Como manter seu negócio de comércio eletrônico protegido contra ameaças de hackers

Com toda a conversa na indústria sobre a ameaça de hackers, e a Equifax atualmente experimentando um dos maiores hacks até hoje, vale a pena dar um passo para trás para perceber o quão inseguro seu negócio de comércio eletrônico pode realmente ser.

No futuro, o mercado se tornará mais sofisticado e começará a confiar mais nas empresas que sabem que manterão suas informações seguras.

Como proprietário de uma loja de comércio eletrônico, você tem acesso a uma grande quantidade de informações confidenciais, que normalmente são armazenadas em um computador, colocando seu negócio em risco de ser hackeado. Mesmo se você for uma operação menor, não pode ignorar as ameaças que representam para o seu negócio diariamente.

Enfiar a cabeça na areia e presumir que você não está enfrentando ameaças porque é uma empresa menor é a abordagem errada a se tomar, e uma que pode te levar a grandes problemas caso um hacker descubra que você está ignorando comprovado medidas de segurança.

Se você deseja ter certeza de que sua empresa e clientes não estão apenas protegidos da ameaça de hackers, mas também forçá-los a desistir antes de tentarem quebrar sua segurança, aqui estão 15 maneiras diferentes de garantir a segurança de seu negócio de comércio eletrônico.

# 1 - Use uma plataforma de comércio eletrônico segura.

Este é o maior fator que afetará a segurança da sua loja.

Se você estiver, por exemplo, usando o WooCommerce, precisará certificar-se de que ele esteja sempre atualizado para a versão mais recente, de manter o WordPress atualizado para a versão mais recente e de garantir que todos os plug-ins que está usando permaneçam atualizados.

A maioria das plataformas de comércio eletrônico convencionais, como o Shopify, adotarão medidas de segurança para manter os dados de seus clientes protegidos.

No entanto, se você estiver usando uma nova plataforma de comércio eletrônico, ou uma que não coloque uma grande ênfase na segurança, você vai querer começar a migrar para uma plataforma mais desenvolvida - uma que entenda de segurança e como manter um alto nível de segurança.

Software desatualizado é uma das maiores causas de violações de segurança, e os hackers podem utilizar “pegadas” que o software deixa para trás para encontrar lojas que podem estar desatualizadas. Eles podem então direcionar essas lojas uma de cada vez.

# 2 - Certifique-se de que seu checkout esteja seguro.

Sua área de checkout é um dos maiores alvos de sua loja.

Alguns hackers tentarão sequestrar o banco de dados onde as informações do seu cliente estão sendo armazenadas, enquanto outros tentarão interceptar esses dados quando eles forem inseridos em seu formulário de checkout e, em seguida, transmitidos a um servidor de processamento.

Isso afeta, em grande parte, a plataforma em que você está hospedando sua loja de comércio eletrônico.

No entanto, você também pode implementar recursos de segurança, como SSL criptografado e checkouts seguros, para garantir que os hackers não possam interceptar as informações que estão sendo transferidas.

Um certificado SSL criptografará as informações que seu cliente inseriu antes de serem transmitidas, de forma que, mesmo que um hacker seja capaz de interceptá-las, eles não poderão fazer nada com as informações coletadas.

# 3 - Não armazene dados confidenciais.

Se Equifax for alguma evidência, os hackers dependem de empresas e negócios que armazenam informações confidenciais e, em seguida, permitem que os protocolos de segurança caduquem para que possam aproveitar as brechas para acessar essas informações por conta própria.

A Equifax está no negócio de coletar e armazenar informações confidenciais das pessoas, o que a tornava o principal alvo dos hackers. É fácil dizer que esta não é a primeira vez que hackers tentam obter acesso a seus servidores e bancos de dados. Provavelmente não é a centésima vez.

Na maioria das vezes, para administrar seu negócio com eficiência, você realmente não precisa armazenar nenhuma informação fora do nome, endereço de e-mail, endereço residencial, número de telefone, login e senha do cliente.

Se você coletar e armazenar essas informações, precisará garantir que elas sejam armazenadas em um banco de dados criptografado e seguro. Você também precisa se certificar de que seus clientes saibam que não devem usar para sua loja a mesma senha que usam para outras contas confidenciais, como e-mail ou contas bancárias.

# 4 - Use um sistema de verificação CVV.

Novamente, isso não impedirá todas as fraudes, mas pode reduzir as chances de estornos e cobranças fraudulentas em sua loja. Se o hacker conseguir obter o CVV do cartão de crédito que está usando para fazer compras fraudulentas, ele ainda poderá seguir em frente.

# 5 - Exigir senhas fortes.

Às vezes, os hackers nem mesmo precisam quebrar sua segurança por causa de falhas de software, keyloggers ou qualquer outro meio focado no software.

Às vezes, tudo o que eles precisam é acessar uma senha fraca e usá-la para assumir qualquer banco de dados onde você tenha informações confidenciais armazenadas.

É por isso que você precisa exigir que seus clientes e sua equipe usem senhas seguras. Isso é especialmente verdadeiro se os membros da sua equipe tiverem acesso às áreas onde você está armazenando informações confidenciais, se você as estiver armazenando.

Além de garantir que seus clientes saibam que não devem usar a mesma senha para o login da loja que usam para suas contas de e-mail ou contas bancárias, você também deseja certificar-se de que está exigindo que eles usem uma senha segura.

Uma senha realmente segura combina uma mistura de letras maiúsculas e minúsculas, números e símbolos. Estes são quase impossíveis de ataque de “força bruta” e não podem ser adivinhados.

# 6 - Monitore atividades suspeitas.

Se sua loja está sendo alvo de hackers, você pode usar as informações que eles estão fornecendo para ajudar a garantir que sua loja seja segura.

A melhor maneira de garantir que você esteja à frente dos hackers é descobrir o que eles estão fazendo agora e trabalhar ativamente para garantir que essas partes da sua loja estejam protegidas.

No entanto, manter-se atualizado com os hackers pode exigir que você obtenha uma posição no “ponto fraco da Internet”, onde ocorre a maioria das conversas sobre os últimos hacks e exploits.

Ou você pode começar a monitorar a atividade suspeita em sua loja.

Se um hacker dedicou energia para atacar uma parte de sua loja, você pode presumir com segurança que há um hack ou exploit que se concentra nessa parte das lojas de comércio eletrônico. Por exemplo, se eles estão atacando sua tela de login, você sabe que é hora de garantir que sua tela de login esteja segura.

Para obter esse nível de consciência, no entanto, você deve monitorar ativamente o que está acontecendo com sua loja e, então, entender o que precisa fazer para aumentar sua segurança nessas áreas.

# 7 - Use segurança em camadas.

Segurança em camadas refere-se a ter diferentes camadas pelas quais os hackers precisarão passar antes que possam realmente acessar informações confidenciais, se você as estiver armazenando.

Para colocar a sua segurança em camadas, primeiro você vai querer ter certeza de que tem um firewall instalado e que está usando um certificado SSL para criptografar as transações feitas por meio do seu servidor.

Em seguida, você desejará adicionar outras camadas à loja com base nos aplicativos que está usando. Por exemplo, proteger seu formulário de contato, formulários de login e consultas de pesquisa e manter essas informações separadas das informações do cliente pode tornar os ataques SQL inúteis.

Os ataques de SQL injetam informações em seu banco de dados que permitem que hackers tenham acesso a ele e, se você estiver armazenando informações de clientes no mesmo banco de dados que as informações coletadas de formulários no front-end de sua loja, pode estar criando um risco de segurança .

# 8 - Se você tem funcionários, treine-os.

Os funcionários podem ser um dos pontos mais fracos da sua segurança. É da natureza humana relaxar e não pensar em partes do negócio que não estão realmente em sua descrição de trabalho.

A segurança, neste caso, é um dos primeiros aspectos a ser ignorado, com seus funcionários presumindo que outra pessoa está cuidando dela.

Para dar um exemplo, seus funcionários podem estar coletando informações confidenciais de seus clientes durante as sessões de bate-papo ou em um registro de e-mail e não fazer nada com as informações após o término da sessão de bate-papo.

Você precisa garantir que seus funcionários sejam bem treinados (e que o treinamento permaneça atualizado) para garantir que eles não estejam causando falhas em suas políticas de segurança e, potencialmente, colocando as informações de seus clientes em risco.

Deve haver políticas escritas e documentação em vigor, e seus funcionários devem estar cientes das leis e de como elas regem o manuseio de informações confidenciais.

# 9 - Forneça números de rastreamento para seus clientes.

A segurança do comércio eletrônico não deve se concentrar apenas em manter os hackers longe das informações de seus clientes.

Você também precisa se certificar de que os hackers não possam usar cartões de crédito roubados para fazer pedidos em sua loja e que os clientes não sejam capazes de enviar compras fraudulentas para as compras que eles realmente fizeram.

Estornos e reclamações de fraude acontecem com muito mais frequência do que deveriam. Muitos hackers são responsáveis ​​pela maioria deles, mas alguns vêm de clientes que decidiram que não querem mais pagar pelos produtos que compraram.

Enquanto mantiverem a posse dos produtos, eles irão registrar um estorno no banco ou instituição financeira, ou alegar que houve atividade fraudulenta em sua conta, deixando você com o saco.

Para combater esse problema, certifique-se de usar números de rastreamento para o pedido e os detalhes de envio. Você também deseja certificar-se de que está rastreando endereços IP, locais onde os pedidos foram feitos e outras informações que podem ser usadas para verificar se as cobranças eram legítimas.

# 10 - Monitore sua loja e hospede com freqüência.

Mesmo se você estiver usando uma plataforma de comércio eletrônico convencional, nem sempre pode sentar e relaxar, supondo que sua segurança esteja sendo cuidada.

Para fazer isso, você precisa ter certeza de ter análises em tempo real, para que possa determinar de onde o tráfego está vindo e como esse tráfego está afetando sua largura de banda.

Se você perceber que tem uma grande quantidade de tráfego vindo de um único lugar, pode presumir com segurança que é um hacker. Ferramentas como Clicky e Woopra podem enviar alertas sempre que detectam atividades suspeitas, com base em como os usuários estão interagindo com sua loja.

Você também precisará se certificar de que quem está hospedando sua loja de comércio eletrônico também está monitorando a atividade. Se eles perceberem que há atividade suspeita ou descobrirem que há cavalos de troia e malware instalados, eles devem fazer o que for necessário para remover as ameaças sem a sua intervenção.

Nº 11 - Execute varreduras PCI.

Executar varreduras PCI em sua loja e servidores a cada 3-4 meses pode ajudar a diminuir as chances de sua loja ficar vulnerável a hackers. As varreduras PCI o ajudarão a descobrir quais áreas estão vulneráveis ​​no momento, sem que você precise ficar à frente da indústria de hackers.

Isso é especialmente verdadeiro se você mesmo estiver hospedando a loja, usando softwares como Prestashop, Drupal ou Magento. Essas plataformas exigem que você cuide da segurança por conta própria, mas normalmente lançam atualizações do software à medida que identificam novas ameaças.

As poucas horas que você gasta atualizando e protegendo seu software, e auditando o que a varredura PCI está mostrando a você, podem economizar muito a longo prazo. Lembre-se de que os alvos mais fáceis são as lojas que não estão atualizadas com as atualizações de software e segurança.

# 12 - Mantenha seus sistemas atualizados.

Já foi dito, mas manter seus sistemas e aplicativos atualizados é fundamental para manter sua segurança. Corrigir seus sistemas, literalmente, no dia em que um novo patch é lançado é como você mantém sua loja segura.

Dê um passo para trás e pense por um segundo.

Se você está hospedando sua loja e está usando Magento, e a equipe de desenvolvimento do Magento lança um aviso de que corrigiu uma nova vulnerabilidade de segurança, é seguro dizer que pelo menos alguns hackers sabiam sobre a vulnerabilidade.

No entanto, depois que o Magento anunciar isso para o mundo? Substancialmente mais hackers sabem e podem disparar seus bots e scripts para começar a rastrear lojas Magento que ainda estão executando a versão defeituosa do software.

Quando os desenvolvedores publicam um aviso de que há uma nova atualização, especialmente aquelas que tratam de falhas de segurança, reserve um tempo para atualizar seus sistemas. Você é oficialmente um alvo assim que liberar o aviso.

# 13 - Utilize um serviço de proteção DDoS.

DDoS, ou ataques distribuídos de negação de serviço, não são necessariamente um “hack”, no sentido geral da palavra, mas são um método que os hackers podem usar para desabilitar completamente sua loja e colocá-la offline.

Esses tipos de ataques estão acontecendo com muito mais frequência do que antes, e o nível de sofisticação, junto com os tipos de alvos que estão sendo atacados, também aumentou.

A melhor maneira de combater esses ataques é hospedar sua loja na nuvem e usar um serviço que pode migrar sua loja para outro servidor se detectar a ocorrência de um ataque DDoS.

Nº 14 - Pense em serviços de gerenciamento de fraude.

É lamentável, mas a fraude acontece. Para um comerciante, a melhor coisa que você pode fazer é certificar-se de que você não ficará segurando a sacola sempre que cobranças fraudulentas chegarem à sua loja.

Cada vez mais empresas de processamento de cartão de crédito estão oferecendo novos serviços para ajudá-lo a mitigar o risco de fraude e garantir que você mantenha mais dinheiro no bolso.

Eles podem ajudá-lo a eliminar a fraude antes que ela aconteça e cobrir seu fim quando você tiver que validar cobranças que foram feitas de forma legítima pelos consumidores.

# 15 - Tenha um plano de recuperação de desastres em vigor.

Não é suficiente simplesmente fazer backup de sua loja, banco de dados, e-mails e arquivos de clientes. Você também precisa ter certeza de ter uma estratégia de recuperação em vigor, caso algo aconteça e você perca tudo.

Pode haver lacunas em sua estratégia de backup que você precisará fechar. Por exemplo, se você estiver armazenando os backups no local, poderá passar por uma queda de energia que também desligará os servidores de backup.

Para evitar isso, certifique-se de que seu site esteja devidamente protegido e de que você esteja fazendo backup de seus arquivos regularmente. Em seguida, você deseja ter certeza de que esses arquivos estão hospedados externamente e que você pode restaurar facilmente sua empresa se algo catastrófico acontecer.

Como a Equifax mostrou, nenhuma empresa é realmente tão segura que não possa ser alvo de hackers.

Como proprietário de uma loja de comércio eletrônico, sua empresa pode ser um alvo ainda maior, porque a maioria dos hackers presume que os proprietários de pequenas e médias empresas não dão à segurança a atenção que ela realmente merece.

Isso significa que você precisa estar atento e prestar atenção às 15 áreas diferentes que detalhamos para você aqui. Certificar-se de que sua loja de comércio eletrônico é segura pode levar algum tempo no início, mas o tempo que você gasta agora pode economizar muito tempo e dinheiro no futuro.

Não deixe que seus clientes tenham que lidar com o roubo de identidade, como tantos clientes da Equifax estão tendo que lidar agora. Manter-se fora da mesma posição é fácil de fazer, quando você sabe quais áreas do seu negócio precisam ser abordadas.