第1部分第1部分，共3部分：避免不必要的接触

1. 1制定书面隐私政策。对于大多数在线企业来说，法律并不要求制定书面的隐私政策，但制定并遵守这些政策仍然是良好的商业实践。您的隐私政策向客户解释您从他们那里收集的个人信息以及如何使用这些信息。在某些情况下，联邦法律可能会要求您为您的客户制定隐私政策，例如，如果您从儿童收集信息或关于儿童的信息。然而，即使法律不要求你有隐私政策，创建一个隐私政策，让你的客户可以使用它，并严格遵守它仍然是一个好主意。你可以在网上搜索简单免费的隐私政策生成器，用来帮助你制定自己的政策。一般来说，你应该在网站上包含关于如何使用cookie的信息，比如存储用户的偏好，或者维护他们放在购物车上的物品的信息。声明收集的任何信息仅用于完成客户的交易，未经客户同意，不得用于其他目的。提供联系信息，以便客户在怀疑隐私政策被违反或对其数据的收集和使用方式有任何疑问时，可以向贵公司的适当人员提出投诉。如果您使用第三方公司购买购物车，请检查他们的政策，确保您的政策准确反映他们收集和使用信息的方式。

2. 2了解系统中存储了哪些信息以及存储在哪里。为了充分保护您的在线客户，您需要确切地知道他们提供的信息保存在您的系统中，以及这些信息的位置。请记住，如果你不知道信息在哪里，你就无法保护它。所有敏感信息都应保存并备份到同一区域。客户信息不应保存在多个位置，例如员工的计算机和服务器上。它应该保存在一个地方，并且只能从该位置访问。

3. 3避免存储客户资料，除非您有一个安全的系统。许多客户发现创建客户档案、保存他们的地址和付款信息很方便，因此他们不必每次都重新键入。但是，如果无法保护这些配置文件中的信息，请避免向客户提供这种功能。请记住，当客户创建个人资料时，所有这些信息都有可能被身份盗贼获取。客户档案的坏处在于，它可能包含在同一个地方窃取他们身份所需的所有信息。

4. 4切勿要求提供交易所需的信息。您在自己的系统中保留的客户个人信息越多，这些信息就越有可能暴露给黑客，从而使您的客户容易遭受身份盗窃。您可以通过不存储任何超出绝对必要的信息来限制客户的曝光。例如，如果你只是在经营一家在线零售店或类似的商店，你永远不应该申请客户的社保或驾照号码的任何部分。完成销售不需要这些信息，它们是高度敏感的个人信息。

5. 5使用自己的专用服务器。使用由其他公司共享的服务器似乎是一种省钱的好方法，但访问存储信息的服务器的人越多，就越有可能访问客户的信息。如果您租用服务器空间，而不是运行自己的服务器，那么您将放弃保护这些服务器并监视对它们的访问的能力。你可以与一家为他们租赁的服务器提供一流安全性的公司签订合同。如果您无法维护自己的服务器，请在购买服务器空间时优先考虑安全问题。确保您了解如何访问服务器中的信息，以及如何监控服务器流量以防未经授权的访问。如果您正在维护自己的服务器，您可能需要与安全监控服务签订合同。许多互联网服务提供商还将额外收费为您的服务器提供安全保护。

6. 6在网上商店上使用SSL加密。避免不必要地暴露客户个人信息的最有效方法是升级电子商务网站，以便激活更安全的SSL加密技术。当一个网站被加密时，它会转到“https”而不是“http”通常，你可以选择是只加密你的结账过程，还是加密你的整个在线商店。如果您让客户能够创建他们自己的配置文件并登录以访问他们的购物偏好，那么您通常希望选择加密整个商店。如果您不向客户提供配置文件选项，您可以选择只对结账系统进行加密。一些帮助你建立在线商店的服务为你提供了加密选项。如果您正在使用这些电子商务服务之一，通常只需选中在您的网站上激活SSL证书的选项。

第2部分第2部分，共3部分：限制对系统的访问

1. 1为企业的计算机网络和服务器维护防火墙。强大的防火墙可以防止黑客访问您的系统，并且可以作为大多数计算机网络配置的一部分启用。如果你的公司有无线互联网，你通常可以在路由器中配置防火墙。这保护了你的网络，意味着它不会对任何碰巧路过并发现信号的人开放。路由器的配置软件将引导您完成设置防火墙的步骤及其遵循的规则。例如，您可以指示它不允许任何未经网络上的计算机特别请求的internet流量。一旦你的网络得到保护，员工需要密码才能访问你的无线网络。

2. 2订阅防病毒软件服务。杀毒软件在防火墙之外增加了一层额外的保护。如果有人确实违反了您的防火墙，防病毒软件可以识别并销毁恶意软件和其他病毒，这些病毒可能会加载到您的网络上，并用于窃取客户数据。你可以通过一些提供防病毒“软件即服务”的公司订阅防病毒保护这样做的最大好处是，您无需担心升级到最新版本，通常在订阅时会自动包含并下载升级。确保安全系统保持最新状态的最佳方法是选中软件设置中的复选框，以启用更新的自动下载。如果你能安排自动下载，考虑在人们不太可能工作的时候让他们在午夜运行。

3. 3培训员工计算机和互联网安全。任何必须在工作中访问私人客户数据的员工都应该定期接受最新培训，了解如何避免潜在的安全风险。请记住，你所有的防病毒保护和其他安全保障措施只与每天在你系统内工作的人一样强大。一些数据安全和防病毒公司提供培训课程，提供如何在互联网上安全工作的信息。为员工在工作中使用计算机和互联网制定书面政策，并予以执行。您还可以培训员工识别并及时删除可能通过电子邮件垃圾邮件过滤器发送的任何恶意电子邮件或网络钓鱼企图。

4. 4创建安全的密码。黑客进入你的系统窃取客户数据最简单的方法之一就是破解员工的密码。使用复杂的密码并定期更改，以消除这种访问方法。一般来说，所有密码的长度至少应为16个字符。混合使用数字、符号和大小写字母，使密码难以猜测。避免使用姓名或其他身份信息作为用户名或密码。例如，使用每个员工的首字母和姓氏作为用户名很容易猜测。如果员工的电子邮件地址设置类似，黑客可以轻松猜出用户名并启动更改密码的过程，而无需猜出密码。您可能需要考虑使用密码生成器，可以在线访问。其中许多服务还将评估您创建的任何密码的强度。考虑添加两步验证过程，或使此过程与其他服务提供商提供必要的帐户。这个过程意味着，即使有人知道你账户的密码，他们也必须输入发送到你手机的密码才能访问该账户。如果你把密码保存到电脑上，两步验证是必不可少的。无论员工何时离开公司，您都应该立即更改该员工有权访问的任何密码，并停用他们独有的任何密码或登录配置文件。

5. 5扫描并批准所有设备。用户可以通过将设备连接到没有最新防病毒保护的网络，无意中引入恶意软件。为了防止这种情况发生，在引入之前检查任何设备，并考虑禁止员工将他们的个人设备连接到网络。如果您经常使用任何设备访问您的业务网络，例如您的个人笔记本电脑或其他移动设备，则这些设备上的安全设置与您在业务计算机上的安全设置相同。在可能用于访问敏感客户信息的任何设备上启用加密。如果允许员工在家工作，请确保他们用于访问系统的任何计算机或设备与办公室的计算机一样安全。为在家工作的员工提供一份任务清单，确保他们的电脑安全。

第3部分第3部分，共3部分：保护敏感数据的安全

1. 1使用虚拟专用网络（VPN）和加密。VPN为您的网络提供了增强的安全性，而加密保护您传输或存储的数据，即使数据确实落入坏人之手，也会使其变得毫无用处。如果员工远程工作，使用VPN尤其重要，因为登录VPN与物理硬连线网络一样安全。VPN还允许您在使用公共WiFi或其他可能不适合访问或传输敏感客户数据的互联网网络时维护安全网络。有几种不同的网络协议，您可以从中选择设置VPN。咨询计算机网络专家，找出哪种协议最适合您的业务。

2. 2限制对敏感数据的访问。无论你有多少员工，任何人都不应该访问你客户的个人信息，除非他们在工作中绝对需要这些信息。访问这些信息的人越少，信息就越安全。制定书面记录管理政策，确保每位员工都知道并理解该政策。如果某些员工在工作职责中不需要私人客户信息，则不应允许他们访问该信息。为每位员工设置网络配置文件时，您可以选择让他们访问网络的各个部分。避免创建多个“管理员”帐户——为员工提供完成工作所需的绝对最小访问权限。

3. 3完全删除个人信息。根据《联邦公平与准确信贷交易法》（FACTA）处置规则，为完成信贷交易而收集的任何信息必须彻底永久销毁。虽然FACTA规则最初用于处理纸质记录和文件的处置，但它也适用于收集的任何电子信息。仅仅点击删除按钮并不能完全删除系统上的文件，也不符合FACTA处理规则。你可以购买文件擦除软件，完全和永久地擦除敏感文件，或者你可以下载一个免费的文件擦除程序，如免费橡皮擦或文件碎纸机。

4. 4验证您的网站是否符合PCI标准。PCI安全标准委员会维护并推广支付卡行业安全标准，该标准为任何接受借记卡或信用卡作为支付方式的企业提供最低技术要求。出于PCI合规性的目的，小型企业通常被划分为三级或四级商户。四级商户每年处理的Visa电子商务交易不到2万笔，而三级商户处理的此类交易在2万至100万笔之间。如果您的业务处于这些级别之一，则必须下载并完成相应的自我评估问卷，并完成漏洞扫描。要下载调查问卷并查找有关已批准扫描供应商的信息，请访问PCI网站pcisecuritystandards。组织。