Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Tietosuoja, tietoturva ja kuluttajansuoja verkkoliiketoiminnassa

Turun kauppakorkeakoulun Verkkoliiketoiminta-kurssin luento 2.2.
by

Jonna Järveläinen

on 1 November 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Tietosuoja, tietoturva ja kuluttajansuoja verkkoliiketoiminnassa

Jonna Järveläinen
Tietoturva, tietosuoja, lainsäädäntö ja maksut verkkoliiketoiminnassa
CIA – tietoturvan peruskolmio
Yksityisyydensuoja
Miten yritykset voivat varautua tietoturvariskeihin ja jatkuvuusongelmiin?
Mitä verkkoliiketoiminnassa täytyy tietää tietosuoja-asioista ja kuluttajansuojasta?

Tietoturvan peruskolmio
Oppimistavoitteet
CIA – confidentiality, integrity, availability

Tietoturvan kulmakivet
Luottamuksellisuus: salainen tieto säilyy salaisena
Eheys: tieto säilyy muuttumattomana
Saatavuus: tietoon pitää olla pääsy silloin kun sitä tarvitaan
Turvalliset verkkopalvelut
Asiakkaan tietoturvaongelmat ovat liiketoiminnan ja yritysimagon ongelmia
Kun tietoturvaongelmat ovat uutisissa, imago ja mielikuva laadusta on jo vahingoittunut
Turvallisuusongelmat voivat ilmetä ostoprosessin missä vaiheessa tahansa
Turvallisuus pitää kytkeä palvelu-/ostoprosessiin jo alusta lähtien


Bayuk, 2010
Miten varaudutaan tietoturvauhkiin?
Strateginen tietoturvaohjelma vs. tietoturvaprojektit
Kriittinen tieto / resurssit, jotka pitää suojata
Uhat ja niiden todennäköisyys
Tiedon tai resurssien haavoittuvuus
Liiketoimintavaikutukset, jos uhat toteutuvat
Tietoturvapolitiikka
Kontrollit, mittarit, auditoinnit
Mitä on jatkuvuudenhallinta?
Sosio-tekninen lähestymistapa kriisien ja riskien hallintaan
Ennakoidaan mahdolliset riskit
Suunnitellaan ennakkoon, kuinka jatketaan jos kriisi tapahtuu – ei välttämättä tekninen kriisi
Toipumissuunnitelmat (DRP) ovat jatkuvuussuunni-telmien edeltäjiä
(Herbane, Elliott and Swartz, 2004)
Suunnittelussa
priorisoidaan tärkeimmät liiketoimintaprosessit => niitä tukevat tietojärjestelmät
kartoitetaan riskit ja suunnitellaan miten niihin reagoidaan (siedetään, yritetään välttää/ pienentää, vakuutetaan... )
riskistrategioiden ja suunnitelmien avulla saadaan koko organisaatio mukaan jatkuvan liiketoiminnan edistämiseen
Kuluttajan varautuminen tietoturvauhkiin
Ajantasainen virustorjunta/ sähköpostisuodatus
Luotettava myyjä
Aiemmat kokemukset myyjästä (brändi, WoM, hakukonesijoitus, referenssiviestintä)
Tilanteen normaalius (luotettava käyttöliittymä, tuotetieto, tavallinen ostoprosessi)
Rakenteelliset vakuutukset (SSL, maksutavat)
Kuluttajan persoonalliset ominaisuudet
Kuluttajan laskelmointi (kustannus-hyötyanalyysi /huijaus vs. onnistunut ostos)
Luotettava verkkokauppa
Näyttää ammattimaisesti toteutetulta ja toimii
Tuotteista riittävästi tietoa, hinnat näkyvissä
Maksutavat tunnetut, suojattu yhteys käytössä
Kolmannen osapuolen varmenne
Tietosuojaseloste
Maksuehdot, toimitusehdot, vaihto - ja palautusehdot, yritystiedot, yhteystiedot, UKK näkyvissä
Onko myyjä luotettava?
Antaako myyjä tietoni kolmannelle osapuolelle?
Onko transaktio turvallinen?
YKSITYISYYDENSUOJA?
TIETOTURVAUHAT
Tietoturvariskejä vähätellään – ei minulle/yritykselleni mitään voi sattua…

Koe1:
Saat 5€ ilman riskiä (72% valitsee tämän)
Saat 10€, jos tulee kruuna

Koe 2:
Häviä 5€ varmasti
Häviä 10€, jos tulee kruuna

Koe3:
Älä asenna ohjelmaa X, jolloin et voi nähdä haluamasi sivun sisältöä
Asenna ohjelma X, jolloin saat nähdä haluamasi sivun sisällön, mutta bonuksena voi tulla joku haittaohjelma
Suunnittele
Toimi
Tarkista
Korjaa
Tietoturvan parantaminen
Tietosuoja.fi
TIETOSUOJA USA
TIETOSUOJASÄÄDÖKSET
Henkilötietolaissa rekisteröidylle säädettyjä oikeuksia ovat: Tiedonsaantioikeus, Tarkastusoikeus, Oikeus saada tietonsa korjatuiksi, Kielto-oikeus

Rekisterinpitäjän tulee:
määritellä henkilötietojen käsittelyn tarkoitus
suunnitella henkilötietojen käsittelyt menettelytapoineen
tietoja saa käsitellä jos:
yksiselitteinen suostumus henkilötietojen käsittelylle
laillinen oikeus/vaatimus pitää rekisteriä
rekisteröidyllä asiakas-, jäsenyys tai palvelusuhde tms. asiallinen yhteys rekisterinpitäjän toimintaan
asiakkaita tai työntekijöitä koskevia tietoja yrityksen sisällä
yleisesti saatavissa olevia tietoja rekisterinpitäjän tms. oikeuksien ja etujen turvaamiseksi
asianmukaisuus, käyttötarkoitussidonnaisuus, huolellisuusvelvoite, suojaamisvelvoite, säilyttämisajat, rekisteriseloste
Tietosuoja EU
EU:n sisällä yritysten pitää noudattaa tietosuojaan liittyvää direktiiviä, jota kansalliset viranomaiset valvovat, kuluttaja omistaa tiedot:
Tiedonsaantioikeus
Tarkastusoikeus
Oikeus saada tietonsa korjatuiksi
Kielto-oikeus
Oikeus vetää tiedot pois, jos niitä on kuitenkin käytetty
Oikeus kieltää tietojen käyttö esim. suoramarkkinoinnissa

Baumer, Earp & Poindexter (2004), Laux, 2007

USA:ssa tietosuojasta ei ole säädetty lailla yhtä tarkasti (lukuunottamatta Kaliforniaa), poikkeuksena tietyt alat (terveydenhuolto, pankki/vakuutus)

Jos pääsee dataan käsiksi => omistaa sen
Omistaja voi käyttää tietoa miten vain, paitsi jos se erityisesti kielletty:
Kuluttajan toimesta
Laissa
Tiedot saatu tai kerätty laittomasti
Monet yritykset käyttävät vapaaehtoisesti FIPiä osittain
Baumer, Earp & Poindexter (2004), Laux, 2007
Fair information practices
Notice/awareness: Kuluttajilla oikeus tietää kerätäänkö henkilötietoja ja mihin niitä käytetään
Choice/consent: Kuluttajat voivat valita, voidaanko yhteen tarkoitukseen kerättyä tietoa käyttää muuhun, ja antaa lupa tietojen jakoon kolmannelle osapuolelle, jollei laki sitä vaadi
Access/participation: Kuluttajalla oikeus tarkistaa kerätyt tiedot ja korjata mahdolliset virheet
Integrity/security: Organisaatioiden pitää suojata henkilötiedot asiattomilta tiedon siirron ja säilytyksen ajan
Enforcement/redress: Kuluttajilla oikeus varmistaa, että organisaatiot noudattavat näitä sääntöjä, joko auditointien tai hyväksymisprosessien myötä
Kuluttajansuoja 1
Kuluttajansuoja 3
Kuluttajansuoja 2
Kauppalehti, 17.12.2010
Etämyyntilaki
Asiakkaalle ilmoitettava selkeästi ennakkoon:

Elinkeinonharjoittajan nimi, osoite ja sijainti
Kulutushyödykkeen pääominaisuudet
Kulutushyödykkeen hinta, toimituskulut ja maksuehdot
Toimitusta tai sopimuksen täyttämistä koskevat muut ehdot
Sopimuksen vähimmäiskesto, jos sopimus koskee hyödykkeiden jatkuvaa tai toistuvaa toimittamista
Etäviestimen käyttämisestä syntyvät kulut, jos siitä veloitetaan perushintaa enemmän
Tarjouksen voimassaoloaika
Tiedot vahvistettava kuluttajalle henkilökohtaisesti, kirjallisesti tai sähköisesti – lain mukaan ostosta ei tehty, jos asiakas ole saanut vahvistusta
Ohjeet ja tiedot peruuttamisoikeuden käyttämistä varten sekä tieto ettei sopimusta voi peruuttaa sen jälkeen, kun palveluksen suorittaminen on kuluttajan suostumuksella aloitettu
Elinkeinonharjoittajan sen toimipaikan maantieteellinen osoite, jonne kuluttaja voi toimittaa valituksensa
Tiedot takuusta sekä saatavilla olevista huolto- ja korjauspalveluista
Sopimuksen irtisanomisehdot, jos sopimus on voimassa toistaiseksi tai yhtä vuotta pidemmän ajan
Peruutusoikeus 14 päivää => rahat ja kohtuulliset palautuskustannukset takaisin (ks. http://bit.ly/wjee5y )
nykyään pitää myös ilmoittaa peruuttamisesta, pelkkä palauttaminen ei riitä jollei niin ole sanottu
Rahat saatava takaisin 14 päivän sisällä peruuttamisilmoituksesta, peruuttamisesta aiheutuvat kustannukset voidaan periä asiakkaalta
Ei päde pilaantuvaan tavaraan tai majoitus-, kuljetus-, ravintola- tai vapaa-ajantoimintaan, jos sopimuksessa on tietty aikaehto + muita poikkeuksia
EU:n direktiivi on hyvin samankaltainen kuin Suomen lainsäädäntö, mutta direktiiviä ei ole otettu käyttöön jokaisessa EU:n 27 maassa
Verkkomaksupainikkeet
Maksuliikenteen ja toimitusten seuranta
Luottoriski pienenee molemmilla osapuolilla
Välittäjä = kolmas turvallinen osapuoli
MAKSUTAVAT VERKKOKAUPPAAN
Tämän kerran luentokalvot +
Goldfarb, A., & Tucker, C. (2013). Why managing consumer privacy can be an opportunity. MIT Sloan Management Review, 54(3), 10-12. Retrieved from http://search.proquest.com/docview/1323892550?accountid=14774
Tietosuoja-lehden artikkelit
MINITENTTIIN NO. 4
Mitkä ovat luotettavan verkkokaupan tunnuspiirteet?

Millaiseen verkkokauppaan sinä luottaisit?
Miten yritysten pitää pitää asiakkaidensa tiedoista huolta?
HUOM! Sivuilla puhutaan peruutusoikeudesta etämyynnissä, muualla palautusoikeudesta. Peruutusoikeus = saa peruuttaa kaupan ilman mitään syytä.
Uusi asetus tulossa, sovelletaan paremmin digiaikaan (edellinen 1995)
koko Euroopassa samat säännöt, ja selkeät säännöt EU:n ulkopuolisen toiminnan hoitamiseen
teknologiariippumaton
oikeus nähdä omat tiedot, oikeus tulla unohdetuksi, oikeus siirtää omat tiedot yhdestä firmasta toiseen helposti, oikeus tietää hakkeroinnista ja miksi tietoja kerätään
rekisteröidyn kannalta läpinäkyvästi, lupa tietojen keräykseen annettava selkeästi
Käsiteltävien henkilötietojen määrä on rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (ei profilointia!)
Rekisterinpitäjän kattava vastuu ja sakot jopa 2% vuosiliikevaihdosta korporaatiossa
tietosuojavastaava isompiin organisaatioihin
ilmoitusvelvollisuus tietosuojaloukkauksista, tietosuojaperiaatteet yrityksiin, privacy by design
http://bit.ly/UIxCke
EU:n uusi tietosuoja-asetus
2006, 2400 myymälää USAssa, 125000 työntekijää, voittoa $ 17 mrd
Langaton verkko käyttöön myymälöissä 2005
WEP security protocol (todettu turvattomaksi jo 2000)
2005: PCI turvallisuusstandardi maksuliikenteessä käyttöön, 9/12 vaatimuksesta täyttyi, Visa antoi TJX:n jatkaa maksuja, oletti, että saavat loputkin kolme kuntoon
IT-osastolta huomautettiin: WEP pitäisi vaihtaa turvallisempaan WPA standardiin, CIO Butka koki sen liian kalliiksi

Esimerkki: TJX - halpojen vaatteiden myymälä
Hakkerit murtautuivat WEP suojattuun lähiverkkoon
45,7 miljoonaa korttia
Luottokorttitiedot, pankkitilitiedot, ajokorttien numerot, henkilötunnukset, nimet ja osoitteet
Konsultit huomasivat murron vasta usean kuukauden jälkeen lokakuussa 2006
Asiakkaat hermostuivat, toimitusjohtaja lähti
2005, St. Paul, Minnesota
Xu, Grant, Nguyen, Dai, 2008
Yksityisyydensuoja
Arvoon perustuva yksityisyys
Yksityisyys oikeutena "The right to be left alone" Warren & Brandeis (1890) Harvard Law Review
Yksityisyys hyödykkeenä, privacy paradox
Kognitioon perustuva yksityisyys
Yksityisyys tilana "The state of limited access was translated to state of limited access to information"
Yksityisyys kontrollina - mahdollisuus kontrolloida yksityisyyttä
Yksityisyys ei kuitenkaan tarkoita nimettömyyttä, salassapitoa, turvallisuutta tai luottamuksellisuutta

Smith, Dinev, Xu 2011
Yksityisyyteen liittyvät käsitteet
Tutkimusta yksityisyydensuojasta
Yksityisyydensuojahuolet - mitattava yksityisyys
Yksityisyys ja halukkuus ostaa tai asioida netissä (luottamus tärkeämpi kuin yksityisyys)
Yksityisyysasenteet eri teknologioita kohtaan
Yksityisyyskäytännöt
Yksityisyyttä suojaavat tai loukkaavat työkalut ja teknologiat
Belanger & Crossler, 2011
Yksityisyys vs. personointi
Personoitujen palveluiden vuoksi yksityisyydestä voidaan tinkiä, mutta mainosten vuoksi ei
Käsitys riskeistä vaikuttaa negatiivisesti haluun jakaa tietoa itsestään
Personoinnin ajatellaan tuovan myös muuta turhaa mainontaa, jos yritys ei kerro mitä dataa kerätään
Suurin osa ihmisistä on rajoittanut yksityisyysasetuksia somessa tarkemmiksi
Jos paikkatietoon perustuvat mainokset ovat relevantteja, niitä pidetään arvokkaampina ja silloin yksityisyys voidaan unohtaa
Jos applikaatiossa on yksityisyysmoodi, sitä käytetään ja mainoksia katsotaan enemmän
Sutanto, Palme, Tan, Phang, 2013
Smith, Dinev, Xu 2011
Personointi
jokaikinen klikkaus tallentuu
mitä tietoa etsit => mainokset
mistä yrityksistä, ryhmistä tykkäät => mainokset, suositukset
missä selailet => mainokset
millä laitteella => mainokset
kuinka monta kertaa käyt katsomassa lentolippuja = kysyntää => lisää hintaa
cookiet => seuraavan visiitin suositukset
mitä ostat tai selailet => tuote-ehdotuksia

Kyse ei ole henkilökohtaisesta vainosta vaan liiketoiminta-analytiikasta ja massakustomoinnista!
http://verkkoteollisuus.fi/fi/ajankohtaista/news/99/kuluttajansuojalaki-muuttuu-136-muutoksia-erityisesti-verkkokaupan-saantelyyn/
Globaalissa kaupassa maksutavat erilaisia
Tuomainen, 2014
HS 2015
Asiakasanalytiikan pimeä puoli
Davenport & Harris (2007) HBR case
jatkuu
- testin jälkeen Laura halusi ostaa lisää dataa, vaikka yhtiössä ei haluttu radikaaleja muutoksia toimintaan
- data voisi tuoda kilpailuetua vakuutusyhtiölle:

"Asiakkaat jotka ostavat tuotteita, joissa on paljon transrasvaa korreloivat sydänkohtausten saajien kanssa"

"Banaaneja ja pähkinöitä ostavilla on vain mitättömän pieni riski saada Parkinsonin tauti tai MS"

- aikaisemmin ostettu jo lääkitystietoja, luottotietoja ym., joilla voitiin ennustaa masennusta, selkäkipuja ym.
jatkuu
- Olisiko yhtiöllä velvollisuus jakaa terveysdatakorrelaatioita yhteiskunnalle?
- Eri asiakasryhmät voitaisiin pistää eri riskiryhmiin ja hinnoitella vakuutustuotteet sen perusteella
- ShopSense mietti voisivatko asiakkaat lakata käyttämästä kanta-asiakaskorttejaan, jos he huomaisivat yhteyden IFA-vakuutusyhtiön hintoihin
- Laillista, ja riskiprofilointi jopa ymmärrettävää?
- Asiakas valitsee sipsipussin sellerin sijaan ja ...?
Case-esimerkki
Laura Brickman, aluepäällikkö IFA henki- ja terveysvakuutusyhtiössä
vakuutusmyynnin kasvattamiseksi tarvittiin uutta asiakasinformaatiota
ShopSense päivittäistavarakauppa analysoi omaa asiakasdataansa, esim. kuponkeja varten etsittiin käyttäytymisestä kaavoja
Kolmen kuukauden laihdutustuotteiden ostamisen jälkeen kilpailevan merkin laihdutustuotteet eivät menneet, mutta kahvin yhteydessä tarjottava ilmainen munkki tai pasteija toimi
IFA osti testattavaksi 10 vuoden asiakasdatan omalta toimialueeltaan ShopSenseltä
roskaruuan ostajat ja lääkärikäyntien korvausten hakijat korreloivat keskenään
Mitä mieltä olette?
Voisko tällaista sattua Suomessa? Kokemuksia? Miten asiakkaana reagoisit?
CACM, 2009
TIETOTURVAA VERKOSSA?
Miten personointia tehdään?
Full transcript