Если вы сами ведете бизнес в Интернете или у вас есть клиент, который это делает, вы будете знать, что сайты электронной коммерции являются основной целью для хакеров и мошенников. Только подумайте о тысячах данных кредитной карты и другой личной информации, которую хранит типичный сайт электронной коммерции. Вот что делает эти сайты, большие и маленькие, такими привлекательными для преступников.
Прежде чем приступить к проекту электронной коммерции, вы должны убедиться, что все необходимые системы готовы, чтобы скрыть любые пробелы в вашей безопасности. В этой статье, основанной на беседах со специалистами в области электронной коммерции и безопасности, будут перечислены пять самых важных элементов безопасности для всех, кто занимается онлайн-бизнесом.
Эти советы, хотя и далеко не исчерпывающие, описывают наиболее часто используемые уязвимости и наиболее эффективный способ защиты от них. Большинство из них являются простыми решениями, которые каждый может внедрить, и их следует рассматривать как часть «базовой» проверки безопасности перед открытием любой среды онлайн-торговли.
Используйте SSL-сертификаты и обеспечьте соответствие PCI
Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это набор стандартов, которые индустрия кредитных и дебетовых карт установила для продавцов, обрабатывающих платежи по картам. Для обеспечения соответствия необходимо гарантировать защиту данных держателя карты и, среди прочего, принять строгие меры контроля доступа.
Даже если вы используете платежные шлюзы, вы будете обрабатывать данные клиентов и должны обеспечивать соответствие PCI. То же самое касается использования аутентификации Secure Sockets Layer (SSL), которая необходима для обеспечения безопасной связи между вашими клиентами и вашим сервером.
«Ваши клиенты очень доверяют любым транзакциям, которые они проводят на вашем сайте», — объясняет Джефф Чандлер, директор по маркетингу в компании DigiCert, сертифицирующей SSL. «Обеспечение того, чтобы каждая веб-страница на вашем сайте, посвященная защищенным данным, была сертифицирована по SSL, а ваш платежный шлюз совместим с PCI, — это минимум, который вы можете сделать для защиты клиентов».
Не держитесь за данные клиента
В большинстве случаев нет необходимости хранить тысячи записей о ваших клиентах, особенно когда речь идет о номерах кредитных карт, номерах CVV2 и датах истечения срока действия. На самом деле по стандартам PCI это запрещено.
Эксперты по безопасности говорят, что вы должны регулярно очищать старые учетные записи клиентов и хранить небольшое количество данных на своих серверах для обработки возвратов и возвратных платежей.
«Конечно, для электронной почты и маркетинговых кампаний вам понадобятся записи имен, адресов электронной почты, телефонных номеров и, возможно, адресов ваших клиентов», — говорит Кэролин Брэкетт, вице-президент CyberSource, компании, которая помогает обрабатывать платежи по кредитным картам для предприятий. , «Но вы должны тщательно продумать, что и сколько данных вы храните, учитывая риск, который вы подвергаете своим клиентам».
Иметь несколько уровней безопасности
По словам эксперта Symantec Аллена Грейсона (Allen Grayson), инженера по безопасности в Интернете, многоуровневая защита является важным сдерживающим фактором для киберпреступности
«Это начинается с брандмауэров, которые мешают злоумышленникам получить доступ к вашей сети», — говорит Грейсон. «Оттуда вы добавляете уровни безопасности в контактные формы, безопасные пароли для логинов и поисковых запросов».
Эти различные уровни являются одними из лучших способов защиты от атак на уровне приложений, таких как межсайтовый скриптинг и инъекции SQL.
Обеспечить защиту от DDoS с помощью облачных сервисов
Распределенные атаки типа «отказ в обслуживании» участились и становятся все более изощренными. В ответ компании могут подписаться на облачные сервисы, которые «убирают» любой нежелательный трафик. Некоторые из сервисов более высокого класса предлагают управляемые службы DNS для обеспечения пропускной способности транзакций и затрудняют успешность атак DDoS.
«Чтобы облачная защита от DDoS работала, вам нужно отправлять свой трафик через хорошую службу защиты от DDoS, которая имеет чистящие узлы, которые фильтруют законный трафик обратно на ваш сайт», — объясняет Ричард Элдер, исполнительный директор SwitchVPN. «Один только этот шаг может устранить значительные затраты для компаний, которые пытаются самостоятельно противостоять этой распространенной атаке».
Более того, облачный подход может также помочь обеспечить бизнесу в сети 100% разрешение DNS, что улучшает доступность интернет-системы, а также связь между вашим сайтом и вашими клиентами.
Регулярно устанавливайте исправления безопасности в вашей системе
Вы не должны ждать даже дня, чтобы установить исправление безопасности после его выпуска. Это охватывает все: от обновлений WordPress или Magento до стороннего кода, такого как Perl, Java и Python.
«Одной из общих черт почти всех взломанных сайтов является то, что они, как правило, работают под управлением старых версий программного обеспечения и кода», — говорит Сьюзен Уоткинс, главный стратег поисковиноптимизации.org.za.
Уоткинс считает, что вы должны устанавливать патчи на все программное обеспечение, уделяя особое внимание WordPress, Joomla и другим веб-приложениям, таким как OSCommerce и ZenCart. Это конкретные цели злоумышленников и должны регулярно проверяться на наличие обновлений.
Вывод
Это ни в коем случае не единственные шаги, которые вы должны предпринять, чтобы сделать ваш сайт электронной коммерции максимально безопасным для ваших клиентов, ваших клиентов и вас самих. Но они предлагают базовый контрольный список: если вы не выполняете эти пять шагов, ваша электронная торговля просто не так безопасна, как вы думаете.