Sklepy internetowe są częścią jednej z najprężniej rozwijających się gałęzi globalnej gospodarki – tym bardziej w czasach społecznej izolacji. Działanie w branży e-commerce to nie tylko obowiązki w zakresie dokumentacji oraz stosownych komunikatów, narzuconych przez przepisy prawa.
To również kwestia podjęcia odpowiednich kroków, mających na celu zapewnienie bezpieczeństwa osób korzystających z usług oraz ich danych osobowych.
Warto zadbać o zabezpieczenie zasobów wykorzystywanych w ramach prowadzenia biznesu online, a także o bezpieczeństwo przechowywanych danych osobowych (imię, nazwisko, adres e-mail, historia zakupów, informacje finansowe, numery kart płatniczych, dane adresowe, numery telefonów, adres e-mail). W tym celu należy:
Co powinienem zrobić?
|
Stosować certyfikat SSL (znaczek kłódki w prawym górnym rogu strony internetowej, po lewej od adresu strony) – oznacza on stworzenie odpowiedniego połączenia między stroną internetową a serwerem, z którego korzystamy. Daje to gwarancję zaszyfrowania danych osobowych wykorzystywanych w sklepie internetowym.
|
✓
|
Informować klientów o fakcie zabezpieczenia sklepu internetowego certyfikatem SSL – zwiększy to poczucie bezpieczeństwa i przekona do zakupów właśnie w tym sklepie.
|
✓
|
Szyfrować bazy danych oraz zabezpieczać je silnym hasłem.
|
✓
|
Korzystać z programów antywirusowych, które umożliwia ochronę przed złośliwym oprogramowaniem.
|
✓
|
Stosować oprogramowanie do backupowania danych gromadzonych w ramach sklepu internetowego. Uchroni to przed całkowitą utratą informacji oraz umożliwi odzyskanie zasobów, straconych np. wskutek ich kradzieży w ramach ataku hakerskiego.
|
✓
|
Korzystać z kilku serwerów do przetrzymywania danych gromadzonych w ramach działalności sklepu.
|
✓
|
Zabezpieczać serwer lub serwery wykorzystywane do prowadzenia sklepu internetowego, w których trzymane są informacje:
- w przypadku hostingu konieczna jest wnikliwa weryfikacja dostawcy odpowiedzialnego za stosowanie odpowiednich zabezpieczeń,
- w przypadku korzystania z serwera lokalnie konieczne jest jego odpowiednie zabezpieczenie przed dostępem osób postronnych oraz stosowanie oprogramowania do przechowywania danych poufnych.
|
✓
|
Kontrolować dostęp do panelu administratora (za jego pośrednictwem można m.in. wydobyć dane klientów). Należy stosować silne hasła oraz nadawać dostępy ściśle ograniczonej liczbie osób.
|
✓
|
Umożliwiać zmiany haseł w celu podniesienia poziomu bezpieczeństwa w przypadku udostępnienia lub kradzieży hasła użytkownikowi.
|
✓
|
Stosować uwierzytelnianie dwuetapowe do panelu administracyjnego, aby dodatkowo zabezpieczyć dostępem do zasobów.
|
✓
|
Wdrożyć odpowiednie zabezpieczenia sieciowe u dostawcy lub w miejscu, gdzie ulokowano serwer – w tym stosować systemy wykrywające włamania IDS oraz systemy zapobiegające atakom IPS.
|
✓
|
Wyłączyć możliwość logowania do panelu administracyjnego z sieci publicznej, a nadać dostęp przez VPN.
|
✓
|
Wykonywać regularne testowanie zabezpieczeń, takie jak testy penetracyjnych, weryfikację logów systemowych, optymalizacja kodu.
|
✓
|
Zapewnić monitorowanie ruchu sieciowego, aby zachować możliwość interwencji w przypadku próby nieautoryzowanego dostępu.
|
✓
|
Nie można również zapominać o samych płatnościach. Warto wdrożyć system, który zapewnia zabezpieczenie transakcji 3D-Secure, czyli autoryzację np. przez kod zawarty w SMS-ie. Co więcej należy umożliwić klientom wybór alternatywnych sposobów płatności, takich jak np.:
- usługi operatorów płatności elektronicznych, weryfikujących sklepy internetowe korzystające z ich usług,
- płatność kartą kredytową,
- płatność przelewem bankowym,
- płatność przy odbiorze.
Na zakończenie należy wskazać, że przy podejmowaniu decyzji dotyczących stosownych zabezpieczeń istotne jest to, aby cały czas mieć świadomość możliwych ataków hakerskich typu ransomware i phishing (z wykorzystaniem marki sklepu). Ponadto trzeba pamiętać o stosowaniu i udostępnianiu niezbędnych dokumentów związanych z prowadzeniem sklepu internetowego, takich jak regulamin sklepu internetowego, polityka prywatności (ochrony danych osobowych) czy klauzule informacyjne dotyczące przetwarzania danych osobowych.
Autorzy:
Adw. Łukasz Pociecha, ekspert ds. ochrony danych.
Marcin Kujawa, inżynier ds. bezpieczeństwa informacji.