Как защитить свой бизнес электронной коммерции от угроз взлома
Опубликовано: 2017-10-31Учитывая все разговоры в отрасли об угрозе взлома, а Equifax в настоящее время переживает один из крупнейших взломов на сегодняшний день, стоит сделать шаг назад, чтобы понять, насколько небезопасным может быть ваш бизнес в сфере электронной коммерции.
Двигаясь вперед, рынок станет более изощренным и начнет больше доверять компаниям, которые, как они знают, будут обеспечивать безопасность своей информации.
Как владелец магазина электронной коммерции, вы имеете доступ к большому количеству конфиденциальной информации, которая обычно хранится на компьютере, что подвергает ваш бизнес риску взлома. Даже если у вас небольшая компания, вы не можете игнорировать угрозы, которые ежедневно исходят от вашего бизнеса.
Засунуть голову в песок и предположить, что вы не сталкиваетесь с угрозами из-за того, что у вас небольшой бизнес, - это неправильный подход, который может привести к серьезным неприятностям, если хакер когда-нибудь поймет, что вы игнорируете доказанные факты. Меры безопасности.
Если вы хотите убедиться, что ваш бизнес и клиенты не только защищены от угроз хакеров, но и заставят хакеров сдаться, прежде чем они попытаются взломать вашу безопасность, вот 15 различных способов обеспечить безопасность своего бизнеса в сфере электронной коммерции.
№1 - Используйте безопасную платформу электронной коммерции.
Это самый большой фактор, который повлияет на безопасность вашего магазина.
Если вы, например, используете WooCommerce, вам необходимо убедиться, что он всегда обновляется до последней версии, что вы постоянно обновляете WordPress до последней версии и что вы гарантируете, что все плагины, которые вы используете, постоянно обновляются.
Большинство основных платформ электронной коммерции, таких как Shopify, будут иметь меры безопасности, чтобы обеспечить безопасность данных ваших клиентов.
Однако, если вы используете новую платформу электронной коммерции или платформу, которая не уделяет большого внимания безопасности, вы захотите начать переход на более развитую платформу, которая понимает безопасность и поддерживает высокий уровень безопасности. безопасность.
Устаревшее программное обеспечение - одна из основных причин нарушений безопасности, и хакеры могут использовать «следы», которые оставляет программное обеспечение, чтобы найти магазины, которые могут быть устаревшими. Затем они могут настроить таргетинг на эти магазины по одному.
# 2 - Убедитесь, что ваша касса безопасна.
Кассовая зона - одна из самых важных целей в вашем магазине.
Некоторые хакеры попытаются захватить базу данных, в которой хранится информация вашего клиента, в то время как другие попытаются перехватить эти данные, когда они вводятся в вашу форму оформления заказа и затем передаются на сервер обработки.
Это в значительной степени зависит от платформы, на которой вы размещаете свой магазин электронной коммерции.
Однако вы также можете реализовать функции безопасности, такие как зашифрованный SSL и безопасные проверки, чтобы хакеры не могли перехватить передаваемую информацию.
Сертификат SSL зашифрует информацию, которую ввел ваш клиент, до ее передачи, так что даже если хакер сможет ее перехватить, он не сможет что-либо сделать с собранной информацией.
№3 - Не храните конфиденциальные данные.
Если Equifax является каким-либо доказательством, хакеры полагаются на компании и предприятия, которые хранят конфиденциальную информацию, а затем пропускают протоколы безопасности, чтобы они могли воспользоваться дырами для доступа к этой информации для себя.
Equifax занимается сбором и хранением конфиденциальной информации людей, что сделало их главной целью для хакеров. Легко сказать, что это не первая попытка хакеров получить доступ к своим серверам и базам данных. Наверное, не в сотый раз.
По большей части, для эффективного ведения бизнеса вам действительно не нужно хранить какую-либо информацию, кроме имени вашего клиента, адреса электронной почты, домашнего адреса, номера телефона, логина и пароля.
Если вы собираете и храните эту информацию, вам необходимо обеспечить ее хранение в безопасной зашифрованной базе данных. Вам также необходимо убедиться, что ваши клиенты знают, что не следует использовать тот же пароль для вашего магазина, который они используют для других конфиденциальных учетных записей, таких как их электронная почта или банковские счета.
# 4 - Используйте систему проверки CVV.
CVV, или значение проверки кредитной карты, помогает вам ограничить количество мошеннических транзакций, требуя от клиента иметь свою кредитную карту в физическом владении, чтобы прочитать номер CVV с обратной стороны карты.
Хотя эта стратегия не поможет вам полностью устранить мошенничество с кредитными картами в вашем магазине, вы можете значительно уменьшить возможности.
Многие хакеры не будут иметь перед собой физическую карту, поэтому они не смогут ввести правильный CVV, чтобы продолжить транзакцию. Если у них нет номера CVV, они не смогут совершить мошенничество с кредитными картами.
Опять же, это не остановит всякое мошенничество, но может снизить вероятность возвратных платежей и мошеннических платежей в вашем магазине. Если хакеру удастся получить CVV с кредитной карты, которую он использует для совершения мошеннических покупок, он все равно может двигаться дальше.
# 5 - Требовать надежных паролей.
Иногда хакерам даже не нужно нарушать вашу безопасность из-за программных сбоев, клавиатурных шпионов или любых других программных средств.
Иногда все, что требуется, - это получить доступ к ненадежному паролю и использовать его для захвата любых баз данных, в которых хранится конфиденциальная информация.
Вот почему вам необходимо потребовать от клиентов и сотрудников использовать безопасные пароли. Это особенно верно, если ваши сотрудники имеют доступ к областям, где вы храните конфиденциальную информацию, если вы ее храните.
Помимо того, что ваши клиенты знают, что они не используют тот же пароль для входа в свой магазин, который они используют для своих учетных записей электронной почты или банковских счетов, вы также должны убедиться, что вы требуете от них использовать безопасный пароль.
По-настоящему безопасный пароль сочетает в себе прописные и строчные буквы, цифры и символы. Их практически невозможно атаковать «грубой силой», и их невозможно угадать.
№6 - Отслеживайте подозрительную активность.
Если ваш магазин является целью хакеров, вы можете использовать информацию, которую они вам предоставляют, чтобы обеспечить безопасность вашего магазина.
Лучший способ убедиться, что вы опережаете хакеров, - это выяснить, что они делают сейчас, и активно работать над тем, чтобы эти части вашего магазина были защищены.
Однако для того, чтобы не отставать от хакеров, вам может потребоваться занять положение в «темном изнутри Интернета», где происходит большая часть разговоров о последних взломах и эксплойтах.
Или вы можете начать отслеживать подозрительную активность в своем магазине.
Если хакер потратил энергию на атаку одной части вашего магазина, вы можете с уверенностью предположить, что существует взлом или эксплойт, ориентированный на эту часть магазинов электронной коммерции. Например, если они атакуют ваш экран входа в систему, вы знаете, что пора убедиться, что экран входа в систему безопасен.
Однако, чтобы получить такой уровень осведомленности, вы должны активно отслеживать, что происходит с вашим магазином, а затем понимать, что вам нужно сделать, чтобы повысить свою безопасность в этих областях.
# 7 - Используйте многоуровневую безопасность.
Многоуровневая безопасность означает наличие разных уровней, через которые хакеры должны пройти, прежде чем они действительно смогут получить доступ к конфиденциальной информации, если вы ее храните.
Чтобы повысить уровень безопасности, вы сначала захотите убедиться, что у вас есть брандмауэр и что вы используете сертификат SSL для шифрования транзакций, совершаемых через ваш сервер.
Затем вы захотите добавить в магазин другие слои в зависимости от используемых вами приложений. Например, защита вашей контактной формы, форм входа и поисковых запросов, а также сохранение этой информации отдельно от информации о вашем клиенте может сделать атаки SQL бессмысленными.
SQL-атаки будут вводить информацию в вашу базу данных, которая позволяет хакерам получить к ней доступ, и если вы храните информацию о клиентах в той же базе данных, что и информация, собранная из форм в интерфейсе вашего магазина, вы можете создать угрозу безопасности. .
№8 - Если у вас есть сотрудники, обучите их.
Сотрудники могут быть одним из самых слабых мест в вашей безопасности. Человеческая природа - расслабляться и не думать о тех сферах бизнеса, которых на самом деле нет в их должностных инструкциях.
В этом случае безопасность - это один из первых аспектов, который следует игнорировать, поскольку ваши сотрудники предполагают, что об этом позаботился кто-то другой.
Например, ваши сотрудники могут собирать конфиденциальную информацию от ваших клиентов во время сеансов чата или в журнале электронной почты и ничего не делать с информацией после завершения сеанса чата.
Вы должны убедиться, что ваши сотрудники хорошо обучены (и их обучение остается актуальным), чтобы убедиться, что они не создают бреши в ваших политиках безопасности и потенциально не ставят под угрозу информацию вашего клиента.
Должны существовать письменные правила и документация, а ваши сотрудники должны знать законы и то, как они регулируют обращение с конфиденциальной информацией.
№9 - Предоставьте вашим клиентам номера для отслеживания.
Безопасность электронной коммерции должна быть направлена не только на то, чтобы хакеры не могли получить доступ к информации ваших клиентов.
Вам также необходимо убедиться, что хакеры не могут использовать украденные кредитные карты для размещения заказов в вашем магазине, и что клиенты не могут отправлять мошеннические покупки для покупок, которые они действительно совершили.
Возвратные платежи и жалобы на мошенничество случаются гораздо чаще, чем следовало бы. За большинство из них отвечает большое количество хакеров, но некоторые исходят от клиентов, которые решили, что больше не хотят платить за приобретенные продукты.
Сохраняя продукты у себя, они отправят возвратный платеж в свой банк или финансовое учреждение или заявят, что на их счету была мошенническая деятельность, а вы оставите сумку на руках.
Чтобы решить эту проблему, убедитесь, что вы используете номера отслеживания для заказа и деталей доставки. Вы также хотите убедиться, что отслеживаете IP-адреса, места, где были размещены заказы, и другую информацию, которую вы можете использовать для проверки законности обвинений.
# 10 - Часто следите за своим магазином и хостом.
Даже если вы используете обычную платформу электронной коммерции, вы не всегда можете сидеть сложа руки и расслабляться, предполагая, что они позаботятся о вашей безопасности.
Для этого вам нужно будет убедиться, что у вас есть аналитика в реальном времени, чтобы вы могли определить, откуда идет трафик и как этот трафик влияет на вашу пропускную способность.
Если вы заметили, что из одного места идет большой объем трафика, можно смело предположить, что это хакер. Такие инструменты, как Clicky и Woopra, могут отправлять вам предупреждения всякий раз, когда они обнаруживают подозрительную активность, в зависимости от того, как пользователи взаимодействуют с вашим магазином.
Вам также необходимо убедиться, что тот, кто размещает ваш магазин электронной коммерции, также отслеживает активность. Если они замечают подозрительную активность или обнаруживают, что в них установлены трояны и вредоносное ПО, они должны предпринять необходимые действия для удаления угроз без вашего вмешательства.
№11 - Выполните сканирование PCI.
Выполнение сканирования PCI вашего магазина и серверов каждые 3-4 месяца может помочь вам снизить вероятность того, что ваш магазин будет уязвим для хакеров. Сканирование PCI поможет вам определить, какие области в настоящее время уязвимы, без необходимости опережать хакерскую индустрию.
Это особенно верно, если вы сами размещаете магазин, используя такое программное обеспечение, как Prestashop, Drupal или Magento. Эти платформы требуют, чтобы вы самостоятельно позаботились о безопасности, но обычно они выпускают обновления программного обеспечения по мере выявления новых угроз.
Несколько часов, которые вы потратите на обновление и защиту своего программного обеспечения, а также на проверку того, что вам показывает сканирование PCI, могут значительно сэкономить в долгосрочной перспективе. Помните, что самая легкая цель - это магазины, которые не получают последние обновления программного обеспечения и безопасности.
№12 - Держите свои системы в актуальном состоянии.
Об этом уже было сказано, но постоянное обновление ваших систем и приложений имеет решающее значение для поддержания вашей безопасности. Обновление ваших систем буквально в день выпуска нового патча - вот как вы обеспечиваете безопасность своего магазина.
Сделайте шаг назад и подумайте об этом на секунду.
Если вы размещаете свой магазин и используете Magento, и команда разработчиков Magento выпускает уведомление о том, что они исправили новую уязвимость безопасности, можно с уверенностью сказать, что по крайней мере несколько хакеров знали об этой уязвимости.
Однако после того, как Magento объявляет об этом миру? Значительно больше хакеров знают и могут запускать своих ботов и скрипты, чтобы начать отслеживать магазины Magento, в которых все еще используются ошибочные версии программного обеспечения.
Когда разработчики выпускают уведомление о наличии нового обновления, особенно для устранения проблем безопасности, не торопитесь, чтобы обновить свои системы. Вы официально станете мишенью, как только они выпустят уведомление.
№13 - Используйте службу защиты от DDoS-атак.
DDoS-атаки или распределенные атаки типа «отказ в обслуживании» не обязательно являются «взломом» в общем смысле этого слова, но это метод, который хакеры могут использовать, чтобы полностью отключить ваш магазин и перевести его в автономный режим.
Эти типы атак происходят гораздо чаще, чем раньше, и уровень изощренности, а также типы целей, которые подвергаются атаке, также увеличились.
Лучший способ борьбы с этими атаками - разместить ваш магазин в облаке и использовать службу, которая может перенести ваш магазин на другой сервер, если они обнаружат DDoS-атаку.
№14 - Подумайте об услугах по борьбе с мошенничеством.
Прискорбно, но мошенничество случается. Для продавца лучшее, что вы можете сделать, - это убедиться, что вы не оставляете сумку в руках всякий раз, когда через ваш магазин поступают мошеннические платежи.
Все больше и больше компаний по обработке кредитных карт предлагают новые услуги, которые помогут вам снизить риск мошенничества и гарантировать, что вы храните больше денег в своем кармане.
Они могут помочь вам устранить мошенничество до того, как оно произойдет, и прикрыть вашу сторону, когда вам нужно будет подтвердить обвинения, которые были законно произведены потребителями.
№15 - Составьте план аварийного восстановления.
Недостаточно просто сделать резервную копию вашего магазина, базы данных, электронной почты и файлов клиентов. Вам также необходимо убедиться, что у вас есть стратегия восстановления на случай, если что-то произойдет, и вы все потеряете.
В вашей стратегии резервного копирования могут быть пробелы, которые вам нужно будет устранить. Например, если вы храните резервные копии на месте, вы можете столкнуться с отключением электроэнергии, что приведет к отключению и ваших серверов резервного копирования.
Чтобы этого избежать, убедитесь, что ваш веб-сайт должным образом защищен и вы регулярно выполняете резервное копирование файлов. Затем вы хотите убедиться, что эти файлы размещены вне офиса и что вы можете легко восстановить свой бизнес, если произойдет что-то катастрофическое.
Как показал Equifax, ни один бизнес не является настолько безопасным, чтобы не стать объектом нападения хакеров.
Как владелец магазина электронной коммерции, ваш бизнес может стать еще большей целью, потому что большинство хакеров полагают, что владельцы малого и среднего бизнеса не уделяют безопасности того внимания, которого она действительно заслуживает.
Это означает, что вам нужно прислушаться и обратить внимание на 15 различных областей, которые мы здесь для вас разбили. Чтобы убедиться, что ваш магазин электронной коммерции безопасен, может потребоваться некоторое время, но время, которое вы потратите сейчас, может сэкономить вам массу времени и денег в будущем.
Не позволяйте своим клиентам иметь дело с кражей личных данных, как многие клиенты Equifax в настоящее время сталкиваются с проблемой. Удержаться от одной и той же позиции легко, если вы знаете, какие области вашего бизнеса необходимо решить.