10 sfaturi pentru a proteja datele clienților tăi

1. Alegeți un furnizor de încredere pentru serviciile de găzduire web
În prezent putem spune că aparent este o concurență mare pe nișa furnizorilor de servicii de găzduire web. Totuși, compania de găzduire trebuie privită ca fiind cea căreia îi veți oferi cheile de la magazin. Aceasta trebuie sa aibă în permanență grijă ca datele clienților săi să fie în siguranță din punct de vedere al potențialelor atacuri la nivel de server sau infrastructură, să mențină serverele operaționale în permanență și să întreprindă foarte multe activități de care de cele mai multe ori nici nu știm.
Schimbarea furnizorului este o operațiune delicată și se întâmplă foarte rar, de aceea este important ca în alegerea furnizorului să țineți cont și de longevitatea acestuia. GoDaddy.com, Chroot.ro, Gazduire.ro, Bluehost, InterServer, 1and1 (Ionos.com) sunt doar o parte din companiile cu care am lucrat și pe care le recomand cu încredere.
2. Folosiți o platformă sigură și stabilă
Alegerea unei platforme de tip eCommerce este cele mai multe ori dependentă de experiența persoanelor ce vor opera comenzile și vor face modificări de conținut în site sau de cunoștințele de programare ale echipei de dezvoltare web. Indiferent care este motivul, alegerea platformei ar trebui făcută analizând plusurile și minusurile fiecărui CMS (Content Management System) sau SaaS (Software as a service) vizate.
CMS-urile open source au avantajul de a fi construite și întreținute de o comunitate foarte mare de dezvoltatori, beneficiază de module și teme ce pot satisface cu ușurință exigențele celor mai mulți comercianți. Cele mai cunoscute CMS-uri sunt:
- WooCommerce – flexibil și destinat magazinelor mici;
- OpenCart – destinat magazinelor online medii;
- Prestashop – destinat magazinelor medii și mari, are avantajul de a construi mai multe magazine online cu un singur panou de administrare;
- Magento – destinat magazinelor online foarte mari, cu o paletă largă de opțiuni deja integrate în CMS, dar cunoscut ca fiind un adevărat consumator de resurse hardware;
- Pentru companiile ce utilizează SAP există un CMS cunoscut sub numele de Hybris, in prezent redenumit in SAP Commerce Cloud ce are avantajul de a beneficia de integrare rapidă cu procesele SAP deja implementate în cadrul companiei. Nu este OpenSource dar este o mină de aur pentru companiile ce utilizeaza deja SAP.
Fiind CMS-uri open source ce beneficiază de documentație tehnică pentru aproape orice funcționalitate, comerciantul nu este dependent de echipa de dezvoltare web ce a construit la început magazinul online, astfel că dezvoltarea în continuare a software-ului poate fi preluată rapid de către altă echipă. Este evitat astfel fenomenul de „client captiv” ce presupune dependența pe termen nelimitat a comerciantului față de echipa de dezvoltare web ce a construit inițial site-ul.
Dezavantajul utilizării unui CMS open source este faptul că numărul ridicat de magazine online ce folosesc un anumit software provoacă comunitățile de hackeri să investigheze tot mai multe modalități de a compromite securitatea acestuia.
Platformele de tip SaaS precum Gomag, ContentSpeed sau Blugento sunt cea mai rapidă și ieftină soluție de lansare a unui magazin online. Avantajul acestor platforme este dat de ușurința cu care poate fi operat site-ul, integrările deja făcute cu majoritatea furnizorilor de servicii (procesatori de plăți, transportatori etc.) și bineînțeles prețul mic al abonamentului lunar.
Dezavantajul constă în faptul că platforma este construită de către o companie ce își canalizează energia și cunoștințele în dezvoltarea unui produs competitiv, performant și ușor de utilizat dar nu oferă acces la codul sursă unei comunități de programatori ce să poată susține o dezvoltare colaborativă a platformei. Lucrul acesta înseamnă că problemele de securitate pot fi identificate și reparate de un număr mult mai scăzut de programatori.
3. Forțați clienții să utilizeze o parolă complexă
Cu cât o parolă este mai complexă, cu atât va fi mai greu de ghicit sau de spart de către persoane rău intenționate.
Bunele practici în domeniul securității cibernetice propun ca o parolă să aibă minim 10-12 caractere, să conțină minim o literă mică, o literă mare, un simbol și o cifră.
O parolă compusă din 6 caractere simple poate fi aflată în circa 5 minute, pe când o parolă compusă din 6 caractere ce conține minim o literă mică, o literă mare, un symbol și o cifră, poate fi aflată în circa 8 zile și jumătate.
În spațiul virtual sunt accesibile mai multe baze de date ce conțin parole utilizate de către victimele diverselor breșe de securitate și una din cele mai folosite baze de date este rockyou. Confidențialitatea unei parole presupune un proces comun prin care magazinul online își propune să ia toate măsurile organizatorice de securitate astfel încât să nu poate fi aflate datele clienților, cu accent pe criptarea parolelor, dar și clientul se presupune că ar trebui să nu folosească aceeași parolă pe mai multe site-uri, să nu folosească numele site-ului în comunerea parolei sau chiar numele lui.
Din păcate magazinul online nu poate verifica ușor dacă parola a mai fost folosită și pe alte site-uri și este prezentă în bazele de date publice cu parole extrase în urma unor breșe de securitate, așa că este de datoria clientului să încerce să folosească o parolă unică, să o schimbe periodic (în funcție de specificul site-ului este recomandat să fie forțată schimbarea o dată la 3-6 luni) doar că trebuie ușor ghidat astfel încât să vă asigurați că cel puțin din punct de vedere al complexității va avea o parolă sigură.
4. Informații securizate la nivel de drept de utilizator
Un număr impresionant de atacuri este cel prin care se încearcă aflarea datelor celorlalți utilizatori. Pentru magazinele online sunt câteva roluri standard precum cel de client (persoană din afara companiei ce achiziționează produse de pe site) și cel de administrator (persoană cu drepturi depline la nivel de backend).
Mai sunt magazine online ce includ roluri precum cel de casier ce are posibilitatea să caute pe baza numărului comenzii sau a datelor de facturare și doar să încaseze facturi, ambalator care este responsabil numai cu preluarea comenzilor noi, ambalarea și etichetarea acestora în vederea livrării. În funcție de dimensiunea departamentelor și rolurile personalului implicat în gestionarea comenzilor online, pot apărea roluri noi.
Important este ca utilizatorii să aibă foarte bine definit ce pot și ce nu pot face. Astfel, dacă rolul utilizatorului este numai de casier, nu ar trebui să aibă acces la funcții de editare a temei sau de instalare a modulelor. În zona drepturilor de utilizator pentru clienți, recomandat este să vă asigurați că datele cu privire la informațiile personale și cele referitoare la comenzile efectuate sunt disponibile numai pe contul pe care sunt atribuite, neputând fi accesate de către un alt client.
Deși pare firesc să nu poată fi accesate facturile unui client de către un altul, multe site-uri dezvoltate custom nu asigură acest nivel de confidențialitate și simpla schimbare a ID-ului facturii la accesarea în browser poate duce către accesarea facturii unui alt client.
5. Colectați numai datele necesare
În conformitate cu Regulamentul General privind Protecția Datelor, operatorii trebuie să minimizeze datele personale colectate – pentru evitarea unei prelucrări excesive a datelor. RGPD impune doar colectarea datelor strict necesare în vederea desfășurării activității.
Colectarea excesivă a datelor poate creşte riscul încălcării drepturilor şi libertăţilor persoanei vizate și în același timp poate cauza dificultăți în cazul unei breșe de securitate. Dormim toți mult mai liniștiți dacă știm că au fost sustrase numai adresele email și adresele de facturare față de situația în care bază de date ar fi conținut și stare civilă, CNP, copie a unui act de identitate s.a.m.d.
6. Separați serviciile disponibile la aceeași adresa IP
Dacă mai devreme menționam ca potențial nivel de securitate separarea drepturilor de acces, același lucru este recomandat să se întâmple și la nivel de resurse accesibile extern.
În eventualitatea unui atac cibernetic, ținta este adresa IP iar dacă pe acea adresă IP sunt disponibile site-ul, centrala telefonică și serverul de email, toate serviciile vor fi afectate doar prin simpla atacare a unuia dintre acestea. Sunt atât de multe motive pentru care se recomandă separarea serviciilor la nivel de adresă IP, iar în funcție de complexitatea magazinului chiar și la nivel hardware, că aș putea scrie un articol numai pe această temă.
În același timp, dacă emailul și site-ul împart aceeași adresă IP iar site-ul din motive variate este raportat ca trimițând mesaje de tip spam, pot fi afectate și emailurile trimise de pe conturile proprii ale angajaților, nu numai cele generate dinamic de către site.
7. Utilizați un sistem de raportare a activităților suspecte
Majoritatea platformelor de tip CMS au dezvoltate o serie de module ce analizează comportamentul vizitatorilor și avertizează administratorul platformei cu privire la acțiuni suspecte întreprinse de către vizitatori. Uneori este suficientă analiza la nivel de interfață a acestor module, alteori este necesară analiza combinată cu log-urile serverului.
Important este ca toate informațiile disponibile cu privire la acțiunile vizitatorilor să treacă printr-un sistem de raportare automat. De regulă sunt detectabile tentativele de brute force, XSS sau SQL Injection, precum și accesarea resurselor la care vizitatorul nu ar fi avut acces (de exemplu a încercat sa acceseze linkul unei facturi la care nu are drept de acces).
8. Instalați un certificat de securitate
9. Actualizați, actualizați și iar actualizați modulele folosite
10. Întotdeauna faceți backup bazei de date și fișierelor
Nu vă bazați niciodată pe echipa de programatori că au făcut un backup sau că au codul versionat pe bitbucket, nu vă puneți baza pe faptul că în pachetul de găzduire vă este promis backup zilnic. Fiecare partener poate pierde acele fișiere în situații excepționale și niciunul nu va răspunde pentru pierderea business-ului dumneavoastră.
Dacă în cazul platformelor de tip SaaS aceste activități sunt reglementate prin contract și sunt obligați să protejeze integritatea și disponibilitatea informației, în cazul site-urilor construite folosindu-se un CMS sau cod proprietar, este obligația administratorului magazinului online să facă backup periodic astfel încât să poată restaura rapid informațiile în eventualitatea în care site-ul este compromis. Ideal ar fi ca backup-ul să fie evaluat de către programatori înainte de restaurarea codului, pentru a nu fi restaurat cu tot cu vulnerabilitățile exploatate. :)
Concluzie
Toate măsurile de securitate menționate mai sus reprezintă doar o parte din bunele practici pentru magazinele online. Recomandat este ca periodic să fie rulate audituri de securitate la nivelul tuturor serviciilor expuse web precum și o revizuire anuală a proceselor de lucru interne astfel încât să vă asigurați că magazinul online poate asigura un nivel sporit de confidențialitate a datelor clienților.
Cristian Iosub
Digital Platforms Manager Conversion Marketing
Cristian Iosub este Digital Platforms Manager la Conversion și are o experiență de peste 15 ani în dezvoltare software si auditor pentru sistemul de management al securității informației. Cu numeroase proiecte la activ, Cristian a coordonat și a dezvoltat software pentru peste 100 de clienți internationali din domenii precum eCommerce, Banking și Retail.
Pe lângă proiectele pe care le coordonează, Cristian administrează principalele platforme dezvoltate de Conversion. Mai exact: Profitshare, platforma de marketing afiliat cu cele mai mari vânzări din România, Conectoo, platforma de email marketing, prin care se trimit lunar in inbox peste 150.000.000 emailuri si CookieBox, platforma de management a cookie-urilor.
Nu rata seria de articole cu conținut #CraftedToInspire semnate de specialiști în eCommerce și Digital Marketing, abonează-te la Newsletter-ul GPeC!