Atsiradus pasauliniam interneto tinklui žmonija rado būdų, kaip jį išnaudoti verslo tikslams. Dabartiniu metu beveik kiekviena kompanija turi savo interneto tinklapį. Daugelis jų savo tinklapiuose siūlo prekes ir paslaugas. Buvo sukurta daug atskirų interneto prekyviečių, kur siūlomos įvairių kompanijų parduodamos prekės ar paslaugos. Žinoma, pačiame internete apstu ir kitų elektroninių paslaugų, tokių kaip faksas, elektroninis paštas ir pan. Tačiau kartu su elektroninės komercijos atsiradimu gimė ir visa eilė poreikių. Tai ir elektroninio parašo problema, ir telekomunikaciniais kanalais perduodamų duomenų apsaugos problemos.

Žinant, nemažą elektroninės komercijos paslaugų ratą išskirkime taip vadinamą interneto prekybą. Deja nėra vieningos elektroninės prekybos apibrėžimo. Elektroninė prekyba yra daugiau nei vien tik prekių ir paslaugų pirkimas bei pardavimas internetu. Iš esmės ji apima bet kokią transakciją atliktą elektroniniu būdu, elektroninėmis priemonėmis, elektroninėje aplinkoje. Dabartinis elektroninės prekybos įstatymo projektas elektroninę prekybą apibrėžia taip:

“Elektroninė prekyba – tai prekybinės veiklos būdas, kai sutartys sudaromos, o esant reikalui - ir vykdomos, naudojant informacines technologijas bei priemones kompiuterių tinklais keičiantis elektroniniais duomenų pranešimais.”

Tačiau, neliečiant kitų elektroninės komercijos pakraipų, apsistokime ties duomenų apsaugos problemomis, su kuriomis susiduria interneto parduotuvių savininkai (prekeiviai) ir jų klientai (pirkėjai).

Interneto prekyvietėse yra renkami ir automatiškai apdorojami klientų duomenys. Duomenis pirkėjai pateikia patys. Keista, tačiau kaip rodo Lietuvos kompiuterininkų sąjungos šiais metais atlikti privatumo ir saugumo lietuviškajame internete tyrimai, “Informacijos kiekis, kurį prašoma pateikti perkant produktą, dažniausiai yra perteklinis ir nebūtinas šiai paslaugai”

Kriterijai
Duomenų rinkimo taisykles nustato Europos Sąjungos duomenų apsaugos direktyva 95/46/EC priimta 1995 spalio 24 dieną. Ji užtikrina laisvą informacijos judėjimą Europos Sąjungos bendrijos viduje, išsaugant pagrindines asmenų teises ir laisves. Garantuojamas elektroninių žinučių slaptumas ir draudžiamas bet koks trečiųjų asmenų įsikišimas ar stebėjimas. Pagal šios direktyvos nuostatas valstybės narės turi sudaryti sąlygas, kurioms esant asmeninių duomenų naudojimas yra teisėtas. Bet kokiu atveju duomenys gali būti renkami tik teisėtais tikslais. Renkant tokius duomenis turi būti atkreiptas dėmesys į žemiau vardinamus kriterijus.

Privatumas.
Žinome, kad internete yra labai paprasta rinkti asmeninę informaciją. Asmeniniai duomenys gali būti renkami, apdorojami ir panaudojami tik tokiu atveju, jeigu tai leidžia įstatymas arba asmuo davė savo sutikimą. Bet kurioje elektroninėje prekyvietėje pirkėjas, norėdamas nusipirkti prekę, privalės pateikti savo duomenis. Tai reikalinga paprasčiausiai tam, kad prekės būtų pristatytos reikiamu adresu. Tačiau pirkdamas prekes duomenų subjektas jas pateikia savo noru, o elektroninė prekyvietė įsipareigoja nenaudoti duomenų kitais negu nustato įstatymas tikslais, taip užtikrinant duomenų subjekto teisę į privatumą.

Naudojimas.
Panaudoti duomenis galima tik tokiais tikslais, kuriais jie buvo renkami. Duomenis draudžiama perleisti tretiesiems asmenims, duomenų subjektui nesutikus. Tam, kad duomenys nebūtų atsitiktinai ar neteisėtai sugadinti arba prarasti, jie turi būti atatinkamai apsaugoti. Kitaip tariant, turi būti naudojamos atatinkamos saugumo priemonės. Duomenų naudojimo terminas taip pat yra apibrėžtas. “Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.”

Prieinamumas.
Žinome, kad duomenų aktualumas yra labai svarbus veiksnys. Todėl jie turi būti tikslūs ir nuolatos atnaujinami. Pagal LR asmens duomenų teisinės apsaugos įstatymo 17 str. p. 1, p.2 ir p.3 nustato asmens duomenų teisę į žinojimą apie jo duomenų tvarkymą, galimybę susipažinti su duomenimis, bei teisę reikalauti ištaisyti arba ištrinti duomenis. Kaip matome, šios įstatymo nuostatos duomenų subjektui sukuria teisę prieiti prie savo duomenų. Vartotojas taipogi turi turėti galimybę uždrausti jo duomenų kaupimą ir naudojimą. Ypač tiesioginės rinkodaros tikslais.

Saugumas.
Svarbi problema, susijusi su kompiuteriniu informacijos apdorojimu, yra didelis tokios informacijos pažeidžiamumas bei didesnės galimybės pažeisti informacijos saugumą, pavogti, sunaikinti arba pakeisti duomenis.

Įvairiuose informacijos ar duomenų apsaugos žinynuose, bei vadovuose duomenų apsauga įvardinama įvairiai, tačiau visuose jų pabrėžiami trys pagrindiniai duomenų apsaugą (angl. Safety) reglamentuojantys lygiai:

1. Administracinis – techninis saugumas
2. Fizinis saugumas
3. Teisinis reglamentavimas

Administracinis - techninis saugumas.
Šis lygis daug kur dar vadinamas administraciniu ir organizaciniu saugumu. Administracinis-techninis saugumas traktuojamas kaip techninių priemonių organizavimas, siekiant užtikrinti kompiuterinėse (ir ne tik) laikmenose saugomą informaciją. Šiam lygiui galime priskirti tokias priemones, kaip saugumo politikos nuostatas, kurios aiškiai apibrėžia, kokia informacija yra saugoma, o kokia ne. Pagaliau yra nustatomi apsaugos lygiai. T.y. informacijai priskiriami taip vadinami “jautrumo” lygiai.

Šiam lygiui priklauso ir apsaugos organizavimas techninėmis priemonėmis. Tai ugniasienių įdiegimas bei jų taisyklių nustatymas (angl. configure). Antivirusinės programinės įrangos įdiegimas įmonės kompiuterinėse sistemose ir jos nustatymas. Įsilaužimo (angl. Intrusion) nustatymo sistemų (IDS – Intrusion Detection System) įdiegimas kompiuterinėse sistemose. Duomenų šifravimo priemonės taip pat yra svarbi duomenų apsaugos priemonė.

Labiausiai pažeidžiama bet kokios kompiuterių sistemos vieta ir didžiausia grėsmė kompiuterių saugumui yra žmonės. Kai kurie žmonės gali būti tiesiog nemokšos ir net nenorėdami gali sunaikinti svarbią informaciją, esančią kompiuterių sistemose. Kiti žmonės gali piktavališkai pažeisti nustatytas taisykles. Nemažiau svarbus yra vartotojų teisių nustatymas kompiuterinėse sistemose. Didesnėse įmonėse ne kiekvienam darbuotojui leidžiama susipažinti su tam tikra informacija, o ir ne kiekvienam leidžiama tokią informaciją administruoti, ją koreguoti. Todėl čia svarbų vaidmenį vaidina vartotojų teisių sistema įmonės kompiuterinėje sistemoje. Tikslus vidinio įmonės kompiuterinio tinklo vartotojų teisių nustatymas labai daug prisideda prie kompiuterinėse sistemose saugomų duomenų apsaugos.

Fizinis saugumas.
Jam priskiriami metodai, skirti apsaugoti aparatines ir kompiuterinės technikos ryšių priemones nuo nelaukiamo fizinio pašalinių jėgų poveikio. Tokioms jėgoms galime priskirti stichines nelaimes, techninius gedimus, dėl kurių galimas svarbių duomenų sugadinimas ar sunaikinimas. Tokiais gedimais gali būti trūkę vandentiekio vamzdžiai, elektros įtampos šuolis, kuris neatstatomai gali sugadinti kietajame kompiuterio diske saugomus duomenis; pagaliau kondicionavimo sistemos gedimas tarnybinių stočių patalpoje, galintis sukelti kompiuterinių sistemų gedimą ir svarbių duomenų praradimą. Tokioms grėsmėms mažinti yra taikomos taip vadinamos aparatinės apsaugos priemonės nepertraukiamo maitinimo šaltiniai (angl. UPS) ir kitos priemonės.

Fiziniam saugumui taip pat priskiriamas ir signalizacijų sistemų įvedimas. Priešgaisrinė signalizacijos sistema. Gaisro gesinimo sistemų įvedimas. Patalpų apsaugos sistemos nuo įsilaužimų. Praėjimo kontrolės sistemos leidžiančios riboti patekimą į patalpas, kur yra saugomi svarbūs duomenys. Pagaliau fizinis apsaugos darbuotojų budėjimas, saugant patalpas.

Teisinis reglamentavimas.
Šiam apsaugos lygiui priskiriamas norminių dokumentų paketo įmonėje įvedimas, kuris reglamentuotų tos įmonės darbuotojų elgesį su svarbiais duomenimis bei duomenimis sudarančiais įmonės komercinę paslaptį.

Dažnai šis vaidmuo įmonėse tenka taip vadinamiems saugumo nuostatams (angl. Security policy). Tačiau tenka pastebėti, kad dažnai šie reikalavimai sprendžiami taisyklių kūrimu ir jų patvirtinimu bendrovių vadovų įsakymais. Svarbu, kad jose būtų apibrėžta, kokia informacija patenka į saugomų duomenų ratą, o kokia ne. Tokių norminių aktų buvimas įmonėse vėliau leidžia juos pažeidusius darbuotojus traukti administracinėn, o padarius didelę žąlą, ir baudžiamojon atsakomybėn.

Dabartinė būklė.
įstatymai
“Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytiniame ar jam prilygintos formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.” Aukščiau minėtų tyrimų duomenys atspindi realią šių dienų situaciją Lietuvos elektroninėje prekyboje.

Saugumo būklė
Lietuvos kompiuterininkų sąjungos atliktų tyrimų metu “iš viso ištirtos 44 svetainės, siūlančios prekes ar paslaugas internetu. Iš jų 8 buvo neveikiančios arba rekonstruojamos. Naudojant bankų korteles galima apsipirkti 8 svetainėse, iš kurių 5 naudoja saugius prisijungimo mechanizmus.” Tokia situacija akivaizdžiai rodo, kad Lietuvos elektroninių prekyviečių savininkai nepakankamai užtikrina pirkėjų duomenų apsaugą. Net ir tokios nebrangios technologijos kaip SSL (angl. Secure Sockets Layers) nėra diegiamos, o tai rodo, kad esamų Lietuvos elektroninių prekyviečių savininkai mažai kreipia dėmesio saugumo problemoms spręsti.