Czy Twój sklep internetowy jest bezpieczny?

Na blogach poświęconych e-commerce mnóstwo miejsca poświęca się odpowiadaniu na potrzeby klientów i omawianiu różnych strategii marketingowych. Ale cyberbezpieczeństwo to równie ważny obszar, który – choć z pozoru niewidoczny – może mieć ogromny wpływ na Twoją firmę. Jak możesz zadbać, aby Twój sklep był bezpieczny, zarówno z Twojego punktu widzenia, jak i punktu widzenia Twoich klientów?

Chociaż Polacy już dawno przyzwyczaili się do kupowania w sieci (jak wynika z danych z końcówki 2021 roku, ponad 80% z nas robi zakupy w ten sposób), to nie można zapominać, że e-commerce wiąże się z pewnymi zagrożeniami. Po pierwsze, klienci, składając zamówienie lub tworząc konto w sklepie, podają swoje dane personalne, w tym telefon, adres e-mail i adres fizyczny. Po drugie, często wybieramy formę płatności, która wymaga zaangażowania naszego konta bankowego lub karty płatniczej, co z kolei wiąże się z danymi finansowymi.

Oczywiście każdy szanujący się operator płatności ma wdrożone solidne zabezpieczenia, które chronią przed wyciekiem danych, ale ataki na sklepy internetowe się zdarzają i bywają niestety skuteczne. Tutaj przeczytasz o takim przypadku z drugiej połowy 2020 roku. Dlatego nie możesz polegać na tym, że podmioty, z którymi współpracujesz, są zabezpieczone. Sam musisz zadbać o cyberbezpieczeństwo swojego sklepu.

Jakiś czas temu CyberForces, firma zajmująca się cyberbezpieczeństwem, przeanalizowała, jak wygląda ta kwestia właśnie w sektorze e-commerce. Co ciekawe, żaden z przebadanych sklepów nie przeprowadza regularnych audytów bezpieczeństwa. Albo odbywają się one nieregularnie (40% odpowiedzi), albo nie odbywają się wcale (60%).

Widać zatem, że wciąż jest dużo do poprawienia w tej kwestii. Dobra wiadomość jest taka, że podstawowe rozwiązania są stosunkowo łatwe do wprowadzenia i nie wymagają dużo wysiłku. Dają też stosunkowo wysoki poziom bezpieczeństwa. O jakich rozwiązaniach mowa?

Zacznij od silnych haseł – swoich i klientów

To, jakie hasła ustawiają Twoi klienci, zależy oczywiście od nich, ale możesz wdrożyć rozwiązania, które wymuszą stosowanie skomplikowanych haseł, które są trudniejsze do złamania. Najłatwiejsze hasła to np. „NazwaMojejFirmy” albo „ImięPartnera”, o „12345” nie wspominając. Z kolei hasła mocne zwierają wielkie i małe litery, cyfry i znaki specjalne (!@#$).

Po drugie, warto zachęcać klientów, aby okresowo zmieniali swoje hasła, przynajmniej 2-3 razy w roku. Możesz im wyświetlić taki komunikat bezpośrednio na stronie sklepu po zalogowaniu, jeśli widać, że ostatni raz hasło było zmienione kilka lat temu. Bez większego problemu znajdziesz wtyczki, które mierzą siłę hasła i wymagają wybrania złożonego hasła. Dostępne są też darmowe rozwiązania, które weryfikują, na ile złożone i popularne jest wybrane przez klienta hasło. Tutaj przykład rozwiązania firmy Kaspersky:

Chyba nie trzeba wspominać, że to samo tyczy się rozwiązań stosowanych przez Ciebie, jako właściciela sklepu internetowego, prawda? Twój system CMS i ERP, Twój system logistyczny, Twoja platforma e-commerce, serwer – to wszystko powinno być jak najlepiej „ohasłowane”. A skoro o tym mowa, powinieneś dobrze zadbać o swoje wewnętrzne zasoby.

Zabezpiecz wewnętrzne zasoby firmy

Po pierwsze, dobrze jest utworzyć różne profile użytkowników z odpowiednimi uprawnieniami, tak aby ograniczyć do minimum ryzyko wycieku danych lub luki w zabezpieczeniach. Po drugie, kontroluj (i ograniczaj) dostęp do platformy z zewnątrz (np. dla współpracowników pracujących zdalnie). Kolejna kwestia, o której powinieneś pomyśleć to ochrona danych dostępowych – warto je przechowywać w bezpieczny sposób (przy użyciu odpowiednich aplikacji, np. managerów haseł), a nie po prostu w zwykłych plikach lub na skrzynce pocztowej. To samo tyczy się dostępu do wszelkich innych wrażliwych elementów, np. bazy danych klientów – powinien być ograniczony do znanych adresów IP i również zabezpieczony dodatkowo hasłem. 

Ostatnia kwestia to edukacja całego Twojego zespołu. Nie chodzi o to, żeby każdego wysłać na studia z cyberbezpieczeństwa, ale okresowe szkolenia omawiające najważniejsze zasady bezpiecznej pracy z systemem e-commerce mogą tylko pomóc.

OCHRONA SERWERA

Zadbaj o regularne aktualizacje środowiska IT, z którego korzystasz, przede wszystkim serwera, na którym „stoi” Twój sklep. Tutaj znowu wraca temat okresowej zmiany danych dostępowych i ograniczenie zewnętrznego dostępu. Dobrze sprawdzą się także rozwiązania chroniące przed atakami DDOS i monitorujące ruch na serwerze (np. CloudFlare). 

Dwustopniowa weryfikacja klienta

Tutaj kluczowe są dwa terminy – 2SV i 2FA. Przyjrzyjmy się im bliżej.

2SV – TWO-STEP VERIFICATION

To standardowa dwustopniowa weryfikacja. Polega na tym, że zanim klient wykona jakąś potencjalnie wrażliwą czynność (np. zaloguje się do konta lub potwierdzi płatność za zamówienie), musi wykonać dodatkową czynność, aby potwierdzić, że po pierwsze to faktycznie on składa zamówienie, a po drugie, że robi to świadomie. 

Dobrym przykładem są płatności BLIK, które wymagają wygenerowania jednorazowego kodu, który następnie należy przepisać w odpowiednie miejsce. Inny przykład procedury 2SV to kliknięcie linku potwierdzającego, który jest wysyłany e-mailem lub SMS-em.

2FA – TWO-FACTOR AUTHENTICATION

To jeszcze bardziej złożone rozwiązanie, które wymaga, aby osoba płacąca/składająca zamówienie miała dostęp do przynajmniej dwóch urządzeń (najczęściej laptopa i telefonu), z pomocą których może potwierdzić swój zamiar. To rozwiązanie również popularne w bankach. Klient loguje się do swojego konta na laptopie i mimo że podał właściwe dane logowania, to zanim wyśle pieniądze, musi to potwierdzić w aplikacji mobilnej, którą ma na swoim smartfonie. 

Jak wynika z cytowanego już raportu, zaledwie 20% biznesów e-commerce stosuje dwustopniową weryfikację. 40% nie stosuje tego rozwiązania, a co szczególnie niepokojące – co piąty respondent nie dysponuje wiedzą na ten temat.

Certyfikat SSL 

Dzisiaj to absolutny standard bezpieczeństwa, którego wymagają chyba wszystkie platformy e-commerce i płatnicze. Nie zaszkodzi upewnić się jednak, w jakim stanie jest Twój certyfikat – czy jest na bieżąco aktualizowany i odnawiany? Przypomnijmy krótko, że to właśnie dzięki temu certyfikatowi, Twoja strona funkcjonuje na bezpiecznym rodzaju hostingu, określanym jako HTTPS. Certyfikat ten pozwala chronić dane klientów i inne informacje, które przekazują do Twojego sklepu, ponieważ bazuje on na szyfrowaniu pakietów danych, które przechodzą przez stronę. W efekcie przechwycenie realnych danych klientów jest praktycznie niemożliwe. 

Możesz łatwo sprawdzić stan certyfikatu. W wyszukiwarce, obok adresu swojej witryny powinieneś widzieć małą kłódkę, po kliknięciu której możesz przejść do sekcji „bezpieczeństwo”. Najlepiej, jeśli zobaczysz coś takiego:

Bezpieczna platforma e-commerce

Mało który sklep tworzy od zera własną platformę e-commerce. Najczęściej przedsiębiorcy wybierają gotowe rozwiązania. Zanim się na jakieś zdecydujesz, warto dowiedzieć się, jakie rozwiązania w zakresie bezpieczeństwa dana platforma oferuje. Dobrym rozwiązaniem jest PrestaShop – ta platforma gwarantuje bezpieczeństwo sklepu, m.in. poprzez całą masę modułów kontrolujących bezpieczeństwo i dostęp do Twojego sklepu. Wśród dostępnych rozwiązań znajdziesz np.:

  • dwustopniową weryfikację,
  • ochronę przed spamem i atakami hackerskimi,
  • ochronę zdjęć, które publikujesz,
  • weryfikację wieku użytkownika,
  • silne hasła i ich cykliczne odnawianie,
  • certyfikaty SSL i wiele innych rozwiązań.

Oprócz tego PrestaShop zapewnia bezpieczeństwo poprzez bieżące wydawanie nowych wersji oprogramowania, które łatają potencjalne luki w bezpieczeństwie i wdrażają nowe zabezpieczenia. Warto podkreślić, że z naszą pomocą możesz wdrożyć zabezpieczenia z najnowszych wersji PrestaShop bez konieczności aktualizacji całej platformy. Dodatkowo PrestaShop korzysta z tokenów uwierzytelniających, co zapewnia dodatkowe szyfrowanie i tym samym – podwyższone bezpieczeństwo. Co więcej, wszelkie ustawione przez Ciebie hasła ta platforma przechowuje w zakodowanym ciągu (na wypadek wycieku), aby ciężej było je złamać. 

Chcesz dowiedzieć się, jak zabezpieczyć Twój sklep na PrestaShop? Jesteśmy do Twojej dyspozycji!

Zgodność z RODO

Bezpieczeństwo sklepu internetowego obejmuje także pełną zgodność z dyrektywą RODO. Rozporządzenie to nakłada szereg wymagań, nie tylko jeśli chodzi o przetwarzanie danych osobowych klientów, ale także sposób ich przechowywania. Sklep, który nie ma wdrożonych rozwiązań gwarantujących bezpieczeństwo przechowywanych informacji o klientach, narusza postanowienia RODO i naraża się na poważne kary, szczególnie w przypadku wycieku danych.

Zagadnieniu RODO w e-commerce poświęciliśmy oddzielny artykuł na naszym blogu – zapraszamy do lektury!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

O nas

Dih.pl istnieje od 2004 r. i jako agencja e-commerce od samego początku oferuje kompleksowe usługi w tej branży. Zachowując rozsądne proporcje jakości i ceny w szybkim tempie zdobyliśmy uznanie kolejnych klientów. Naszą misją jest zapewnienie swoim obecnym i przyszłym Klientom najwyższej jakości świadczonych usług poprzez stały rozwój. Oferujemy tez najkorzystniejsze na rynku kompleksowe rozwiązania z dziedziny Internetu.

Dowiedz sie o nas wiecej >>

Kontakt

  • DiH.pl Sp. z o.o. Wolności 274, 41-800 Zabrze
  • Infolinia: +48 32 750 82 18 (900-1600)
    Dział Handlowy: 0 880 707 707 (900-1600)
  • E-mail: biuro@dih.pl / formularz kontaktowy

MASZ PYTANIE? NAPISZ DO NAS!
...lub zadzwoń: 880 707 707
Nasz specjalista skontaktuje się z Tobą
Wiadomość została wysłana :)