.

Tilgang til kontonummer skal begrenses

Kontonummer brukes av virksomheter som driver auksjonsvirksomhet eller annen virksomhet med mulighet for retur av varer. Blir varen returnert etter gitte retningslinjer, blir pengene tilbakebetalt til kundens konto.

Tilgang til slike opplysninger må derfor avgrenses til tjenestelig behov. Denne informasjonen trenger ikke være tilgjengelig for andre enn som gjør utbetaling etter at varen er returnert. 

Sletting av kundeopplysninger

Når kunden sletter sin konto skal opplysningene slettes, så fremt ikke annet lovverk sier at de skal lagres i en lengre periode.

Et kundeforhold hos en netthandelvirksomhet er basert på personopplysningslovens krav om samtykke. Når kunden sletter sin konto, trekker han samtidig samtykket sitt tilbake. Da skal alle opplysninger som ikke faller innunder oppbevaringsplikt etter annet lovverk slettes. Dette betyr i at navn, adresse, e-post, passord, kontonummer skal fjernes fra kundesystemet og fra eventuelle sikkerhetskopier. Unntaket kan være at salgshistorikk om dette faller innunder annet lovverk. Sletting i slike systemer kan være problematisk med tanke på konstruksjonen av sikkerhetskopieringssystemer.

Det kan være vanskelig å slette et enkeltstående element. En passende rotasjonstid på sikkerhetskopien vil være en tilfredsstillende metode for sletting. Kunden bør informeres om virksomhetens praksis.