كيف تحافظ على أمان أعمال التجارة الإلكترونية الخاصة بك من تهديدات القرصنة

نشرت: 2017-10-31

مع كل الحديث في الصناعة حول تهديد القرصنة ، و Equifax التي تواجه حاليًا واحدة من أكبر الاختراقات حتى الآن ، يجدر بنا أن نتراجع خطوة إلى الوراء لإدراك مدى عدم أمان عملك في التجارة الإلكترونية حقًا.

من الآن فصاعدًا ، سيصبح السوق أكثر تطورًا وسيبدأ في وضع المزيد من الثقة في الأعمال التجارية التي يعرفون أنها ستحافظ على أمان معلوماتهم.

بصفتك مالكًا لمتجر التجارة الإلكترونية ، يمكنك الوصول إلى كمية كبيرة من المعلومات الحساسة ، والتي يتم تخزينها عادةً على جهاز كمبيوتر ، مما يعرض عملك لخطر الاختراق. حتى لو كنت عملية أصغر ، لا يمكنك تجاهل التهديدات التي يتعرض لها عملك على أساس يومي.

إن وضع رأسك في الرمال وافتراض أنك لا تواجه تهديدات لأنك شركة صغيرة هو النهج الخاطئ الذي يجب اتباعه ، وهو النهج الذي قد يؤدي بك إلى مشكلة كبيرة إذا اكتشف أحد المخترقين أنك تتجاهل ما ثبت تدابير أمنية.

إذا كنت ترغب في التأكد من أن عملك وعملائك ليسوا في مأمن من تهديد المتسللين فحسب ، بل أجبر المتسللين على الاستسلام قبل أن يحاولوا كسر أمنك ، فإليك 15 طريقة مختلفة يمكنك من خلالها التأكد من أن أعمال التجارة الإلكترونية الخاصة بك آمنة.

إليك ما ستتعلمه:
# 1 - استخدم منصة تجارة إلكترونية آمنة.
# 2 - تأكد من أن عملية الدفع الخاصة بك آمنة.
# 3 - لا تقم بتخزين البيانات الحساسة.
# 4 - استخدم نظام التحقق من CVV.
# 5 - طلب كلمات مرور قوية.
# 6 - مراقبة النشاط المشبوه.
# 7 - استخدم الأمن متعدد الطبقات.
# 8 - إذا كان لديك موظفين ، قم بتدريبهم.
# 9 - توفير أرقام التتبع لعملائك.
# 10 - راقب متجرك واستضافته بشكل متكرر.
# 11 - إجراء عمليات فحص PCI.
# 12 - حافظ على أنظمتك محدثة.
# 13 - استخدم خدمة حماية DDoS.
# 14 - فكر في خدمات إدارة الاحتيال.
# 15 - ضع خطة للتعافي من الكوارث.

# 1 - استخدم منصة تجارة إلكترونية آمنة.

هذا هو أكبر عامل سيؤثر على أمان متجرك.

إذا كنت ، على سبيل المثال ، تستخدم WooCommerce ، فأنت بحاجة إلى التأكد من تحديثه دائمًا إلى أحدث إصدار ، وأنك تحافظ على تحديث WordPress إلى أحدث إصدار ، وأنك تضمن بقاء جميع المكونات الإضافية التي تستخدمها محدثة.

ستطبق معظم منصات التجارة الإلكترونية السائدة ، مثل Shopify ، إجراءات أمنية للحفاظ على بيانات عميلك آمنة.

ومع ذلك ، إذا كنت تستخدم نظامًا أساسيًا جديدًا للتجارة الإلكترونية ، أو نظامًا لا يركز بشكل كبير على الأمان ، فستحتاج إلى البدء في الترحيل إلى نظام أساسي أكثر تطوراً - نظام يتفهم الأمان وكيفية الحفاظ على مستوى عالٍ من الأمان.

تعد البرامج القديمة أحد أكبر أسباب الخروقات الأمنية ، ويمكن للقراصنة استخدام "البصمات" التي يتركها البرنامج وراءه للعثور على المتاجر التي قد تكون قديمة. يمكنهم بعد ذلك استهداف تلك المتاجر واحدًا تلو الآخر.

Shopify Vs Woocommerce

# 2 - تأكد من أن عملية الدفع الخاصة بك آمنة.

تعد منطقة الدفع الخاصة بك واحدة من أكبر الأهداف في متجرك.

سيحاول بعض المتسللين اختطاف قاعدة البيانات حيث يتم تخزين معلومات عميلك ، بينما سيحاول الآخرون اعتراض تلك البيانات أثناء إدخالها في نموذج الخروج الخاص بك ثم إرسالها إلى خادم معالجة.

يلعب هذا ، جزئيًا ، إلى النظام الأساسي الذي تستضيف متجر التجارة الإلكترونية الخاص بك عليه.

ومع ذلك ، يمكنك أيضًا تنفيذ ميزات الأمان مثل SSL المشفر وعمليات السحب الآمنة للتأكد من أن المتسللين لا يمكنهم اعتراض المعلومات التي يتم نقلها.

ستقوم شهادة SSL بتشفير المعلومات التي أدخلها عميلك قبل إرسالها حتى إذا كان المتسلل قادرًا على اعتراضها ، فلن يتمكن من فعل أي شيء بالمعلومات التي جمعوها.

# 3 - لا تقم بتخزين البيانات الحساسة.

إذا كان Equifax يمثل أي دليل ، فإن المتسللين يعتمدون على الشركات والشركات التي تخزن معلومات حساسة ثم يتركون بروتوكولات الأمان تنقضي حتى يتمكنوا من الاستفادة من الثغرات للوصول إلى تلك المعلومات لأنفسهم.

تعمل شركة Equifax في مجال جمع وتخزين المعلومات الحساسة للأشخاص ، مما جعلهم هدفًا رئيسيًا للمتسللين. من السهل القول إن هذه ليست المرة الأولى التي يحاول فيها المتسللون الوصول إلى خوادمهم وقواعد بياناتهم. ربما ليست المرة المائة.

بالنسبة للجزء الأكبر ، لتشغيل عملك بكفاءة ، لا تحتاج حقًا إلى تخزين أي معلومات خارج اسم العميل وعنوان البريد الإلكتروني وعنوان المنزل ورقم الهاتف وتسجيل الدخول وكلمة المرور.

إذا قمت بجمع هذه المعلومات وتخزينها ، فأنت بحاجة إلى التأكد من تخزينها في قاعدة بيانات آمنة ومشفرة. تحتاج أيضًا إلى التأكد من أن عملائك يعرفون عدم استخدام نفس كلمة المرور لمتجرك التي يستخدمونها لحسابات حساسة أخرى ، مثل بريدهم الإلكتروني أو حساباتهم المصرفية.

# 4 - استخدم نظام التحقق من CVV.

تساعدك قيمة CVV أو التحقق من بطاقة الائتمان على الحد من عدد المعاملات الاحتيالية من خلال مطالبة العميل بحيازة بطاقة الائتمان الخاصة به فعليًا ، من أجل قراءة رقم CVV من ظهر البطاقة.

على الرغم من أن هذه الإستراتيجية لن تساعدك تمامًا في القضاء على عمليات الاحتيال المتعلقة ببطاقات الائتمان في متجرك ، إلا أنه يمكنك تقليل الاحتمالات بشكل كبير.

لن يكون لدى العديد من المتسللين البطاقة الفعلية أمامهم ، لذلك لن يتمكنوا من إدخال رمز التحقق من البطاقة (CVV) المناسب للمضي قدمًا في المعاملة. إذا لم يكن لديهم رقم CVV ، فلن يتمكنوا من ارتكاب عملية احتيال باستخدام بطاقة الائتمان.

cvv security

مرة أخرى ، لن يوقف هذا كل عمليات الاحتيال ، ولكنه قد يقلل من فرص رد المبالغ المدفوعة ورسوم الاحتيال في متجرك. إذا كان المخترق قادرًا على الحصول على رمز التحقق من البطاقة (CVV) من بطاقة الائتمان التي يستخدمها لإجراء عمليات شراء احتيالية ، فلا يزال بإمكانه المضي قدمًا.

# 5 - طلب كلمات مرور قوية.

في بعض الأحيان ، لا يحتاج المتسللون حتى إلى كسر الأمان بسبب مواطن الخلل في البرامج أو راصد لوحة المفاتيح أو أي وسيلة أخرى تركز على البرامج.

في بعض الأحيان ، كل ما يتطلبه الأمر هو الوصول إلى كلمة مرور ضعيفة واستخدامها للسيطرة على أي قواعد بيانات حيث يكون لديك معلومات حساسة مخزنة.

لهذا السبب تحتاج إلى مطالبة كل من عملائك وموظفيك باستخدام كلمات مرور آمنة. هذا صحيح بشكل خاص إذا كان لدى موظفيك حق الوصول إلى المناطق التي تخزن فيها المعلومات الحساسة ، إذا كنت تقوم بتخزينها.

علاوة على التأكد من علم عملائك بعدم استخدام كلمة المرور نفسها لتسجيل الدخول إلى المتجر الذي يستخدمونه لحسابات بريدهم الإلكتروني أو حساباتهم المصرفية ، فأنت تريد أيضًا التأكد من مطالبتهم باستخدام كلمة مرور آمنة.

تجمع كلمة المرور الآمنة حقًا بين مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز. يكاد يكون من المستحيل هجوم "القوة الغاشمة" ، ولا يمكن تخمينها.

require strong passwords

# 6 - مراقبة النشاط المشبوه.

إذا كان متجرك مستهدفًا من قبل المتسللين ، فيمكنك استخدام المعلومات التي يقدمونها لك للمساعدة في التأكد من أن متجرك آمن.

أفضل طريقة للتأكد من أنك تظل في طليعة المتسللين هي اكتشاف ما يفعلونه الآن ، والعمل بنشاط للتأكد من أن تلك الأجزاء من متجرك قد تم تأمينها.

ومع ذلك ، قد تتطلب مواكبة المتسللين الحصول على منصب في "الجزء السفلي المظلم للإنترنت" ، حيث تجري معظم المحادثات حول أحدث الاختراقات وعمليات الاستغلال.

أو يمكنك البدء في مراقبة النشاط المشبوه في متجرك.

إذا كرس أحد المتسللين الطاقة لمهاجمة جزء من متجرك ، فيمكنك أن تفترض بأمان أن هناك اختراقًا أو استغلالًا لذلك التركيز على هذا الجزء من متاجر التجارة الإلكترونية. على سبيل المثال ، إذا كانوا يهاجمون شاشة تسجيل الدخول الخاصة بك ، فأنت تعلم أن الوقت قد حان للتأكد من أن شاشة تسجيل الدخول الخاصة بك آمنة.

للحصول على هذا المستوى من الوعي ، عليك أن تراقب بنشاط ما يحدث لمتجرك ، ثم تفهم ما عليك القيام به لزيادة أمانك في تلك المناطق.

# 7 - استخدم الأمن متعدد الطبقات.

يشير الأمان متعدد الطبقات إلى وجود طبقات مختلفة سيحتاج المتسللون إلى اختراقها قبل أن يتمكنوا بالفعل من الوصول إلى المعلومات الحساسة ، إذا كنت تقوم بتخزينها.

لطبقة الأمان الخاصة بك ، ستحتاج أولاً إلى التأكد من أن لديك جدار حماية في مكانه ، وأنك تستخدم شهادة SSL لتشفير المعاملات التي تتم من خلال الخادم الخاص بك.

بعد ذلك ، سترغب في إضافة طبقات أخرى إلى المتجر بناءً على التطبيقات التي تستخدمها. على سبيل المثال ، تأمين نموذج الاتصال الخاص بك ، ونماذج تسجيل الدخول ، واستعلامات البحث ، والاحتفاظ بهذه المعلومات منفصلة عن معلومات العميل الخاص بك يمكن أن يجعل هجمات SQL لا طائل من ورائها.

ستضخ هجمات SQL معلومات في قاعدة البيانات الخاصة بك مما يتيح للمتسللين الوصول إليها ، وإذا كنت تخزن معلومات العملاء في نفس قاعدة البيانات مثل المعلومات التي تم جمعها من النماذج في الواجهة الأمامية لمتجرك ، فمن الممكن أن تخلق خطرًا أمنيًا .

# 8 - إذا كان لديك موظفين ، قم بتدريبهم.

يمكن أن يكون الموظفون من أضعف نقاط الأمان لديك. من الطبيعة البشرية الاسترخاء وعدم التفكير في أجزاء من العمل ليست في الواقع في الوصف الوظيفي.

الأمن ، في هذه الحالة ، هو أحد الجوانب الأولى التي يتم تجاهلها ، حيث يفترض موظفوك أن شخصًا آخر قد تولى العناية.

لإعطائك مثالاً ، قد يقوم موظفوك بجمع معلومات حساسة من عملائك أثناء جلسات الدردشة أو في سجل البريد الإلكتروني ، وعدم فعل أي شيء بالمعلومات بمجرد انتهاء جلسة الدردشة.

تحتاج إلى التأكد من أن موظفيك مدربون جيدًا (وأن تدريبهم لا يزال محدثًا) للتأكد من أنهم لا يسببون ثغرات في سياسات الأمان الخاصة بك ، وربما يعرضون معلومات عميلك للخطر.

يجب أن تكون هناك سياسات ووثائق مكتوبة ، ويجب أن يكون موظفوك على دراية بالقوانين وكيف تحكم التعامل مع المعلومات الحساسة.

Internet security training

# 9 - توفير أرقام التتبع لعملائك.

لا ينبغي أن يركز أمان التجارة الإلكترونية فقط على إبعاد المتسللين عن معلومات عميلك.

تحتاج أيضًا إلى التأكد من أن المتسللين لا يمكنهم استخدام بطاقات الائتمان المسروقة لتقديم الطلبات في متجرك ، وأن العملاء غير قادرين على إرسال مشتريات احتيالية للمشتريات التي قاموا بها بالفعل.

تحدث مطالبات رد المبالغ المدفوعة والاحتيال في كثير من الأحيان أكثر مما ينبغي. هناك عدد كبير من المتسللين المسؤولين عن معظمهم ، لكن البعض يأتي من العملاء الذين قرروا أنهم لم يعودوا يرغبون في الدفع مقابل المنتجات التي اشتروها.

أثناء حيازة المنتجات ، سيقدمون طلبًا لرد المبالغ المدفوعة إلى مصرفهم أو مؤسستهم المالية ، أو يزعمون وجود نشاط احتيالي على حسابهم ، مما يتركك تحتفظ بالحقيبة.

لمكافحة هذه المشكلة ، تأكد من أنك تستخدم أرقام التتبع للطلب وتفاصيل الشحن. تريد أيضًا التأكد من أنك تتبع عناوين IP ، والمواقع التي تم فيها تقديم الطلبات ، وغيرها من المعلومات التي يمكنك استخدامها للتحقق من أن الرسوم كانت مشروعة.

# 10 - راقب متجرك واستضافته بشكل متكرر.

حتى إذا كنت تستخدم نظامًا أساسيًا للتجارة الإلكترونية السائدة ، فلا يمكنك دائمًا الجلوس والاسترخاء ، على افتراض أن أمنك يعتني به.

للقيام بذلك ، ستحتاج إلى التأكد من أن لديك تحليلات في الوقت الفعلي ، حتى تتمكن من تحديد مصدر حركة المرور ، وكيف تؤثر هذه الحركة على النطاق الترددي الخاص بك.

إذا لاحظت أن لديك عددًا كبيرًا من الزيارات القادمة من مكان واحد ، فيمكنك أن تفترض بأمان أنه أحد المتطفلين. يمكن لأدوات مثل Clicky و Woopra إرسال تنبيهات إليك عندما تكتشف نشاطًا مشبوهًا ، بناءً على كيفية تفاعل المستخدمين مع متجرك.

ستحتاج أيضًا إلى التأكد من أن الشخص الذي يستضيف متجر التجارة الإلكترونية الخاص بك يقوم أيضًا بمراقبة النشاط. إذا لاحظوا وجود نشاط مشبوه ، أو اكتشفوا وجود أحصنة طروادة وبرامج ضارة مثبتة ، فعليهم فعل ما هو ضروري لإزالة التهديدات دون تدخلك.

# 11 - إجراء عمليات فحص PCI.

يمكن أن يساعدك إجراء عمليات فحص PCI على متجرك وخوادمك كل 3-4 أشهر في تقليل فرص تعرض متجرك للمتسللين. ستساعدك عمليات فحص PCI على معرفة المناطق المعرضة للخطر حاليًا دون الحاجة إلى البقاء في صدارة صناعة القرصنة.

هذا صحيح بشكل خاص إذا كنت تستضيف المتجر بنفسك ، باستخدام برامج مثل Prestashop أو Drupal أو Magento. تتطلب منك هذه الأنظمة الأساسية الاهتمام بالأمان بنفسك ، ولكنها ستصدر عادةً تحديثات للبرنامج لأنها تحدد التهديدات الجديدة.

يمكن أن توفر لك الساعات القليلة التي تقضيها في تحديث وتأمين برنامجك ، ومراجعة ما يعرضه لك فحص PCI ، الكثير على المدى الطويل. تذكر أن أسهل الأهداف هي المتاجر التي لا تواكب أحدث تحديثات البرامج والأمان.

# 12 - حافظ على أنظمتك محدثة.

لقد قيل بالفعل ، ولكن تحديث الأنظمة والتطبيقات الخاصة بك أمر بالغ الأهمية للحفاظ على أمنك. إن تصحيح أنظمتك ، حرفيًا ، في اليوم الذي يتم فيه إصدار تصحيح جديد هو كيفية الحفاظ على أمان متجرك.

خذ خطوة للوراء وفكر في الأمر لثانية.

إذا كنت تستضيف متجرك وتستخدم Magento ، وأصدر فريق تطوير Magento إشعارًا بأنهم قاموا بتصحيح ثغرة أمنية جديدة ، فمن الآمن أن نقول إن قلة من المتسللين على الأقل كانوا على علم بالثغرة الأمنية.

ومع ذلك ، بعد Magento يعلن ذلك للعالم؟ يعرف المزيد من المتسللين بشكل كبير ، ويمكنهم تشغيل برامج الروبوت والبرامج النصية الخاصة بهم لبدء تعقب متاجر Magento التي لا تزال تستخدم الإصدار المعيب من البرنامج.

عندما يُصدر المطورون إشعارًا بوجود تحديث جديد ، خاصةً تلك التي تعالج أخطاء الأمان ، خذ الوقت الكافي لتحديث أنظمتك. أنت هدف رسمي بمجرد إصدار الإشعار.

Update your website regularly

# 13 - استخدم خدمة حماية DDoS.

لا تعد هجمات DDoS أو هجمات الرفض الموزع للخدمة بالضرورة "اختراق" بالمعنى العام للكلمة ، ولكنها طريقة يمكن للقراصنة استخدامها لتعطيل متجرك تمامًا وجعله في وضع عدم الاتصال.

تحدث هذه الأنواع من الهجمات في كثير من الأحيان أكثر بكثير مما كانت عليه من قبل ، وقد زاد أيضًا مستوى التعقيد ، إلى جانب أنواع الأهداف التي يتم مهاجمتها.

أفضل طريقة لمكافحة هذه الهجمات هي استضافة متجرك على السحابة ، واستخدام خدمة يمكنها ترحيل متجرك إلى خادم آخر إذا اكتشفوا حدوث هجوم DDoS.

# 14 - فكر في خدمات إدارة الاحتيال.

إنه أمر مؤسف ، لكن الاحتيال يحدث. بالنسبة للتاجر ، فإن أفضل ما يمكنك فعله هو التأكد من عدم تركك ممسكًا بالحقيبة كلما وصلت رسوم احتيالية عبر متجرك.

المزيد والمزيد من شركات معالجة بطاقات الائتمان تقدم خدمات جديدة لمساعدتك في التخفيف من مخاطر الاحتيال ، والتأكد من أنك تحتفظ بمزيد من الأموال في جيبك.

يمكنهم مساعدتك في القضاء على الاحتيال قبل حدوثه ، وتغطية نهايتك عندما يتعين عليك التحقق من صحة الرسوم التي تم إجراؤها بشكل شرعي من قبل المستهلكين.

# 15 - ضع خطة للتعافي من الكوارث.

لا يكفي مجرد الاحتفاظ بنسخة احتياطية من متجرك وقاعدة البيانات ورسائل البريد الإلكتروني وملفات العملاء. تحتاج أيضًا إلى التأكد من أن لديك إستراتيجية استرداد مطبقة في حالة حدوث شيء ما وفقدت كل شيء.

قد تكون هناك فجوات في إستراتيجية النسخ الاحتياطي الخاصة بك والتي ستحتاج إلى إغلاقها. على سبيل المثال ، إذا كنت تقوم بتخزين النسخ الاحتياطية في الموقع ، فقد تواجه انقطاعًا في الطاقة يؤدي إلى تعطيل خوادم النسخ الاحتياطي أيضًا.

disaster recovery plan for your wordpress website

لتجنب ذلك ، تأكد من أن موقع الويب الخاص بك مؤمن بشكل صحيح ، وأنك تقوم بعمل نسخة احتياطية من ملفاتك بانتظام. بعد ذلك ، تريد التأكد من أن هذه الملفات مستضافة خارج الموقع وأنه يمكنك بسهولة استعادة عملك إذا حدث شيء كارثي.

كما أظهر Equifax ، لا يوجد نشاط تجاري آمن حقًا بحيث لا يمكن استهدافه من قبل المتسللين.

بصفتك مالكًا لمتجر للتجارة الإلكترونية ، يمكن أن يكون عملك هدفًا أكبر لأن معظم المتسللين يفترضون أن أصحاب الأعمال الصغيرة إلى المتوسطة لا يعطون الأمن الاهتمام الذي يستحقه حقًا.

هذا يعني أنك بحاجة إلى الانتباه ، والانتباه إلى المجالات الخمسة عشر المختلفة التي قمنا بتقسيمها من أجلك هنا. قد يستغرق التأكد من أن متجر التجارة الإلكترونية الخاص بك آمنًا بعض الوقت مقدمًا ، ولكن الوقت الذي تقضيه الآن يمكن أن يوفر لك الكثير من الوقت والمال في المستقبل.

لا تدع عملائك يضطرون للتعامل مع سرقة الهوية ، مثل الكثير من عملاء Equifax الذين يتعين عليهم حاليًا التعامل معهم في الوقت الحالي. من السهل القيام بإبعاد نفسك عن نفس الموقف ، عندما تعرف المجالات التي تحتاج إلى معالجة في عملك.