eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

Svakog oktobra održava se Evropski mesec sajber bezbednosti. Sa porastom internet trgovine u svetu, ali i u Srbiji, zapitali smo se kako povećati bezbednost domaćih internet prodavnica i šta to mali i veliki trgovci mogu da urade kako bi zaštitili svoje kupce. Korisne savete potražite u nastavku ovog vodiča.

Osvrt na sajber bezbednost u protekloj godini

Za početak podelio bih sa vama par interesantnih informacija:

Razvoj interneta i tehnologije je pored mnogih dobrih stvari doneo i one loše. Jedna od njih, ako ne i glavna, je zloupotreba podataka – pre svega ličnih podataka. I sami smo svedoci da način kojim se barata našim ličnim podacima postaje goruća tema za sve pripadnike internet zajednice. Kako za biznise, tako i za pojedince. Svest o tome raste iz godine u godinu i postaje jedna od glavnih tema kada je u pitanju sajber bezbednost, ako ne i najvažnija stvar.

Prema istraživanju o sajber bezbednosti pod nazivom 2021. Data Breach Investigations Report, koje svake godine sprovodi američki telco operater Verizon, trend je ostao nepromenjen. Najveći procenat sajber napada je eksterne prirode i finansijski je motivisan. Međutim ono što je interesantno, je da je tokom 2020. godine upravo ovakav profil sajber napada zabeležio i veliki rast u odnosu na prethodni period.

Gledajući godinu za nama, na udaru su i dalje najviše bili serveri i pojedinci, odnosno web aplikacije, email i finansijski podaci. Kada govorimo o tipu podataka koji je najviše bio tražen, kredencijali i lični podaci su najviše bili na udaru hakera. Ono što je možda i najalarmantnije je činjenica da to nisu više pojedinci već dobro organizovane grupe koje se mogu okarakterisati kao organizovani kriminal.

Imajući u vidu da je internet trgovina imala veliki rast u proteklom periodu i da finansijski podaci, lični podaci i kredencijali imaju važnu ulogu u procesu zaštite, jasno je zašto su upravo ovi podaci i najčešće na udaru.

Šta je eCommerce bezbednost?

Pre svega trebamo napraviti razliku između termina usklađenost (compliance) i bezbednost (security). Dešava se da se ova termina koriste naizmenično, kada je u pitanju e-commerce bezbednost. Iako imaju određenih dodirnih tačaka, postoji i jedna bitna razlika. To što smo usklađeni sa određenim standardima (GDPR, CCPA, PCI DSS…) ne znači nužno da je e-commerce prodavnica u potpunosti bezbedna.

E-commerce bezbednost podrazumeva da su svi e-commerce elementi zaštićeni od nedozvoljenog pristupa, upotrebe, izmene ili uništenja. Obuhvata 6 dimenzija:

  1. Integritet – sprečavanje nedozvoljene modifikacije podataka.
  2. Dokaz o poreklu i integritetu podataka (Non-repudation) – „non-repudation“ je pravni termin koji se odnosi na bezbednost informacija. Podrazumeva da servis može pružiti dokaz o poreklu i integritetu podataka. Drugim rečima nemoguće je poreknuti autentičnost i integritet poruke.
  3. Autentičnost – dokaz o legitimnosti izvora podataka.
  4. Poverljivost – zaštita od nedozvoljenog otkrivanja podataka.
  5. Privatnost – obezbeđivanje kontrole nad podacima i njihovim otkrivanjem.
  6. Dostupnost – sprečavanje kašnjenja ili uklanjanje podataka.

Kako bi umanjili verovatnoću da dođe do sajber napada i umanjili štetu ukoliko dođe do nekog, potrebno je da:

  • Uradimo procenu rizika unutar biznisa (Risk Assessment) – napravimo listu svih elemenata e-commerce biznisa i definišemo njihov značaj i vrednost,
  • Kreiramo politiku bezbednosti (Security Policy) – pisani dokument o tome:
    • Koje elemente e-commerce biznisa štitimo od koga?
    • Zašto ih štitimo?
    • Ko je odgovoran za zaštitu?
    • Koja ponašanja su prihvatljiva, a koja nisu?
  • Kreiramo plan implementacije – set koraka potrebnih da se preduzmu kako bi postigli zadovoljavajući stepen bezbednosti,
  • Kreiramo sektor/odeljenje zaduženo za e-commerce bezbednost – deo organizacije koji će biti zadužen za njeno sprovođenje,
  • Redovno proveravamo stepen bezbednosti.

Sada kada znamo šta je e-commerce bezbednost, reći ćemo nešto više o mogućim pretnjama do kojih može doći.

Kako da povećate bezbednost vaše Internet prodavnice?

1. Upotreba HTTPS/SSL

HTTPS (Hypertext Transfer Protocol Secure) predstavlja primarni protokol za bezbednu razmenu podataka između veb sajta i internet klijenta (Google Chrome npr.). Ovaj protokol predstavlja set pravila koja određuju koji tip informacija treba postojati i šta raditi sa podacima koji se prenose.

SSL (Secure Socket Layer) je deo HTTPS protokola koji vrši autentikaciju i enkripciju podataka između dva umrežena uređaja ili u našem slučaju e-commerce prodavnica i internet klijenta. Prednosti korišćenja SSL su sledeće:

  1. Štiti podatke od pregleda i izmena u tranzitu,
  2. Potvrđuje identitet internet prodavnice (vrši autentikaciju),
  3. Pomaže u ispunjavanju uslova za PCI DSS usklađenost,
  4. Pomaže u boljem rangiranju na Google,
  5. Uliva dodatno poverenje kod korisnika internet prodavnice.

Na osnovu prethodno rečenog možemo zaključiti da je veoma korisno imati ovakvu vrstu zaštite naročito kada dolazi do razmene izuzetno osetljivih podataka kao što su lični podaci i podaci o platnoj kartici. Ovo je pogotovu korisno kada je u pitanju e-skimming napad čiji je cilj doći do ovakve vrste podataka.

2. Upotreba anti-malware softvera i firewall

Anti-malware je softverski program koji služi za detekciju, uklanjanje i preventivu bilo kog malware (crvi, virusi, trojanci…) sprečavajući na taj način njegovo zlonamerno delovanje.

Firewall je bezbedonosno rešenje koje, na osnovu definisanih pravila, proverava saobraćaj koji dolazi do servera i preduzima potrebne radnje kako bi sprečio bilo kakve zlonamerne aktivnosti koje mogu prouzrokovati hakerski napadi ili malware.

Njihovom kombinacijom postavljamo dodatni nivo zaštite za internet prodavnicu i povećavamo nivo e-commerce bezbednosti. Upotreba anti-malware i firewall je naročito važna za zaštitu od phishing napada. Takve vrste napada najčešće se manifestuju prikrivenim instaliranjem zlonamernih softvera koji prikupljaju poverljive informacije (šifre ili finansijske podatke) i prosleđuju ih trećoj strani koja ih može zloupotrebiti.

3. Korišćenje jakih, jedinstvenih lozinki i dodatnih načina autentikacije

Ove teme smo se donekle dotakli ranije. Upotreba velikih i malih slova, brojeva i specijalnih karaktera prilikom kreiranja lozinke će svakako otežati posao hakerima. Nakon kreiranja, lozinku treba menjati u redovnim vremenskim intervalima. Admin panel e-commerce prodavnice treba podesiti tako da pristup panelu imaju samo definisane IP adrese.

Još jedan način da povećate e-commerce bezbednost je i uvođenje dva nivoa autentiikacije (Two-Factor Authentication) ili 2FA. Ova bezbednosna mera funkcioniše tako što prilikom logovanja u korisnički nalog (web aplikacija ili uređaj) server na kome se nalazi ovaj nalog šalje zahtev za dodatnim načinom provere. Ovaj dodatni oblik provere je nezavisan od prvog i sistem ne dozvoljava pristup korisničkom nalogu ukoliko korisnik nije prošao obe autentikacije. Postoji više tipova 2FA metoda:

  • Push notifikacija na mobilnom uređaju – pojavljuje se notifikacija koja vas pita da potvrdite pristup nalogu,
  • Kod koji se šalje na mobilni uređaj – aplikacija za autentikaciju (Google Authenticator npr.) kreira kod koji je potrebno uneti prilikom pristupa nalogu,
  • Slanjem koda putem SMS – na mobilni uređaj se šalje SMS sa kodom koji je potrebno uneti,
  • Slanjem koda putem email-a – slično prethodnoj metodi samo u ovom slučaju kod se šalje putem email,
  • Fizički token – mali uređaj koji kontinualno kreira kod za pristup.

Napomenuo bih da je ovo i jedan od osnovnih načina da se zaštitimo od domain hijacking-a tj. krađe domena. Naziv domena može biti ukraden na nekoliko načina, ali je najčešći i ujedno i najjednostaviji onaj u kojem dolazi do preuzimanje kontrole nad nalogom korisnika kod ovlašćenog registra ili kod hosting provajdera čije sisteme veliki broj korisnika koristi za upravljanje DNS zapisima za svoje nazive domena. Više o krađi domena i načinima na koje možete povećati bezbednost svog domena pročitajte u tekstu na sajtu domen.rs.

Najčešći razlozi zašto se vrši domain hijacking su:

  • Redirekcija saobraćaja
  • Preusmeravanje email komunikacije
  • Pharming
  • Phishing
  • Preprodaja domena
  • Transfer domena

4. Redovan update internet prodavnice i third-party integracija

E-commerce bezbednost je konstantna igra mačke i miša. Hakeri pronađu bezbedonosni propust u web aplikaciji ili third-party integraciji. Softver inžinjeri uklone taj propust. U slučaju da se koristi neka od e-commerce platformi onda je ovaj proces u manjoj ili većoj meri automatizovan. U slučaju da se koristi sopstveno rešenje onda je odgovornost za testiranje, update i otklanjanje bezbedonosnih propusta isključivo na vama. Ista je situacija i sa third-party integracijama.

Redovnim i pravilnim održavanjem internet prodavnice i aplikacija smanjujemo mogućnost od napada u vidu kompjuterskih virusa (vrsta malware) i time povećavamo e-commerce bezbednost.

5. Implementacija PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS je set bezbedonosnih polisa i standarda sa ciljem da :

  • Optimizuje bezbednost svih transakcija
  • Zaštiti lične podatke vlasnika platne kartice i spreči zloupotrebu

Organizacija koja se brine o sprovođenju PCI DSS zove se Payment Card Industry Security Standards Council i njeni osnivači su Visa, MasterCard, American Express, Discover i JCB. Svi biznisi koji se bave prihvatanjem, prenosom i čuvanjem podataka vlasnika platnih kartica dužni su da budu usklađeni sa ovim standardom.

Usklađenost sa PCI DSS je važno iz sledećih razloga:

  • Sprečava finansijske prevare i hakerske napade radi prikupljanja podataka o korisnicima internet prodavnice,
  • Gradi poverenje korisnika u e-commerce brend,
  • Otklanja potrebu da se podaci o platnim karticama korisnika skladište na sopstvenim serverima i na taj način povećava e-commerce bezbednost i smanjuje troškove servera.

Više o PCI DSS možete saznati OVDE.

eCommerce bezbednost: važan korak ka uspehu online biznisa

Postaviti e-commerce bezbednost na odgovarajući nivo je vitalan korak ka uspehu jednog biznisa. Primena saveta iz ovog posta, kao i redovno praćenje i prilagođavanje dešavanjima iz oblasti e-commerce bezbednosti, pružiće vašim korisnicima iskustvo kupovine u koju mogu imati poverenja.

Imajte na umu da, kada je u pitanju e-commerce bezbednost, nekada je dovoljna i jedna jedina greška i vaš e-commerce biznis je propao zauvek. Zato bih na kraju istakao da je podjednako važno investirati u bezbednost kao i u marketing ili veb dizajn.


Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Gaming

3Lateral predao urbanistički projekat za novosadski kampus – useljenje 2024. godine

Epic Games i 3Lateral zvanično su objavili više detalja o narednim koracima vezanim za planiranje i izgradnju svog budućeg kampusa u Novom Sadu.

Startapi i poslovanje

Da li Srbija inovira i zašto je važna naša pozicija na listi Globalnog indeksa inovativnosti?

Na poziciji Globalnog indeksa inovativnosti Srbija je pala sa 53. na 54. poziciju. Analiziramo gde smo bili lošiji, a gde bolji na skali inovacija.

Tehnologija

Želite da promenite programski jezik u kom radite? LearnUpon vas poziva na svoj novi meetup

Brine vas da se više nećete smatrati senior programerima ako promenite programski jezik? Meetup koji 24. novembra organizuje LearnUpon je tu da vam odgovori na sva pitanja u tom domenu.

Propustili ste

Mobilno

Koji su to najbolji telefoni na tržištu u cenovnom rangu od €250 do preko €750

Tržište mobilnih telefona nikada pre nije bilo ovako raznoliko. Korisnici danas na raspolaganju imaju ogroman broj modela različitih klasa i cenovnih kategorija, da se slobodno može reći kako je mogućnost izbora pametnih telefona najveća - od kada oni postoje.

Startapi i poslovanje

Freshdesk je SaaS alat za CX koji koristi 50.000 kompanija širom sveta – a od skoro je dostupan i na Balkanu

Kompanija Freshworks od prošle godine posluje i na regionalnom tržištu, a sa direktorom za Balkan razgovaramo o njihovim proizvodima - pogotovu o alatu Freshdesk.

Office Talks Podcast

Šta su to superklasteri i kako nastaju? (gost Kosta Andrić)

Može li se u naredne četiri godine izgraditi prvi srpski superklaster i kako pomoću ovog modela unaprediti tehnološke kapacitete domaće privrede? Otkrivamo u prvoj epizodi Office Talks specijala.

Startapi i poslovanje

Rekordan broj investicija i akvizicija obeležili su domaći ekosistem u 2021. godini

Analiziramo koji su to događaji obeležili startap zajednicu u proteklih 365 dana.

Startapi i poslovanje

Opseg plate prva je stvar koju programeri traže u oglasu za posao

Da, oglasi za posao u IT industriji imaju mane - čak i ako ih i HR-ovi i kompanijski menadžeri pišu i proveravaju po nekoliko puta. Najčešće ne sadrže dovoljno informacija o poziciji, opseg plate uglavnom izostaje, ali su zato marketinški detalji u prvom planu.

Startapi i poslovanje

Raising Stars: Stručna podrška i do 15.000 CHF za lokalni razvoj i globalni rast inovativnih ideja

Naučno-tehnološki park Beograd raspisao je uz podršku Vlade Švajcarske i u partnerstvu sa NTP Niš i NTP Čačak, novi poziv za Raising Starts, prvi pre-seed program koji startapima u najranijim fazama razvoja donosi stručnu i finansijsku podršku za ubrzan razvoj.