eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

Infobip ❤️ Netokracijašta akvizicija znači za vas i za nas?

eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

Svakog oktobra održava se Evropski mesec sajber bezbednosti. Sa porastom internet trgovine u svetu, ali i u Srbiji, zapitali smo se kako povećati bezbednost domaćih internet prodavnica i šta to mali i veliki trgovci mogu da urade kako bi zaštitili svoje kupce. Korisne savete potražite u nastavku ovog vodiča.

Osvrt na sajber bezbednost u protekloj godini

Za početak podelio bih sa vama par interesantnih informacija:

Razvoj interneta i tehnologije je pored mnogih dobrih stvari doneo i one loše. Jedna od njih, ako ne i glavna, je zloupotreba podataka – pre svega ličnih podataka. I sami smo svedoci da način kojim se barata našim ličnim podacima postaje goruća tema za sve pripadnike internet zajednice. Kako za biznise, tako i za pojedince. Svest o tome raste iz godine u godinu i postaje jedna od glavnih tema kada je u pitanju sajber bezbednost, ako ne i najvažnija stvar.

Prema istraživanju o sajber bezbednosti pod nazivom 2021. Data Breach Investigations Report, koje svake godine sprovodi američki telco operater Verizon, trend je ostao nepromenjen. Najveći procenat sajber napada je eksterne prirode i finansijski je motivisan. Međutim ono što je interesantno, je da je tokom 2020. godine upravo ovakav profil sajber napada zabeležio i veliki rast u odnosu na prethodni period.

Gledajući godinu za nama, na udaru su i dalje najviše bili serveri i pojedinci, odnosno web aplikacije, email i finansijski podaci. Kada govorimo o tipu podataka koji je najviše bio tražen, kredencijali i lični podaci su najviše bili na udaru hakera. Ono što je možda i najalarmantnije je činjenica da to nisu više pojedinci već dobro organizovane grupe koje se mogu okarakterisati kao organizovani kriminal.

Imajući u vidu da je internet trgovina imala veliki rast u proteklom periodu i da finansijski podaci, lični podaci i kredencijali imaju važnu ulogu u procesu zaštite, jasno je zašto su upravo ovi podaci i najčešće na udaru.

Šta je eCommerce bezbednost?

Pre svega trebamo napraviti razliku između termina usklađenost (compliance) i bezbednost (security). Dešava se da se ova termina koriste naizmenično, kada je u pitanju e-commerce bezbednost. Iako imaju određenih dodirnih tačaka, postoji i jedna bitna razlika. To što smo usklađeni sa određenim standardima (GDPR, CCPA, PCI DSS…) ne znači nužno da je e-commerce prodavnica u potpunosti bezbedna.

E-commerce bezbednost podrazumeva da su svi e-commerce elementi zaštićeni od nedozvoljenog pristupa, upotrebe, izmene ili uništenja. Obuhvata 6 dimenzija:

  1. Integritet – sprečavanje nedozvoljene modifikacije podataka.
  2. Dokaz o poreklu i integritetu podataka (Non-repudation) – „non-repudation“ je pravni termin koji se odnosi na bezbednost informacija. Podrazumeva da servis može pružiti dokaz o poreklu i integritetu podataka. Drugim rečima nemoguće je poreknuti autentičnost i integritet poruke.
  3. Autentičnost – dokaz o legitimnosti izvora podataka.
  4. Poverljivost – zaštita od nedozvoljenog otkrivanja podataka.
  5. Privatnost – obezbeđivanje kontrole nad podacima i njihovim otkrivanjem.
  6. Dostupnost – sprečavanje kašnjenja ili uklanjanje podataka.

Kako bi umanjili verovatnoću da dođe do sajber napada i umanjili štetu ukoliko dođe do nekog, potrebno je da:

  • Uradimo procenu rizika unutar biznisa (Risk Assessment) – napravimo listu svih elemenata e-commerce biznisa i definišemo njihov značaj i vrednost,
  • Kreiramo politiku bezbednosti (Security Policy) – pisani dokument o tome:
    • Koje elemente e-commerce biznisa štitimo od koga?
    • Zašto ih štitimo?
    • Ko je odgovoran za zaštitu?
    • Koja ponašanja su prihvatljiva, a koja nisu?
  • Kreiramo plan implementacije – set koraka potrebnih da se preduzmu kako bi postigli zadovoljavajući stepen bezbednosti,
  • Kreiramo sektor/odeljenje zaduženo za e-commerce bezbednost – deo organizacije koji će biti zadužen za njeno sprovođenje,
  • Redovno proveravamo stepen bezbednosti.

Sada kada znamo šta je e-commerce bezbednost, reći ćemo nešto više o mogućim pretnjama do kojih može doći.

Kako da povećate bezbednost vaše Internet prodavnice?

1. Upotreba HTTPS/SSL

HTTPS (Hypertext Transfer Protocol Secure) predstavlja primarni protokol za bezbednu razmenu podataka između veb sajta i internet klijenta (Google Chrome npr.). Ovaj protokol predstavlja set pravila koja određuju koji tip informacija treba postojati i šta raditi sa podacima koji se prenose.

SSL (Secure Socket Layer) je deo HTTPS protokola koji vrši autentikaciju i enkripciju podataka između dva umrežena uređaja ili u našem slučaju e-commerce prodavnica i internet klijenta. Prednosti korišćenja SSL su sledeće:

  1. Štiti podatke od pregleda i izmena u tranzitu,
  2. Potvrđuje identitet internet prodavnice (vrši autentikaciju),
  3. Pomaže u ispunjavanju uslova za PCI DSS usklađenost,
  4. Pomaže u boljem rangiranju na Google,
  5. Uliva dodatno poverenje kod korisnika internet prodavnice.

Na osnovu prethodno rečenog možemo zaključiti da je veoma korisno imati ovakvu vrstu zaštite naročito kada dolazi do razmene izuzetno osetljivih podataka kao što su lični podaci i podaci o platnoj kartici. Ovo je pogotovu korisno kada je u pitanju e-skimming napad čiji je cilj doći do ovakve vrste podataka.

2. Upotreba anti-malware softvera i firewall

Anti-malware je softverski program koji služi za detekciju, uklanjanje i preventivu bilo kog malware (crvi, virusi, trojanci…) sprečavajući na taj način njegovo zlonamerno delovanje.

Firewall je bezbedonosno rešenje koje, na osnovu definisanih pravila, proverava saobraćaj koji dolazi do servera i preduzima potrebne radnje kako bi sprečio bilo kakve zlonamerne aktivnosti koje mogu prouzrokovati hakerski napadi ili malware.

Njihovom kombinacijom postavljamo dodatni nivo zaštite za internet prodavnicu i povećavamo nivo e-commerce bezbednosti. Upotreba anti-malware i firewall je naročito važna za zaštitu od phishing napada. Takve vrste napada najčešće se manifestuju prikrivenim instaliranjem zlonamernih softvera koji prikupljaju poverljive informacije (šifre ili finansijske podatke) i prosleđuju ih trećoj strani koja ih može zloupotrebiti.

3. Korišćenje jakih, jedinstvenih lozinki i dodatnih načina autentikacije

Ove teme smo se donekle dotakli ranije. Upotreba velikih i malih slova, brojeva i specijalnih karaktera prilikom kreiranja lozinke će svakako otežati posao hakerima. Nakon kreiranja, lozinku treba menjati u redovnim vremenskim intervalima. Admin panel e-commerce prodavnice treba podesiti tako da pristup panelu imaju samo definisane IP adrese.

Još jedan način da povećate e-commerce bezbednost je i uvođenje dva nivoa autentiikacije (Two-Factor Authentication) ili 2FA. Ova bezbednosna mera funkcioniše tako što prilikom logovanja u korisnički nalog (web aplikacija ili uređaj) server na kome se nalazi ovaj nalog šalje zahtev za dodatnim načinom provere. Ovaj dodatni oblik provere je nezavisan od prvog i sistem ne dozvoljava pristup korisničkom nalogu ukoliko korisnik nije prošao obe autentikacije. Postoji više tipova 2FA metoda:

  • Push notifikacija na mobilnom uređaju – pojavljuje se notifikacija koja vas pita da potvrdite pristup nalogu,
  • Kod koji se šalje na mobilni uređaj – aplikacija za autentikaciju (Google Authenticator npr.) kreira kod koji je potrebno uneti prilikom pristupa nalogu,
  • Slanjem koda putem SMS – na mobilni uređaj se šalje SMS sa kodom koji je potrebno uneti,
  • Slanjem koda putem email-a – slično prethodnoj metodi samo u ovom slučaju kod se šalje putem email,
  • Fizički token – mali uređaj koji kontinualno kreira kod za pristup.

Napomenuo bih da je ovo i jedan od osnovnih načina da se zaštitimo od domain hijacking-a tj. krađe domena. Naziv domena može biti ukraden na nekoliko načina, ali je najčešći i ujedno i najjednostaviji onaj u kojem dolazi do preuzimanje kontrole nad nalogom korisnika kod ovlašćenog registra ili kod hosting provajdera čije sisteme veliki broj korisnika koristi za upravljanje DNS zapisima za svoje nazive domena. Više o krađi domena i načinima na koje možete povećati bezbednost svog domena pročitajte u tekstu na sajtu domen.rs.

Najčešći razlozi zašto se vrši domain hijacking su:

  • Redirekcija saobraćaja
  • Preusmeravanje email komunikacije
  • Pharming
  • Phishing
  • Preprodaja domena
  • Transfer domena

4. Redovan update internet prodavnice i third-party integracija

E-commerce bezbednost je konstantna igra mačke i miša. Hakeri pronađu bezbedonosni propust u web aplikaciji ili third-party integraciji. Softver inžinjeri uklone taj propust. U slučaju da se koristi neka od e-commerce platformi onda je ovaj proces u manjoj ili većoj meri automatizovan. U slučaju da se koristi sopstveno rešenje onda je odgovornost za testiranje, update i otklanjanje bezbedonosnih propusta isključivo na vama. Ista je situacija i sa third-party integracijama.

Redovnim i pravilnim održavanjem internet prodavnice i aplikacija smanjujemo mogućnost od napada u vidu kompjuterskih virusa (vrsta malware) i time povećavamo e-commerce bezbednost.

5. Implementacija PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS je set bezbedonosnih polisa i standarda sa ciljem da :

  • Optimizuje bezbednost svih transakcija
  • Zaštiti lične podatke vlasnika platne kartice i spreči zloupotrebu

Organizacija koja se brine o sprovođenju PCI DSS zove se Payment Card Industry Security Standards Council i njeni osnivači su Visa, MasterCard, American Express, Discover i JCB. Svi biznisi koji se bave prihvatanjem, prenosom i čuvanjem podataka vlasnika platnih kartica dužni su da budu usklađeni sa ovim standardom.

Usklađenost sa PCI DSS je važno iz sledećih razloga:

  • Sprečava finansijske prevare i hakerske napade radi prikupljanja podataka o korisnicima internet prodavnice,
  • Gradi poverenje korisnika u e-commerce brend,
  • Otklanja potrebu da se podaci o platnim karticama korisnika skladište na sopstvenim serverima i na taj način povećava e-commerce bezbednost i smanjuje troškove servera.

Više o PCI DSS možete saznati OVDE.

eCommerce bezbednost: važan korak ka uspehu online biznisa

Postaviti e-commerce bezbednost na odgovarajući nivo je vitalan korak ka uspehu jednog biznisa. Primena saveta iz ovog posta, kao i redovno praćenje i prilagođavanje dešavanjima iz oblasti e-commerce bezbednosti, pružiće vašim korisnicima iskustvo kupovine u koju mogu imati poverenja.

Imajte na umu da, kada je u pitanju e-commerce bezbednost, nekada je dovoljna i jedna jedina greška i vaš e-commerce biznis je propao zauvek. Zato bih na kraju istakao da je podjednako važno investirati u bezbednost kao i u marketing ili veb dizajn.


Želiš da podeliš svoje mišljenje o ovoj temi? Komentari su otvoreni na našoj Facebook i LinkedIn stranici!

Popularno

Startapi i poslovanje

Institut BioSens otvorio novi poziv za akcelerator namenjen IT i poljoprivrednim startapima

Institut BioSens pozvao je inovativne startape iz IT i poljoprivrednog sektora da učestvuju u trećem izdanju akceleratora i na taj način nastavlja dobru praksu pružanja podrške inovativnim preduzetnicima u razvoju ideja koje će doprineti digitalnoj transformaciji poljoprivrede.

Gaming

Wargaming Forge: Novi edukativni program o kreiranju globalnih video igra – uz potencijalno zaposlenje

Industrija razvoja video igara jeste zanimljiva, ali u isto vreme kompleksna stvar. Potencijale talenata koji tu istu industriju grade, prepoznala je kompanija Wargaming koja je pored kancelarija u Beogradu, otvorila i 'Forge' program prakse, sa čijom smo programskom menadžerkom razgovarali.

Startapi i poslovanje

Srpski NOVELIC prodao 54% udela indijskoj kompaniji Sona za 40,5 miliona evra

Indijska kompanija Sona Comstar potvrdila je kupovinu 54% udela u kapitalu za €40,5 miliona srpske kompanije Novelic, osnovane 2012. godine. Ova domaća kompanija razvija radarske senzore bazirane na milimetarskim talasima za auto, IoT i robotsku industriju.

Propustili ste

Upoznajte poslodavce

Zašto je EY akvizirao Zilker – IT kompaniju sa velikom kancelarijom u Beogradu?

U trci zvanoj digitalna transformacija ne učestvuju više samo IT kompanije i agencije. Njima su se priključile i konsultantske kuće, pri čemu je jedna od najpoznatijih još 2020. godine akvizirala IT kompaniju sa značajnim razvojnim odeljenjem u srpskoj prestonici.

Startapi i poslovanje

Katapult akcelerator: Do €300.000 za najbolje domaće startape

Katapult akcelerator nudi obuku i intenzivno mentorstvo u tromesečnom trajanju od 8-16 sati nedeljno, kao i šansu za nepovratno sufinansiranje do 300.000 evra. U program je uključeno oko 40 domaćih i stranih mentora, a o tome koje sve uslove startapi treba da ispune kako bi postali deo programa, razgovarali smo sa Majom Anđelković, inicijatorkom projekta.

Startapi i poslovanje

NTP Beograd otvorio prijave za lokalno AIM Startup 2023 takmičenje – pobedniku sledi put u UAE

Startapi iz Srbije i ove godine imaju priliku da se predstave globalnoj publici i investitorima na međunarodnom investicionom skupu i startap takmičenju AIM 2023 u UAE, od 8. do 10. maja u Abu Dabiju. 

Internet marketing

Da li će digitalni marketing preživeti novu eru privatnosti?

Zbog potrebe da se istaknu u moru konkurencije, brendovi će morati ozbiljno da se posvete kreiranju kvalitetnog, relevantnog i kreativnog sadržaja.

Kultura 2.0

Vlada Srbije ulaže €52 miliona u izgradnju novog centra za kreativne industrije

Obeležen početak radova na rekonstrukciji nekadašnje zgrade Ložionice u kreativno-inovativni multifunkcionalni centar.

Startapi i poslovanje

OTP banka otvorila prijave za novi Generator ZERO 2023 konkurs

OTP banka je pokrenula novi ciklus Generator ZERO 2023 konkursa sa ciljem da podrži rešenja koja doprinose smanjenju karbonskog otiska i rastu zelene ekonomije.