E-Ticaret İşletmenizi Hacking Tehditlerinden Nasıl Koruyabilirsiniz?
Yayınlanan: 2017-10-31Sektörde bilgisayar korsanlığı tehdidi hakkında tüm konuşmalar ve Equifax şu anda bugüne kadarki en büyük saldırılardan birini yaşıyor, e-ticaret işinizin gerçekte ne kadar güvensiz olabileceğini anlamak için bir adım geri atmaya değer.
İleriye dönük olarak, piyasa daha karmaşık hale gelecek ve bilgilerini güvende tutacağını bildikleri işletmelere daha fazla güven vermeye başlayacak.
Bir e-ticaret mağazası sahibi olarak, genellikle bir bilgisayarda depolanan ve işinizi saldırıya uğrama riskine sokan çok miktarda hassas bilgiye erişiminiz olur. Daha küçük bir operasyon olsanız bile, günlük olarak işinize yönelik tehditleri görmezden gelemezsiniz.
Kafanızı kuma gömmek ve daha küçük bir işletme olduğunuz için tehditlerle karşı karşıya olmadığınızı varsaymak yanlış bir yaklaşımdır ve bir bilgisayar korsanının kanıtlanmış olanları görmezden geldiğinizi anlaması durumunda başınızı büyük belaya sokabilecek bir yaklaşımdır. güvenlik önlemleri.
İşletmenizin ve müşterilerinizin yalnızca bilgisayar korsanlarının tehdidine karşı güvende olduğundan emin olmak değil, aynı zamanda bilgisayar korsanlarını güvenliğinizi kırmaya çalışmadan önce vazgeçmeye zorlamak istiyorsanız, e-Ticaret işinizin güvende olmasını sağlamanın 15 farklı yolu vardır.
#1 - Güvenli bir e-ticaret platformu kullanın.
Bu, mağazanızın güvenliğini etkileyecek en büyük faktördür.
Örneğin, WooCommerce kullanıyorsanız, her zaman en son sürüme güncellendiğinden, WordPress'i en son sürüme güncel tuttuğunuzdan ve kullandığınız tüm eklentilerin güncel kaldığından emin olmanız gerekir.
Shopify gibi çoğu yaygın e-ticaret platformu, müşterinizin verilerini güvende tutmak için güvenlik önlemlerine sahip olacak.
Ancak, yeni bir e-Ticaret platformu kullanıyorsanız veya güvenliğe çok fazla önem vermeyen bir platform kullanıyorsanız, güvenliği ve yüksek düzeyde güvenlik sağlamayı anlayan daha gelişmiş bir platforma geçmeye başlamak isteyeceksiniz. güvenlik.
Eski yazılımlar, güvenlik ihlallerinin en büyük nedenlerinden biridir ve bilgisayar korsanları, yazılımın geride bıraktığı "ayak izlerinden", eski olabilecek mağazaları bulmak için yararlanabilir. Daha sonra bu mağazaları birer birer hedefleyebilirler.
#2 - Ödemenizin güvenli olduğundan emin olun.
Ödeme alanınız, mağazanızdaki en büyük hedeflerden biridir.
Bazı bilgisayar korsanları, müşterinizin bilgilerinin depolandığı veritabanını ele geçirmeye çalışırken, diğerleri bu verileri ödeme formunuza girilirken ve ardından bir işlem sunucusuna aktarılırken ele geçirmeye çalışır.
Bu, büyük ölçüde kısmen e-Ticaret mağazanızı barındırdığınız platform için geçerlidir.
Ancak, bilgisayar korsanlarının aktarılan bilgilere müdahale edememesini sağlamak için şifreli SSL ve güvenli ödeme gibi güvenlik özelliklerini de uygulayabilirsiniz.
Bir SSL sertifikası, müşterinizin girdiği bilgileri iletilmeden önce şifreler, böylece bir bilgisayar korsanı buna müdahale edebilse bile, topladıkları bilgilerle hiçbir şey yapamazlar.
#3 - Hassas verileri saklamayın.
Equifax herhangi bir kanıt ise, bilgisayar korsanları hassas bilgileri depolayan ve ardından güvenlik protokollerinin devre dışı kalmasına izin veren şirketlere ve işletmelere güvenir, böylece bu bilgilere kendileri için erişmek için deliklerden yararlanabilirler.
Equifax, insanların hassas bilgilerini toplama ve saklama işinde, bu da onları bilgisayar korsanları için ana hedef haline getirdi. Bunun bilgisayar korsanlarının sunucularına ve veritabanlarına ilk kez erişme girişimi olmadığını söylemek kolay. Muhtemelen 100. kez değil.
Çoğunlukla işinizi verimli bir şekilde yürütmek için müşterinizin adı, e-posta adresi, ev adresi, telefon numarası, oturum açma adı ve şifresi dışında herhangi bir bilgi saklamanıza gerçekten gerek yoktur.
Bu bilgileri toplar ve saklarsanız, güvenli, şifreli bir veritabanında saklandığından emin olmanız gerekir. Ayrıca müşterilerinizin, mağazanız için e-posta veya banka hesapları gibi diğer hassas hesaplar için kullandıkları parolanın aynısını kullanmamalarını bilmelerini sağlamanız gerekir.
#4 - Bir CVV doğrulama sistemi kullanın.
CVV veya kredi kartı doğrulama değeri, kartın arkasından CVV numarasını okumak için müşterinin kredi kartına fiziksel olarak sahip olmasını gerektirerek sahte işlemlerin sayısını sınırlamanıza yardımcı olur.
Bu strateji, mağazanızdaki kredi kartı sahtekarlığını tamamen ortadan kaldırmanıza yardımcı olmayacak olsa da, olasılıkları önemli ölçüde azaltabilirsiniz.
Pek çok bilgisayar korsanının önünde fiziksel kart olmayacak, bu nedenle işlemde ilerlemek için uygun CVV'yi giremeyecekler. CVV numarasına sahip değillerse, kredi kartı dolandırıcılığı yapamazlar.
Yine, bu tüm sahtekarlığı durdurmaz, ancak mağazanızda ters ibraz ve sahte ödeme alma şansınızı azaltabilir. Bilgisayar korsanı, sahte satın almalar yapmak için kullandıkları kredi kartından CVV'yi alabilirse, yine de ilerleyebilir.
#5 - Güçlü parolalar gerektir.
Bazen bilgisayar korsanlarının yazılım hataları, tuş kaydediciler veya diğer yazılım odaklı araçlar nedeniyle güvenliğinizi kırmaları bile gerekmez.
Bazen tek gereken, zayıf bir parolaya erişmeleri ve bu parolayı, hassas bilgilerin saklandığı tüm veritabanlarını ele geçirmek için kullanmalarıdır.
Bu nedenle hem müşterilerinizin hem de çalışanlarınızın güvenli şifreler kullanmasını şart koşmalısınız. Bu, özellikle personelinizin hassas bilgileri sakladığınız alanlara erişimi varsa ve bu bilgileri saklıyorsanız geçerlidir.
Müşterilerinizin e-posta hesapları veya bankacılık hesapları için kullandıkları mağaza girişlerinde kullandıkları şifrenin aynısını kullanmamalarını bilmelerinin yanı sıra, onlardan güvenli şifre kullanmalarını talep ettiğinizden emin olmak istersiniz.
Gerçekten güvenli bir parola, büyük ve küçük harfler, sayılar ve simgelerden oluşan bir karışımı birleştirir. Bunlar "kaba kuvvet" saldırısı için neredeyse imkansızdır ve tahmin edilemez.
#6 - Şüpheli etkinliği izleyin.
Mağazanız bilgisayar korsanları tarafından hedefleniyorsa, mağazanızın güvenli olduğundan emin olmak için size verdikleri bilgileri kullanabilirsiniz.
Bilgisayar korsanlarından önde olduğunuzdan emin olmanın en iyi yolu, şu anda ne yaptıklarını anlamak ve mağazanızın bu bölümlerinin güvenli olduğundan emin olmak için aktif olarak çalışmaktır.
Bununla birlikte, bilgisayar korsanlarına ayak uydurmak, en son hack ve istismarlarla ilgili konuşmaların çoğunun gerçekleştiği “internetin karanlık göbeğinde” bir pozisyon almanızı gerektirebilir.
Veya mağazanızdaki şüpheli etkinliği izlemeye başlayabilirsiniz.
Bir bilgisayar korsanı mağazanızın bir bölümüne saldırmak için enerji harcadıysa, e-ticaret mağazalarının o bölümüne odaklanan bir saldırı veya istismar olduğunu güvenle varsayabilirsiniz. Örneğin, giriş ekranınıza saldırıyorlarsa, giriş ekranınızın güvenli olduğundan emin olmanın zamanının geldiğini bilirsiniz.
Ancak bu düzeyde bir farkındalık elde etmek için mağazanızda neler olduğunu aktif olarak izlemeniz ve ardından bu alanlarda güvenliğinizi artırmak için ne yapmanız gerektiğini anlamanız gerekir.
#7 - Katmanlı güvenlik kullanın.
Katmanlı güvenlik, eğer saklıyorsanız, bilgisayar korsanlarının hassas bilgilere gerçekten erişebilmeleri için geçmesi gereken farklı katmanlara sahip olmak anlamına gelir.
Güvenliğinizi katmanlamak için, önce bir güvenlik duvarınızın olduğundan ve sunucunuz aracılığıyla yapılan işlemleri şifrelemek için bir SSL sertifikası kullandığınızdan emin olmak isteyeceksiniz.
Ardından, kullandığınız uygulamalara göre mağazaya başka katmanlar eklemek isteyeceksiniz. Örneğin, iletişim formunuzu, oturum açma formlarınızı ve arama sorgularınızı güvence altına almak ve bu bilgileri müşteri bilgilerinizden ayrı tutmak SQL saldırılarını anlamsız hale getirebilir.
SQL saldırıları, bilgisayar korsanlarının erişmesine izin veren bilgileri veritabanınıza enjekte eder ve müşteri bilgilerini mağazanızın ön ucundaki formlardan toplanan bilgilerle aynı veritabanında saklıyorsanız, bir güvenlik riski oluşturuyor olabilirsiniz. .
#8 - Çalışanlarınız varsa onları eğitin.
Çalışanlar, güvenliğinizdeki en zayıf noktalardan biri olabilir. Gevşemek ve işin aslında iş tanımlarında yer almayan kısımlarını düşünmemek insan doğasıdır.
Bu durumda güvenlik, çalışanlarınızın başka birinin icabına baktığını varsayarak, göz ardı edilecek ilk unsurlardan biridir.
Size bir örnek vermek gerekirse, çalışanlarınız sohbet oturumları sırasında veya bir e-posta günlüğünde müşterilerinizden hassas bilgiler topluyor ve sohbet oturumu sona erdikten sonra bu bilgilerle hiçbir şey yapmıyor olabilir.
Güvenlik ilkelerinizde boşluk oluşturmadıklarından ve potansiyel olarak müşterinizin bilgilerini riske atmadıklarından emin olmak için çalışanlarınızın iyi eğitimli olduklarından (ve eğitimlerinin güncel kaldığından) emin olmanız gerekir.
Yerinde yazılı politikalar ve belgeler olmalı ve çalışanlarınız yasaların ve hassas bilgilerin işlenmesini nasıl yönettiklerinin farkında olmalıdır.
#9 - Müşterilerinize takip numaraları sağlayın.
e-Ticaret güvenliği, yalnızca bilgisayar korsanlarını müşterinizin bilgilerinden uzak tutmaya odaklanmamalıdır.
Ayrıca bilgisayar korsanlarının mağazanıza sipariş vermek için çalıntı kredi kartlarını kullanamayacağından ve müşterilerin gerçekten yaptıkları satın almalar için sahte satın alma gönderemeyeceklerinden emin olmanız gerekir.
Ters ibrazlar ve dolandırıcılık iddiaları, olması gerekenden çok daha sık gerçekleşir. Bunların çoğundan çok sayıda bilgisayar korsanı sorumludur, ancak bazıları satın aldıkları ürünler için artık ödeme yapmak istemeyen müşterilerden gelmektedir.
Ürünlere sahip olmaya devam ederken, bankalarına veya finans kurumlarına ters ibrazda bulunacaklar veya hesaplarında dolandırıcılık olduğunu iddia ederek çantayı elinizde bırakacaklar.
Bu sorunla mücadele etmek için sipariş ve gönderim ayrıntıları için takip numaralarını kullandığınızdan emin olun. Ayrıca IP adreslerini, siparişlerin verildiği yerleri ve ücretlerin meşru olduğunu doğrulamak için kullanabileceğiniz diğer bilgileri izlediğinizden emin olmak istersiniz.
#10 - Mağazanızı izleyin ve sık sık ev sahipliği yapın.
Ana akım bir e-ticaret platformu kullanıyor olsanız bile, güvenliğinizi sağladıklarını varsayarak her zaman arkanıza yaslanıp rahatlayamazsınız.
Bunu yapmak için, trafiğin nereden geldiğini ve bu trafiğin bant genişliğinizi nasıl etkilediğini belirleyebilmeniz için gerçek zamanlı analitiklere sahip olduğunuzdan emin olmanız gerekir.
Tek bir yerden gelen çok miktarda trafiğiniz olduğunu fark ederseniz, bunun bir bilgisayar korsanı olduğunu güvenle varsayabilirsiniz. Clicky ve Woopra gibi araçlar, kullanıcıların mağazanızla nasıl etkileşime girdiğine bağlı olarak şüpheli etkinlik algıladıklarında size uyarı gönderebilir.
Ayrıca, e-ticaret mağazanıza ev sahipliği yapan kişinin de etkinliği izlediğinden emin olmanız gerekir. Şüpheli etkinlik olduğunu fark ederlerse veya yüklü truva atları ve kötü amaçlı yazılımlar olduğunu anlarlarsa, müdahaleniz olmadan tehditleri kaldırmak için gerekenleri yapmalıdırlar.
#11 - PCI taramaları gerçekleştirin.
Mağazanızda ve sunucularınızda her 3-4 ayda bir PCI taramaları gerçekleştirmek, mağazanızın bilgisayar korsanlarına karşı savunmasız olma olasılığını azaltmanıza yardımcı olabilir. PCI taramaları, bilgisayar korsanlığı endüstrisinin bir adım önünde olmanıza gerek kalmadan şu anda hangi alanların savunmasız olduğunu anlamanıza yardımcı olacaktır.
Bu, özellikle Prestashop, Drupal veya Magento gibi yazılımları kullanarak mağazayı kendiniz barındırıyorsanız geçerlidir. Bu platformlar, güvenliği kendi başınıza halletmenizi gerektirir, ancak genellikle yeni tehditler belirledikçe yazılım güncellemelerini yayınlar.
Yazılımınızı güncellemek ve güvenliğini sağlamak ve PCI taramasının size ne gösterdiğini denetlemek için harcadığınız birkaç saat, uzun vadede size büyük tasarruf sağlayabilir. Unutmayın, en kolay hedefler, yazılım ve güvenlik güncellemeleriyle güncel kalmayan mağazalardır.
#12 - Sistemlerinizi güncel tutun.
Daha önce söylendi, ancak sistemlerinizi ve uygulamalarınızı güncel tutmak, güvenliğinizi korumak için çok önemlidir. Yeni bir yamanın yayınlandığı gün, kelimenin tam anlamıyla sistemlerinize yama uygulamak, mağazanızı nasıl güvende tutacağınızdır.
Bir adım geri atın ve bir saniye düşünün.
Mağazanıza ev sahipliği yapıyorsanız ve Magento kullanıyorsanız ve Magento geliştirme ekibi yeni bir güvenlik açığını yamaladıklarına dair bir bildirim yayınlarsa, en azından birkaç bilgisayar korsanının bu güvenlik açığından haberdar olduğunu söylemek güvenlidir.
Ancak, Magento bunu dünyaya duyurduktan sonra? Önemli ölçüde daha fazla bilgisayar korsanı bilir ve hala yazılımın kusurlu sürümünü çalıştıran Magento mağazalarını izlemeye başlamak için botlarını ve komut dosyalarını çalıştırabilir.
Geliştiriciler, özellikle güvenlik hatalarını ele alan yeni bir güncelleme olduğuna dair bir bildirim yayınladığında, sistemlerinizi güncellemek için zaman ayırın. Duyuruyu yayınladıklarında resmen hedef olursunuz.
#13 - Bir DDoS koruma hizmetinden yararlanın.
DDoS veya dağıtılmış hizmet reddi saldırıları, kelimenin genel anlamıyla mutlaka bir "hack" değildir, ancak bilgisayar korsanlarının mağazanızı tamamen devre dışı bırakmak ve çevrimdışına almak için kullanabileceği bir yöntemdir.
Bu tür saldırılar eskisinden çok daha sık gerçekleşiyor ve saldırıya uğrayan hedef türleri ile birlikte gelişmişlik düzeyi de arttı.
Bu saldırılarla mücadele etmenin en iyi yolu, mağazanızı bulutta barındırmak ve bir DDoS saldırısı tespit ederse mağazanızı başka bir sunucuya taşıyabilecek bir hizmet kullanmaktır.
#14 - Dolandırıcılık yönetimi hizmetlerini düşünün.
Bu talihsiz bir durum ama dolandırıcılık oluyor. Bir tüccar için yapabileceğiniz en iyi şey, mağazanızdan dolandırıcılık suçlamaları geldiğinde çantayı elinizde tutmadığınızdan emin olmaktır.
Giderek daha fazla kredi kartı işleme şirketi, dolandırıcılık riskinizi azaltmanıza ve paranın daha fazlasını cebinizde tutmanıza yardımcı olacak yeni hizmetler sunuyor.
Sahtekarlığı gerçekleşmeden önce ortadan kaldırmanıza yardımcı olabilirler ve tüketiciler tarafından yasal olarak yapılan ücretleri doğrulamanız gerektiğinde sonunuzu karşılayabilirler.
#15 - Bir felaket kurtarma planınız olsun.
Mağazanızı, veritabanınızı, e-postalarınızı ve müşteri dosyalarınızı yedeklemeniz yeterli değildir. Ayrıca bir şey olması ve her şeyi kaybetmeniz durumunda bir kurtarma stratejiniz olduğundan emin olmanız gerekir.
Yedekleme stratejinizde kapatmanız gereken boşluklar olabilir. Örneğin, yedekleri yerinde saklıyorsanız, yedekleme sunucularınızı da kapatan bir elektrik kesintisi yaşayabilirsiniz.
Bunu önlemek için web sitenizin güvenli bir şekilde korunduğundan ve dosyalarınızı düzenli olarak yedeklediğinizden emin olun. Ardından, bu dosyaların site dışında barındırıldığından ve feci bir şey olursa işletmenizi kolayca geri yükleyebileceğinizden emin olmak istersiniz.
Equifax'ın gösterdiği gibi, hiçbir işletme bilgisayar korsanları tarafından hedef alınamayacak kadar güvenli değildir.
Bir e-ticaret mağazası sahibi olarak işletmeniz daha da büyük bir hedef olabilir çünkü çoğu bilgisayar korsanı, küçük ve orta ölçekli işletme sahiplerinin güvenliğe gerçekten hak ettiği ilgiyi göstermediğini varsaymaktadır.
Bu, dikkat etmeniz ve burada sizin için ayırdığımız 15 farklı alana dikkat etmeniz gerektiği anlamına gelir. E-Ticaret mağazanızın güvende olduğundan emin olmak biraz zaman alabilir, ancak şimdi harcadığınız zaman size yolda çok fazla zaman ve para kazandırabilir.
Pek çok Equifax müşterisinin şu anda uğraşmak zorunda olduğu gibi, müşterilerinizin kimlik hırsızlığı ile uğraşmasına izin vermeyin. İşinizde hangi alanların ele alınması gerektiğini bildiğinizde, kendinizi aynı konumdan uzak tutmak kolaydır.