eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

Svakog oktobra održava se Evropski mesec sajber bezbednosti. Sa porastom internet trgovine u svetu, ali i u Srbiji, zapitali smo se kako povećati bezbednost domaćih internet prodavnica i šta to mali i veliki trgovci mogu da urade kako bi zaštitili svoje kupce. Korisne savete potražite u nastavku ovog vodiča.

Osvrt na sajber bezbednost u protekloj godini

Za početak podelio bih sa vama par interesantnih informacija:

Razvoj interneta i tehnologije je pored mnogih dobrih stvari doneo i one loše. Jedna od njih, ako ne i glavna, je zloupotreba podataka – pre svega ličnih podataka. I sami smo svedoci da način kojim se barata našim ličnim podacima postaje goruća tema za sve pripadnike internet zajednice. Kako za biznise, tako i za pojedince. Svest o tome raste iz godine u godinu i postaje jedna od glavnih tema kada je u pitanju sajber bezbednost, ako ne i najvažnija stvar.

Prema istraživanju o sajber bezbednosti pod nazivom 2021. Data Breach Investigations Report, koje svake godine sprovodi američki telco operater Verizon, trend je ostao nepromenjen. Najveći procenat sajber napada je eksterne prirode i finansijski je motivisan. Međutim ono što je interesantno, je da je tokom 2020. godine upravo ovakav profil sajber napada zabeležio i veliki rast u odnosu na prethodni period.

Gledajući godinu za nama, na udaru su i dalje najviše bili serveri i pojedinci, odnosno web aplikacije, email i finansijski podaci. Kada govorimo o tipu podataka koji je najviše bio tražen, kredencijali i lični podaci su najviše bili na udaru hakera. Ono što je možda i najalarmantnije je činjenica da to nisu više pojedinci već dobro organizovane grupe koje se mogu okarakterisati kao organizovani kriminal.

Imajući u vidu da je internet trgovina imala veliki rast u proteklom periodu i da finansijski podaci, lični podaci i kredencijali imaju važnu ulogu u procesu zaštite, jasno je zašto su upravo ovi podaci i najčešće na udaru.

Šta je eCommerce bezbednost?

Pre svega trebamo napraviti razliku između termina usklađenost (compliance) i bezbednost (security). Dešava se da se ova termina koriste naizmenično, kada je u pitanju e-commerce bezbednost. Iako imaju određenih dodirnih tačaka, postoji i jedna bitna razlika. To što smo usklađeni sa određenim standardima (GDPR, CCPA, PCI DSS…) ne znači nužno da je e-commerce prodavnica u potpunosti bezbedna.

E-commerce bezbednost podrazumeva da su svi e-commerce elementi zaštićeni od nedozvoljenog pristupa, upotrebe, izmene ili uništenja. Obuhvata 6 dimenzija:

  1. Integritet – sprečavanje nedozvoljene modifikacije podataka.
  2. Dokaz o poreklu i integritetu podataka (Non-repudation) – „non-repudation“ je pravni termin koji se odnosi na bezbednost informacija. Podrazumeva da servis može pružiti dokaz o poreklu i integritetu podataka. Drugim rečima nemoguće je poreknuti autentičnost i integritet poruke.
  3. Autentičnost – dokaz o legitimnosti izvora podataka.
  4. Poverljivost – zaštita od nedozvoljenog otkrivanja podataka.
  5. Privatnost – obezbeđivanje kontrole nad podacima i njihovim otkrivanjem.
  6. Dostupnost – sprečavanje kašnjenja ili uklanjanje podataka.

Kako bi umanjili verovatnoću da dođe do sajber napada i umanjili štetu ukoliko dođe do nekog, potrebno je da:

  • Uradimo procenu rizika unutar biznisa (Risk Assessment) – napravimo listu svih elemenata e-commerce biznisa i definišemo njihov značaj i vrednost,
  • Kreiramo politiku bezbednosti (Security Policy) – pisani dokument o tome:
    • Koje elemente e-commerce biznisa štitimo od koga?
    • Zašto ih štitimo?
    • Ko je odgovoran za zaštitu?
    • Koja ponašanja su prihvatljiva, a koja nisu?
  • Kreiramo plan implementacije – set koraka potrebnih da se preduzmu kako bi postigli zadovoljavajući stepen bezbednosti,
  • Kreiramo sektor/odeljenje zaduženo za e-commerce bezbednost – deo organizacije koji će biti zadužen za njeno sprovođenje,
  • Redovno proveravamo stepen bezbednosti.

Sada kada znamo šta je e-commerce bezbednost, reći ćemo nešto više o mogućim pretnjama do kojih može doći.

Kako da povećate bezbednost vaše Internet prodavnice?

1. Upotreba HTTPS/SSL

HTTPS (Hypertext Transfer Protocol Secure) predstavlja primarni protokol za bezbednu razmenu podataka između veb sajta i internet klijenta (Google Chrome npr.). Ovaj protokol predstavlja set pravila koja određuju koji tip informacija treba postojati i šta raditi sa podacima koji se prenose.

SSL (Secure Socket Layer) je deo HTTPS protokola koji vrši autentikaciju i enkripciju podataka između dva umrežena uređaja ili u našem slučaju e-commerce prodavnica i internet klijenta. Prednosti korišćenja SSL su sledeće:

  1. Štiti podatke od pregleda i izmena u tranzitu,
  2. Potvrđuje identitet internet prodavnice (vrši autentikaciju),
  3. Pomaže u ispunjavanju uslova za PCI DSS usklađenost,
  4. Pomaže u boljem rangiranju na Google,
  5. Uliva dodatno poverenje kod korisnika internet prodavnice.

Na osnovu prethodno rečenog možemo zaključiti da je veoma korisno imati ovakvu vrstu zaštite naročito kada dolazi do razmene izuzetno osetljivih podataka kao što su lični podaci i podaci o platnoj kartici. Ovo je pogotovu korisno kada je u pitanju e-skimming napad čiji je cilj doći do ovakve vrste podataka.

2. Upotreba anti-malware softvera i firewall

Anti-malware je softverski program koji služi za detekciju, uklanjanje i preventivu bilo kog malware (crvi, virusi, trojanci…) sprečavajući na taj način njegovo zlonamerno delovanje.

Firewall je bezbedonosno rešenje koje, na osnovu definisanih pravila, proverava saobraćaj koji dolazi do servera i preduzima potrebne radnje kako bi sprečio bilo kakve zlonamerne aktivnosti koje mogu prouzrokovati hakerski napadi ili malware.

Njihovom kombinacijom postavljamo dodatni nivo zaštite za internet prodavnicu i povećavamo nivo e-commerce bezbednosti. Upotreba anti-malware i firewall je naročito važna za zaštitu od phishing napada. Takve vrste napada najčešće se manifestuju prikrivenim instaliranjem zlonamernih softvera koji prikupljaju poverljive informacije (šifre ili finansijske podatke) i prosleđuju ih trećoj strani koja ih može zloupotrebiti.

3. Korišćenje jakih, jedinstvenih lozinki i dodatnih načina autentikacije

Ove teme smo se donekle dotakli ranije. Upotreba velikih i malih slova, brojeva i specijalnih karaktera prilikom kreiranja lozinke će svakako otežati posao hakerima. Nakon kreiranja, lozinku treba menjati u redovnim vremenskim intervalima. Admin panel e-commerce prodavnice treba podesiti tako da pristup panelu imaju samo definisane IP adrese.

Još jedan način da povećate e-commerce bezbednost je i uvođenje dva nivoa autentiikacije (Two-Factor Authentication) ili 2FA. Ova bezbednosna mera funkcioniše tako što prilikom logovanja u korisnički nalog (web aplikacija ili uređaj) server na kome se nalazi ovaj nalog šalje zahtev za dodatnim načinom provere. Ovaj dodatni oblik provere je nezavisan od prvog i sistem ne dozvoljava pristup korisničkom nalogu ukoliko korisnik nije prošao obe autentikacije. Postoji više tipova 2FA metoda:

  • Push notifikacija na mobilnom uređaju – pojavljuje se notifikacija koja vas pita da potvrdite pristup nalogu,
  • Kod koji se šalje na mobilni uređaj – aplikacija za autentikaciju (Google Authenticator npr.) kreira kod koji je potrebno uneti prilikom pristupa nalogu,
  • Slanjem koda putem SMS – na mobilni uređaj se šalje SMS sa kodom koji je potrebno uneti,
  • Slanjem koda putem email-a – slično prethodnoj metodi samo u ovom slučaju kod se šalje putem email,
  • Fizički token – mali uređaj koji kontinualno kreira kod za pristup.

Napomenuo bih da je ovo i jedan od osnovnih načina da se zaštitimo od domain hijacking-a tj. krađe domena. Naziv domena može biti ukraden na nekoliko načina, ali je najčešći i ujedno i najjednostaviji onaj u kojem dolazi do preuzimanje kontrole nad nalogom korisnika kod ovlašćenog registra ili kod hosting provajdera čije sisteme veliki broj korisnika koristi za upravljanje DNS zapisima za svoje nazive domena. Više o krađi domena i načinima na koje možete povećati bezbednost svog domena pročitajte u tekstu na sajtu domen.rs.

Najčešći razlozi zašto se vrši domain hijacking su:

  • Redirekcija saobraćaja
  • Preusmeravanje email komunikacije
  • Pharming
  • Phishing
  • Preprodaja domena
  • Transfer domena

4. Redovan update internet prodavnice i third-party integracija

E-commerce bezbednost je konstantna igra mačke i miša. Hakeri pronađu bezbedonosni propust u web aplikaciji ili third-party integraciji. Softver inžinjeri uklone taj propust. U slučaju da se koristi neka od e-commerce platformi onda je ovaj proces u manjoj ili većoj meri automatizovan. U slučaju da se koristi sopstveno rešenje onda je odgovornost za testiranje, update i otklanjanje bezbedonosnih propusta isključivo na vama. Ista je situacija i sa third-party integracijama.

Redovnim i pravilnim održavanjem internet prodavnice i aplikacija smanjujemo mogućnost od napada u vidu kompjuterskih virusa (vrsta malware) i time povećavamo e-commerce bezbednost.

5. Implementacija PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS je set bezbedonosnih polisa i standarda sa ciljem da :

  • Optimizuje bezbednost svih transakcija
  • Zaštiti lične podatke vlasnika platne kartice i spreči zloupotrebu

Organizacija koja se brine o sprovođenju PCI DSS zove se Payment Card Industry Security Standards Council i njeni osnivači su Visa, MasterCard, American Express, Discover i JCB. Svi biznisi koji se bave prihvatanjem, prenosom i čuvanjem podataka vlasnika platnih kartica dužni su da budu usklađeni sa ovim standardom.

Usklađenost sa PCI DSS je važno iz sledećih razloga:

  • Sprečava finansijske prevare i hakerske napade radi prikupljanja podataka o korisnicima internet prodavnice,
  • Gradi poverenje korisnika u e-commerce brend,
  • Otklanja potrebu da se podaci o platnim karticama korisnika skladište na sopstvenim serverima i na taj način povećava e-commerce bezbednost i smanjuje troškove servera.

Više o PCI DSS možete saznati OVDE.

eCommerce bezbednost: važan korak ka uspehu online biznisa

Postaviti e-commerce bezbednost na odgovarajući nivo je vitalan korak ka uspehu jednog biznisa. Primena saveta iz ovog posta, kao i redovno praćenje i prilagođavanje dešavanjima iz oblasti e-commerce bezbednosti, pružiće vašim korisnicima iskustvo kupovine u koju mogu imati poverenja.

Imajte na umu da, kada je u pitanju e-commerce bezbednost, nekada je dovoljna i jedna jedina greška i vaš e-commerce biznis je propao zauvek. Zato bih na kraju istakao da je podjednako važno investirati u bezbednost kao i u marketing ili veb dizajn.


Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Da li ženski pristup pravi uspešne biznise?

Filozof Soren Kierkegaard kaže da se život može razumeti samo iz retrospektive, ali da se mora živeti unapred. Kažu i da preduzetnici imaju odlične instinkte za snalaženje, ali da ih pitate da objasne kako su nešto znali, možete da očekujete odgovor koji je u suštini glasi - nemoj da me pitaš gluposti, ne znam.

Office Talks Podcast

Šta je ‘destination’ marketing i kako kreirati strategiju koja privlači turiste?

Turizam jedne države danas i te kako zavisi od digitalnog oglašavanja. O tome šta predstavlja termin 'destinacionog marketinga' i kako Srbija i Crna Gora mogu da sebe bolje brendiraju kao turističke destinacije, govorimo u 93. epizodi Office Talks Podcasta.

Startapi i poslovanje

Srpski Eat Me App rešava problem viška hrane koja se baca – čuvajući našu okolinu

Otpad od hrane je treći najveći emiter gasova staklene bašte na svetu. Globalno, 30% ili 1,8 milijardi tona sve proizvedene hrane na globalnom nivou se pokvari zbog loše planiranje resursa duž linije lanca snabdevanja. Srpski startap Eat Me App sa svojom aplikacijom nastoji da stane na put ovom problemu i globalnom društvu ponudi jedno od rešenja za ovaj veliki problem.

Propustili ste

Startapi i poslovanje

Srpsko-švajcarski Strong Network podigao €5,1 investicije – širi se na Evropu i SAD

Strong Network, srpsko-švajcarski startap dobio je investiciju vrednu 5,1 miliona evra kako bi ubrzao svoje širenje na teritorije Evrope i SAD-a. Rundu investiranja predvodio je OpenOcean zajedno sa Wingman Ventures fondom.

Startapi i poslovanje

Decentralizovane autonomne organizacije (DAO) – izazovi i perspektive

Džon Lenon je u pesmi 'Power to the people' sumirao koncept slobode i omogućavanja građanima da odlučuju o političkim i društvenim prilikama. Ove ideje stare su koliko i prve teorije o uređenju društva.

Startapi i poslovanje

B-Fresh: Nakon pobede na Generator ZERO konkursu, krećemo sa aktivnom prodajom!

Domaći startap ekosistem možda ne obiluje sa previše uspešnih agrotech rešenja. Ipak, Generator Zero konkurs OTP banke predstavio nam je talentovane timove iz oblasti ekologije i poljoprivrede. Pobedu na ovom takmičenju odneo je tim B-Fresh sa proizvodom za produženje roka trajanja voća i povrća.

Gaming

Novo poglavlje Tetrisa piše se u Beogradu i Tel Avivu – razvijaće ga Playstudios

Kompanija Playstudios kupila je krajem prošle godine prava za razvoj Tetris franšize na mobilnim platformama. Dalji razvoj ovog legendarnog naslova poveren je timu Playstudios Europe iz Beograda na kome će zajedno raditi sa kolegama iz Playstudios Israel u Tel Avivu.

Office Talks Podcast

Zašto Elon Musk kupuje Twitter?

Twitter - hoće li ostati kakvog ga znamo ili sa akvizicijom Elona Muska dolazi neka nova era? O kupovini ove društvene mreže razgovaramo u 95. epizodi Office Talks podcasta.

Startapi i poslovanje

Londonski Qudo sa osnivačem iz Srbije uzeo investiciju od $3,5 miliona – razmišlja se o razvojnom centru u Beogradu

Questionardo, firma koja razvija platformu Qudo za agilno ispitivanje potrošača i preciznu digitalnu aktivaciju vođenu podacima, nedavno je dobila i investiciju od 3,5 miliona dolara. Jedan od osnivača ovog startapa dolazi iz Srbije i sa njim razgovaramo o daljem poslovanju i razvoju proizvoda.