CRM online: biztonság, jogosultságok, adatkezelés
CRM online: biztonság, jogosultságok, adatkezelés
Gyakorlati útmutató kisvállalkozásoknak: hogyan építs biztonságos jogosultságkezelést, 2FA-t és GDPR-kompatibilis adatkezelést egy online CRM-ben. Ellenőrző lista a Kontozz-tól.
CRM
CRM, online CRM, biztonság, jogosultságok, GDPR, adatkezelés, 2FA, csapatjogosultság, Kontozz, KKV számlázás
Egy online CRM bevezetése sok kisvállalkozásnál nem funkció-, hanem bizalmi döntés. Ügyféladatok, ajánlatok, szerződések, számlázási információk, kommunikációs előzmények kerülnek egy helyre, gyakran több kolléga és több cég között megosztva. Ilyenkor a legdrágább hiba ritkán az, hogy „nem tetszik a felület”, hanem az, ha illetéktelen hozzáférés, adatvesztés vagy GDPR-incidens történik.
Ez a cikk abban segít, hogy milyen biztonsági, jogosultság- és adatkezelési elveket érdemes követni online CRM használatakor, és milyen kérdéseket kell feltenned a szolgáltatónak, mielőtt élesben rábízod az ügyféladatokat.
Mit jelent a „biztonság” egy CRM online rendszerben?
A „biztonság” nem egyetlen kapcsoló. Online CRM esetén jellemzően négy réteget érdemes külön kezelni:
Hozzáférés-biztonság: ki, honnan és hogyan tud belépni (jelszó, 2FA, SSO, IP-korlát).
Jogosultságok és szeparáció: ki mit láthat és mit módosíthat (szerepkörök, csapatok, több cég kezelése, adatszintű hozzáférés).
Adatvédelem és megfelelés: milyen jogalapon kezeled az adatokat, mennyi ideig, hogyan teljesíted az érintetti kéréseket (GDPR, magyar Infotv).
Üzemeltetés és incidenskezelés: mentések, naplózás, helyreállítás, biztonsági frissítések, incidens értesítés.
A legtöbb vállalkozás ott csúszik el, hogy csak az 1. pontra figyel (erős jelszó), miközben a 2. és 3. pontok adják a valódi kockázatcsökkentést a napi működésben.
Jogosultságok: a leggyakoribb CRM kockázat kis cégeknél
Kis csapatokban tipikus, hogy „mindenki mindent lát”, mert így egyszerű. Csakhogy ez több problémát is okoz:
Üzleti kockázat: árlista, kedvezmények, szerződéses feltételek indokolatlanul széles körben hozzáférhetők.
Adatvédelmi kockázat: több személyes adatot osztasz meg, mint ami szükséges (GDPR adatminimalizálás).
Működési kockázat: egy téves módosítás, törlés vagy export nagyobb kárt okoz.
A jó jogosultsági rendszer lényege: mindenki csak azt érje el, ami a munkájához kell (least privilege elv).
Szerepkörök, amikre a legtöbb kisvállalkozásnak szüksége van
Az alábbi szerepkörök jól működnek a legtöbb B2B/B2C kisvállalkozásnál. Nem kell túlbonyolítani, de legyen külön admin és pénzügy.
Szerepkör | Tipikus feladat | Ajánlott hozzáférés | Kerülendő |
Admin (tulaj/vezető) | beállítások, integrációk, felhasználók | teljes hozzáférés, naplózás áttekintése | mindennapi operatív munka admin joggal |
Értékesítés | leadek, ajánlatok, ügyfélkommunikáció | CRM rekordok, saját ügyfelek, pipeline | pénzügyi riportok, teljes adatexport |
Pénzügy/számlázás | számlák, fizetések, kintlévőség | számlázás, pénzügyi státuszok, riportok | CRM megjegyzések, érzékeny sales jegyzetek |
Ügyfélszolgálat | megkeresések kezelése | ügyféladatok megtekintése, jegyek | árképzési és kedvezménylogika szerkesztése |
Könyvelő (külsős) | könyvelési ellenőrzés, bizonylatok | csak szükséges bizonylatok/riportok | felhasználókezelés, ügyféladatok széles köre |
Ha olyan rendszerben dolgoztok, ahol több cég kezelése is egy fiókon belül történik, különösen fontos a cégszintű szeparáció. A cél: egyik cég adatai se legyenek „véletlenül” elérhetők a másik cég csapatának.
Gyakorlati szabályok jogosultság-kiosztáshoz
Külön admin fiók: legyen legalább két admin (pl. tulaj + helyettes), de ne az adminnal számlázz napi szinten.
Kiléptetés/offboarding folyamat: ha valaki távozik, aznap szűnjön meg a hozzáférése (és az integrációs kulcsok is).
Időszakos felülvizsgálat: negyedévente nézzétek át, kinek milyen jogai vannak.
Export jog korlátozása: az adatexport legyen ritka és kontrollált, különösen CRM-ben.
A Kontozz jellegű rendszereknél (ahol számlázás, több cég és csapatjogosultság is előfordul) ezek a szabályok tipikusan könnyebben betarthatók, mert a hozzáférések nem „egy közös jelszóval” oldódnak meg, hanem felhasználói szinten.
Belépésbiztonság: 2FA, jelszavak, munkamenetek
Online CRM-ben a fiókok védelme alap, de a cél nem az, hogy mindenki szenvedjen, hanem hogy a támadási felület csökkenjen.
Minimum elvárások
Egyedi felhasználói fiókok: ne legyen közös „sales@” belépés.
Erős jelszó és jelszó-újrahasznosítás tiltása: legalább belső szabályként.
Kétfaktoros hitelesítés (2FA): különösen admin és pénzügy szerepkörben.
Munkamenet-kezelés: automatikus kiléptetés inaktivitás után, eszközök kezelése.
A 2FA témához kapcsolódóan hasznos lehet a NAV-os belépések logikáját is megérteni, mert sok vállalkozásnál a számlázás és NAV-adatszolgáltatás környékén is megjelenik a jogosultságkezelés. Ehhez jó kiindulópont lehet ez a kapcsolódó cikk: NAV belépés, 2FA és jogosultságok.
Adatkezelés (GDPR): mitől lesz „rendben” egy online CRM?
A CRM-ben tipikusan személyes adatok vannak (név, email, telefon, cím, kommunikáció), ezért a GDPR szinte biztosan érint.
Jogszabályi kiindulópont: a GDPR hivatalos szövege elérhető az EUR-Lexen.
1) Szerepek tisztázása: adatkezelő vs adatfeldolgozó
A legtöbb esetben:
Te (a vállalkozásod) vagy az adatkezelő: te döntöd el, milyen célból és meddig kezeled az ügyféladatokat.
A CRM szolgáltató az adatfeldolgozó: a te utasításaid alapján tárolja és kezeli az adatokat.
Ez azért fontos, mert így lesz egyértelmű, hogy kinek milyen kötelezettsége van (pl. szerződés, incidens értesítés, alvállalkozók).
2) Adatfeldolgozói szerződés (DPA)
Online CRM választáskor kérdezd meg, hogy van-e adatfeldolgozói megállapodás (Data Processing Agreement), és az mit tartalmaz:
milyen adatokat kezel a szolgáltató és milyen célból
milyen alvállalkozókat (sub-processor) használ
hogyan kezeli az incidenseket és az értesítést
hogyan segít az érintetti jogok teljesítésében (hozzáférés, törlés, helyesbítés)
3) Adatmegőrzés és törlés
Két külön szintet érdemes szétválasztani:
üzleti megőrzés: pl. számviteli bizonylatok megőrzése a vonatkozó szabályok szerint
CRM jellegű megőrzés: pl. leadek, érdeklődők adatai, akikből nem lett ügyfél
A „mindent örökre megtartunk, hátha jó lesz” adatvédelmi szempontból gyenge. Legyen belső szabályotok, például mikor törlitek az inaktív leadeket.
4) Érintetti kérések kezelése (DSAR)
Ha valaki kéri, hogy „milyen adatot tároltok rólam?” vagy „töröljétek az adataimat”, akkor tudnod kell:
hol van az adat (CRM, számlázó, email, webshop)
mi törölhető és mi nem (számviteli kötelezettség miatt nem minden)
mennyi idő alatt válaszoltok
Ez a pont különösen fontos, ha a CRM össze van kötve számlázással vagy webshoppal, mert az adat több rendszerben „szétszóródik”.
Mit kérdezz a CRM szolgáltatótól? (Due diligence ellenőrző lista)
Nem kell auditornak lenned, de a következő kérdések segítenek kiszűrni a kockázatot.
Téma | Kérdés | Miért számít? |
Hozzáférés | Van 2FA? Van szerepkör alapú jogosultság? | A fiókátvétel és belső jogosulatlan hozzáférés csökkentése |
Naplózás | Van-e hozzáférési és módosítási napló (audit log)? | Utólag visszakövethető, ki mit csinált |
Mentés | Hogyan történik a mentés és a helyreállítás? | Zsarolóvírus, törlés vagy szolgáltatói hiba esetén kritikus |
Titkosítás | Titkosított-e az adatátvitel (HTTPS/TLS)? Titkosított-e a tárolás? | Alap biztonsági elvárás, különösen érzékeny adatoknál |
Adatfeldolgozás | Van DPA és sub-processor lista? | GDPR megfelelés, átláthatóság |
Adatexport | Tudsz adatot exportálni és törölni? | Vendor lock-in csökkentése, érintetti kérések |
Incidens | Mi az incidens-értesítési folyamat? | Gyors reagálás, jogi kötelezettségek |
Ha a válaszok ködösek, vagy nincs írásos tájékoztatás, az önmagában kockázati jel.
Integrációk: amikor a CRM online „átjáróvá” válik
Sok vállalkozás azért vezet be CRM-et, hogy összekösse a folyamatait (webshop, számlázás, bank, email). Ez üzletileg jó, biztonságban viszont új szabályok kellenek.
API kulcsok és hozzáférések
Az integrációk gyakran API kulcsokkal működnek. Ilyenkor fontos, hogy:
a kulcsokhoz csak az admin szerepkör férjen hozzá
legyen eljárás kulcscserére (különösen kolléga távozásakor)
külön kulcs legyen teszthez és éleshez, ahol ez értelmezhető
Ha NAV-integráció is érintett, érdemes külön figyelmet adni a jogosultságoknak és beállításoknak (a hibák nemcsak üzleti, hanem megfelelőségi kockázatot is jelentenek). Kapcsolódó útmutató: NAV és számlázó összekötése, adatszolgáltatás ellenőrzése.
Belső adatvédelmi és biztonsági „mini-szabályzat” 1 oldalban
Nem kötelező 30 oldalas dokumentumot írni. Sokkal többet ér egy rövid, betartható belső rend:
Ki lehet admin, és mikor használhat admin jogot?
Kötelező-e a 2FA bizonyos szerepkörökben?
Milyen adatot rögzítünk a CRM-ben, és mit nem (pl. személyi igazolvány számot tipikusan nem)?
Mennyi ideig tartjuk meg a lead adatokat?
Ki intézi az érintetti kéréseket?
Mi a teendő, ha gyanús belépést vagy adatszivárgást észlelünk?
Ezzel a legtöbb „véletlenből lett” incidens megelőzhető.
Több cég, egy fiók: szeparáció és átláthatóság
Ha egy felhasználó több vállalkozás adataihoz is hozzáférhet (például cégcsoport, több projektcég, könyvelő több ügyféllel), akkor a legfontosabb elv a szándékolt hozzáférés:
világos legyen, melyik cégben dolgozol éppen
a jogosultságok cégszinten legyenek értelmezve
a riportok és exportok ne keveredjenek
A több cég kezeléséhez kapcsolódó gyakorlati tippekhez ez a cikk adhat jó alapot: Több cég kezelése egy fiókban.
Gyakori hibák online CRM biztonságban (és a gyors javításuk)
1) Közös belépés használata. Javítás: mindenki saját felhasználót kap, a hozzáférés visszavonható legyen.
2) Mindenki admin. Javítás: szerepkörök bevezetése, admin jog csak beállításokra.
3) „Majd később bekapcsoljuk a 2FA-t.” Javítás: indulás napján kötelező az admin és pénzügy fiókoknál.
4) Adatmezők túlgyűjtése. Javítás: csak azt kérd el és tárold, ami a teljesítéshez kell.
5) Integrációk kulcsai több embernél. Javítás: kulcskezelési rend, hozzáférés szűkítése.
Frequently Asked Questions
Mitől „GDPR-kompatibilis” egy CRM online rendszer? Attól, hogy van megfelelő adatfeldolgozói megállapodás (DPA), átlátható az adatkezelés, és a rendszer támogatja az érintetti jogok teljesítését (hozzáférés, törlés, export), miközben te is kialakítod a belső szabályokat.
Elég az erős jelszó, ha kis cég vagyunk? Nem. A legtöbb incidensnél jogosultsági probléma (túl széles hozzáférés) vagy fiókátvétel (jelszó újrahasznosítás, adathalászat) is szerepet játszik. A 2FA és a szerepkörök együtt adnak érdemi védelmet.
Milyen jogosultságokat érdemes különválasztani? Minimum az admin, értékesítés és pénzügy jogosultságokat. Ha van ügyfélszolgálat vagy külsős könyvelő, nekik érdemes külön, szűkített hozzáférést adni.
Mi a legfontosabb kérdés CRM szolgáltató választás előtt? Hogy van-e írásos adatfeldolgozói megállapodás (DPA), milyen biztonsági alapokkal dolgoznak (2FA, naplózás, mentés), és mennyire átlátható az incidenskezelés.
Mit tegyek, ha egy kolléga kilép, és hozzáfért a CRM-hez? Azonnal tiltsd a felhasználót, és vizsgáld felül az integrációs hozzáféréseket (API kulcsok, összekötések). Ha volt admin joga, különösen indokolt a kulcsok cseréje és a jogosultságok auditja.
Zárás: így lesz a CRM online egyszerre kényelmes és kontrollált
Az online CRM akkor hoz gyors növekedést, ha nemcsak „be van vezetve”, hanem jól van felügyelve: szerepkörökkel, 2FA-val, átgondolt adatkezeléssel és rendszeres jogosultság-felülvizsgálattal.
Ha olyan rendszert keresel, ahol a számlázás és a vállalkozás-adminisztráció mellett a csapatjogosultságok és a több cég kezelése is egy helyen átlátható, nézd meg a Kontozz megoldását: kontozz.hu. Itt egy fiókból tudod kezelni a cégeket, csapattagokat és az adminisztratív folyamatokat, miközben könnyebb szabályokat kialakítani a mindennapi hozzáférésekre is.
