15 способов защитить коммерческий сайт от взлома и мошенничества

25.06.2013 | 14:34 Аналитика

Хакеры крадут данные кредитных карт и другую конфиденциальную информацию с сайтов электронной торговли. Для защиты и спокойствия ваших клиентов очень важно знать, как защитить свой электронный бизнес и конфиденциальные данные клиентов. Эксперты по электронной коммерции и безопасности делятся 15-тью советами о том, как можно предотвратить мошенничество и сохранить ваш сайт в безопасности.

Кажется, не проходит и дня без новости о взломе сайта или краже кредитных карт и других уязвимых данных с сайтов электронной торговли.

Так как же защитить ваш сайт электронной коммерции от взлома и кражи конфиденциальных данных клиентов? Были опрошены десятки владельцев сайтов электронной коммерции и экспертов по безопасности. Ниже приведены топ-15 советов для защиты сайта электронной коммерции от взлома и мошенничества.

1. Выберите безопасную платформу электронной коммерции. «Разместите ваш сайт электронной торговли на платформе, которая использует сложный объектно-ориентированный язык программирования», говорит Шон Гесс, менеджер по разработкам программного обеспечения компании VoI Spply.

«Мы использовали много различных открытых платформ электронной коммерции в прошлом и тот, что мы используем сейчас, безусловно, самый безопасный,» — говорит Гесс. «Наша панель администрирования недоступна для злоумышленников, потому что она находится во внутренней сети, на серверах, не имеющих выход вовне. Она имеет дополнительную аутентификацию, чтобы идентифицировать пользователей внутренней сети Windows».

2. Используйте безопасное соединение для онлайн-заказов, и убедитесь, что вы PCI-совместимы (Payment Card Industry Data Security Standard (PCI DSS — стандарт безопасности данных индустрии платёжных карт). «Используйте надежную SSL аутентификацию для защиты сети и данных,» — говорит Рик Эндрюс, технический директор Trust Services, Symantec.

«Это может повысить доверие клиентов, и они поверят, что ваш сайт электронной торговли является безопасным, особенно если учесть, что число веб-атак увеличилось на 30% в прошлом году. Поэтому важно использовать SSL-сертификаты для аутентификации бизнес- и шифрованных данных при передаче», — говорит Эндрюс. «Это защищает вашу компанию и ваших клиентов от кражи финансовой или другой важной информации». Ещё лучше «интегрировать более сильный EV SSL (Extended Validation SSL — сертификаты с расширенной проверкой для защиты одного хоста), зелёную адресную строку (означает, что сайт имеет расширенную проверку сертификатов) и печать безопасности SSL (логотип, который размещается на защищенной странице, показывая состояние сертификата безопасности), с тем чтобы клиенты знали, что ваш сайт является безопасным.»

«SSL-сертификаты являются обязательными для сделок», — соглашается Гесс. «Для проверки кредитных карт мы используем платежный шлюз, который использует службу проверки сертификатов в реальном времени, прямо при оплате», — говорит он. «Это предотвращает мошеннические покупки путем сравнения введённого адреса с адресом, зарегистрированным в компании, выдавшей кредитную карту».

3. Не храните конфиденциальные данные. «Незачем хранить тысячи записей ваших клиентов, особенно номеров кредитных карт, сроков действия и CVV2 кодов (проверочного значения карты), говорит Крис Пог — директор цифровой криминалистики и реагирования на инциденты в Trustwave.

«На самом деле, это строго запрещено стандартами PCI», — говорит Пог. Он рекомендует удаление старых записей из базы данных и поддержание минимального количества данных, достаточных для возвратов и возмещений. «Риск взлома перевешивает удобство для ваших клиентов при оплате», — говорит он. «Если у вас нечего взять, вы не будете ограблены».

4. Используйте систему проверки адреса и карты. «Включите опцию системы проверки адреса (AVS) и требуйте проверочный код карты (CVV) для транзакций, чтобы уменьшить потери от мошенничества», — говорит Колин О’Делл, ведущий разработчик Magento для Unleashed Technologies.

5. Требуйте надежные пароли. «Поскольку в зоне ответственности розничного продавца безопасное хранение информации клиентов внутри сайта, вы можете помочь клиентам, требуя минимальное количество символов и использования символов и цифр», — говорит Сара Грейсон, старший менеджер по маркетингу Web Security Group в McAfee. «Длинные и сложные логины делают сложнее для преступников взлом с внешней стороны», — говорит она.

6. Установите систему предупреждения о подозрительной деятельности.«Установить предупредительные уведомления для множественных и подозрительных транзакций, исходящих с одного и того же IP-адреса», советует Дерик Ло, управляющий директор цифрового агентства Vault Labs. Кроме того, создайте систему оповещения для «несколько заказов, сделанных одним и тем же лицом с использованием различных кредитных карт, номеров телефонов, которые по региону заметно отличаются от платежного адреса, а также заказов, в котором имя получателя отличается от имени владельца карты».

7. Создайте несколько уровней безопасности. «Один из лучших способов сохранить свой бизнес в безопасности от киберпреступников — создать несколько уровней безопасности», — говорит Грейсон. «Начните с брандмауэра — важного аспекта в обороне против атакующих, работающего прежде, чем они могут взломать вашу сеть и получить доступ к критически важной информации». Далее, говорит она, «добавьте дополнительные уровни безопасности для веб-сайта и приложений, такие как формы данных, логинов и поисковых запросов». Эти меры «гарантируют, что ваша среда электронной коммерции защищена от атаки на уровне приложений, таких как внедрение SQL кода и межсайтового скриптинга (XSS)».

8. Проведите обучение по безопасности для сотрудников. Сотрудникам «нужно знать, что они никогда не должны отправлять по электронной почте или писать в чате конфиденциальные данные о клиентах, так как ни один из этих способов связи не является безопасным», — говорит Джейн Фридланд Холланд, начальник службы безопасности и главный юрисконсульт по технологиям фирмы NIC Ink.

«Работники также должны знать про законы и политики, которые связаны с данными клиента, и действовать так, чтобы держать их в безопасности», — говорит Холланд. Наконец, «использовать строгие письменные протоколы и политики, чтобы сотрудники придерживались утвержденных практик безопасности».

9.Используйте номера отслеживания для всех заказов. «Для борьбы с мошенническими возвратными платежами используйте номера отслеживания для каждого заказа, который вы посылаете», — советует Джон Вест, генеральный директор AddShoppers, социальной платформы розничной торговли. «Это особенно важно для предприятий розничной торговли, которые занимаются прямыми поставками».

10. Мониторьте сайт регулярно — и убедитесь, что хостинг-провайдер делает это тоже. «Всегда пользуйтесь аналитическими инструментами в режиме реального времени», — говорит Пунит Шах, директор по маркетингу ювелирного интернет-магазина My Trio Rings. «Это эквивалент установки камер видеонаблюдения в вашем магазине. Такие инструменты, как Woopra или Clicky позволяют вам наблюдать как посетители пользуются навигацией и взаимодействуют с вашим сайтом в режиме реального времени, что позволяет обнаруживать мошенничество или подозрительное поведение», — говорит он. «Благодаря таким инструментам мы получаем оповещения по телефонам, когда есть подозрительная активность, что позволяет нам действовать быстро и предотвращать причинение вреда».

Кроме того, убедитесь, что кто бы ни хостил ваш сайт электронной коммерции, «регулярно проводите мониторинг серверов на наличие вредоносных программ, вирусов и другого вредоносного программного обеспечения», — говорит Ян Роджерс, оптимизатор поиска (SEO) и веб-разработчик Mvestor Media. «Спросите у ваших существующих или потенциальных веб-хостеров: если у них есть план, который включает, по крайней мере, ежедневное сканирование, обнаружение и удаление вредоносных программ и вирусов на сайте?»

11. Регулярно выполняйте сканирование PCI. «Выполняйте регулярно ежеквартальное сканирование PCI через такие сервисы, как Trustwave, чтобы уменьшить риск уязвимости платформы вашей электронной коммерции для хакерских атак», — советует Вест. «Если вы используете стороннее программное обеспечение, как Magento или PrestaShop, используйте последние версии со всеми мерами по укреплению безопасности», — говорит он. «Несколько часов, потраченных на разработку сегодня, потенциально могут спасти весь бизнес в будущем».

12. Ставьте патчи на систему. «Ставьте патчи моментально — буквально в день когда выходит новая версия», — говорит Кайл Адамс, главный архитектор программного обеспечения Junos WebApp Secure в Juniper Networks. «Это включает в себя сам веб-сервер, а также код сторонних производителей — Java, Python, Perl, WordPress и Joomla, которые являются излюбленными целями для злоумышленников».

«На взломанных сайтах постоянно обнаруживаются версия трёхлетней давности PHP или ColdFusion 2007 года», говорит Пог. Так что критически важно — установить патчи на все программное обеспечение: «Ваши веб-приложения, XCart, OSCommerce, ZenCart и любые другие — все должны обновляться на регулярной основе».

13. Убедитесь, что у Вас есть защита от DDoS и служба смягчения последствий.«С увеличением частоты, сложности и количества целей DDoS атак («отказ в обслуживании»), сайтам электронной торговли следует обратиться к облачной защите от DDoS и управляемым сервисам DNS, чтобы предоставить транзакционные мощности для активного смягчения последствий и устранить необходимость значительных инвестиций в оборудование, инфраструктуру и экспертизу», — говорит Шон Лич, вице-президент по технологиям Verisign.

«Облачный подход поможет электронной коммерции сократить эксплуатационные затраты, укрепляя их защиту, пресекая даже самые крупные и наиболее сложные атаки», — рассуждает он. «Кроме того, управляемый облачный DNS-хостинг может помочь предоставить 100% DNS-решение, повышая доступность интернет-ориентированных систем, которые поддерживают онлайн-транзакции и коммуникации».

14. Подумайте о службе борьбы с мошенничеством. «Мошенничество случается. И для торговцев лучший вариант — это убедиться, что они не потеряют всё, когда это происходит», — говорит Боб Эгнерr, вице-президент по управлению продуктами EpiServer, контент-менеджменту .NET и продуктам электронной коммерции. «Большинство компаний, выпускающие кредитные карты, предлагают услуги в случае мошенничества и услуги возмещения платежа. Это практический подход, потому что большинство экспертов по безопасности знают, что нет такой вещи, как 100-процентная безопасность».

15. Убедитесь, что вы или ваш хостинг-провайдер делает бэкапы, и существует план аварийного восстановления.«Результаты недавнего исследования Carbonite показали, что предприятия имеют большие пробелы в своих планах резервного копирования, что угрожает потерей ценной информации в случае отключения электричества, сбоя жесткого диска или даже вируса», — говорит Дэвид Фрэнд, генеральный директор Carbonite. Таким образом, убедитесь, что ваш сайт должным образом защищён, делайте резервные копии регулярно, или убедитесь, что ваш провайдер делает это.