15 способів захистити комерційний сайт від злому і шахрайства
Хакери крадуть дані кредитних карт і іншу конфіденційну інформацію з сайтів електронної торгівлі. Для захисту і спокою ваших клієнтів дуже важливо знати, як захистити свій електронний бізнес і конфіденційні дані клієнтів. Експерти по електронній комерції та безпеки діляться 15-ма порадами про те, як можна запобігти шахрайству та зберегти ваш сайт в безпеці.
Здається, не проходить і дня без новини про злом сайту або крадіжці кредитних карт і інших вразливих даних з сайтів електронної торгівлі.
1. Виберіть безпечну платформу електронної комерції. «Додайте ваш сайт електронної торгівлі на платформі, яка використовує складний об'єктно-орієнтована мова програмування», говорить Шон Гесс, менеджер по розробках програмного забезпечення компанії VoI Spply.
«Ми використовували багато різних відкритих платформ електронної комерції в минулому і той, що ми використовуємо зараз, безумовно, найбезпечніший,» - говорить Гесс. «Наша панель адміністрування недоступна для зловмисників, тому що вона знаходиться у внутрішній мережі, на серверах, які не мають вихід назовні. Вона має додаткову аутентифікацію, щоб ідентифікувати користувачів внутрішньої мережі Windows ".
3. Не зберігайте конфіденційні дані. «Нема чого зберігати тисячі записів ваших клієнтів, особливо номерів кредитних карт, термінів дії та CVV2 кодів (перевірочного значення карти), говорить Кріс Пог - директор цифровий криміналістики і реагування на інциденти в Trustwave.
«Насправді, це строго заборонено стандартами PCI», - каже Пог. Він рекомендує видалення старих записів з бази даних і підтримка мінімального кількості даних, достатніх для повернень і відшкодувань. «Ризик злому переважує зручність для ваших клієнтів при оплаті», - говорить він. «Якщо у вас нема чого взяти, ви не будете пограбовані».
5. Вимагайте надійні паролі. «Оскільки в зоні відповідальності роздрібного продавця безпечне зберігання інформації клієнтів усередині сайту, ви можете допомогти клієнтам, вимагаючи мінімальну кількість символів і використання символів і цифр», - говорить Сара Грейсон, старший менеджер з маркетингу Web Security Group в McAfee. «Довгі і складні логіни роблять складніше для злочинців злом із зовнішнього боку», - говорить вона.
7. Створіть кілька рівнів безпеки. «Один з кращих способів зберегти свій бізнес в безпеці від кіберзлочинців - створити кілька рівнів безпеки», - говорить Грейсон. «Почніть з брандмауера - важливого аспекту в обороні проти атакуючих, що працює перш, ніж вони можуть зламати вашу мережу і отримати доступ до критично важливої інформації». Далі, каже вона, «додайте додаткові рівні безпеки для веб-сайту і додатків, такі як форми даних, логінів і пошукових запитів». Ці заходи «гарантують, що ваша середовищіелектронних комерції захищена від атаки на рівні додатків, таких як впровадження SQL коду і міжсайтового скриптинга (XSS)».
8. Проведіть навчання з безпеки для співробітників. Співробітникам «потрібно знати, що вони ніколи не повинні відправляти по електронній пошті або писати в чаті конфіденційні дані про клієнтів, так як жоден з цих способів зв'язку не є безпечним», - говорить Джейн Фридланд Холланд, начальник служби безпеки і головний юрисконсульт за технологіями фірми NIC Ink.
«Працівники також повинні знати про закони і політики, які пов'язані з даними клієнта, і діяти так, щоб тримати їх у безпеці», - говорить Холланд. Нарешті, «використовувати строгі письмові протоколи і політики, щоб співробітники дотримувалися затверджених практик безпеки».
11. Регулярно виконуйте сканування PCI. «Виконуйте регулярно щоквартальне сканування PCI через такі сервіси, як Trustwave, щоб зменшити ризик уразливості платформи вашої електронної комерції для хакерських атак», - радить Вест. «Якщо ви використовуєте стороннє програмне забезпечення, як Magento або PrestaShop, використовуйте останні версії з усіма заходами щодо зміцнення безпеки», - говорить він. «Кілька годин, витрачених на розробку сьогодні, потенційно можуть врятувати весь бізнес в майбутньому».
13. Переконайтеся, що у Вас є захист від DDoS і служба пом'якшення наслідків. «Зі збільшенням частоти, складності і кількості цілей DDoS атак (« відмова в обслуговуванні »), сайтам електронної торгівлі слід звернутися до хмарної захисту від DDoS і керованим сервісів DNS, щоб надати транзакційні потужності для активного пом'якшення наслідків і усунути необхідність значних інвестицій в обладнання, інфраструктуру і експертизу », - каже Шон Лич, віце-президент з технологій Verisign.
«Хмарний підхід допоможе електронної комерції скоротити експлуатаційні витрати, зміцнюючи їх захист, припиняючи навіть найбільші і найбільш складні атаки», - міркує він. «Крім того, керований хмарний DNS-хостинг може допомогти надати 100% DNS-рішення, підвищуючи доступність інтернет-орієнтованих систем, які підтримують онлайн-транзакції і комунікації».
15. Переконайтеся, що ви або ваш хостинг-провайдер робить бекапи, і існує план аварійного відновлення. «Результати недавнього дослідження Carbonite показали, що підприємства мають великі прогалини в своїх планах резервного копіювання, що загрожує втратою цінної інформації в разі відключення електрики, збою жорсткого диска або навіть вірусу », - говорить Девід Френд, генеральний директор Carbonite. Таким чином, переконайтеся, що ваш сайт належним чином захищений, робіть резервні копії регулярно, або переконайтеся, що ваш провайдер робить це.