Cómo mantener su negocio de comercio electrónico a salvo de las amenazas de piratería
Publicado: 2017-10-31Con todo lo que se habla en la industria sobre la amenaza de la piratería, y Equifax está experimentando actualmente uno de los ataques más grandes hasta la fecha, vale la pena dar un paso atrás para darse cuenta de lo inseguro que puede ser realmente su negocio de comercio electrónico.
En el futuro, el mercado se volverá más sofisticado y comenzará a confiar más en las empresas que saben que mantendrán su información segura.
Como propietario de una tienda de comercio electrónico, tiene acceso a una gran cantidad de información confidencial, que normalmente se almacena en una computadora, lo que pone su negocio en riesgo de ser pirateado. Incluso si se trata de una operación más pequeña, no puede ignorar las amenazas que se plantean a su negocio a diario.
Metiendo la cabeza en la arena y asumiendo que no está enfrentando amenazas porque es una empresa más pequeña es el enfoque incorrecto a tomar, y uno que podría causarle un gran problema si un pirata informático alguna vez se da cuenta de que está ignorando la eficacia probada. medidas de seguridad.
Si desea asegurarse de que su empresa y sus clientes no solo estén a salvo de la amenaza de los piratas informáticos, sino que también obliguen a los piratas informáticos a darse por vencidos antes de que intenten romper su seguridad, aquí hay 15 formas diferentes en las que puede garantizar que su negocio de comercio electrónico sea seguro.
# 1 - Utilice una plataforma de comercio electrónico segura.
Este es el factor más importante que afectará la seguridad de su tienda.
Si, por ejemplo, está utilizando WooCommerce, debe asegurarse de que siempre esté actualizado a la última versión, que mantenga WordPress actualizado a la última versión y que se asegure de que todos los complementos que está utilizando se mantengan actualizados.
La mayoría de las plataformas de comercio electrónico convencionales, como Shopify, tendrán medidas de seguridad para mantener seguros los datos de sus clientes.
Sin embargo, si está utilizando una nueva plataforma de comercio electrónico, o una que no pone un gran énfasis en la seguridad, querrá comenzar a migrar a una plataforma más desarrollada, una que comprenda la seguridad y cómo mantener un alto nivel de seguridad.
El software desactualizado es una de las principales causas de violaciones de seguridad, y los piratas informáticos pueden utilizar "huellas" que el software deja para encontrar tiendas que pueden estar desactualizadas. Luego, pueden apuntar a esas tiendas una a la vez.
# 2 - Asegúrese de que su pago sea seguro.
Su área de pago es uno de los principales objetivos de su tienda.
Algunos piratas informáticos intentarán secuestrar la base de datos donde se almacena la información de su cliente, mientras que otros intentarán interceptar esos datos a medida que se ingresan en su formulario de pago y luego se transmiten a un servidor de procesamiento.
Esto afecta, en gran parte, a la plataforma en la que está alojando su tienda de comercio electrónico.
Sin embargo, también puede implementar funciones de seguridad como SSL encriptado y pagos seguros para asegurarse de que los piratas informáticos no puedan interceptar la información que se transfiere.
Un certificado SSL cifrará la información que su cliente ha ingresado antes de que se transmita, de modo que incluso si un pirata informático puede interceptarlo, no podrá hacer nada con la información que ha recopilado.
# 3 - No almacene datos confidenciales.
Si Equifax es una prueba, los piratas informáticos confían en las empresas y negocios que almacenan información confidencial y luego dejan que los protocolos de seguridad caduquen para que puedan aprovechar los agujeros para acceder a esa información por sí mismos.
Equifax se dedica a recopilar y almacenar información confidencial de las personas, lo que las convirtió en un objetivo principal para los piratas informáticos. Es fácil decir que esta no es la primera vez que los piratas informáticos intentan obtener acceso a sus servidores y bases de datos. Probablemente no sea la centésima vez.
En su mayor parte, para administrar su negocio de manera eficiente, realmente no necesita almacenar ninguna información fuera del nombre de su cliente, la dirección de correo electrónico, la dirección particular, el número de teléfono, el nombre de usuario y la contraseña.
Si recopila y almacena esa información, debe asegurarse de que se almacene en una base de datos segura y cifrada. También debe asegurarse de que sus clientes sepan que no deben usar la misma contraseña para su tienda que usan para otras cuentas confidenciales, como su correo electrónico o cuentas bancarias.
# 4 - Utilice un sistema de verificación CVV.
Un CVV, o valor de verificación de la tarjeta de crédito, lo ayuda a limitar la cantidad de transacciones fraudulentas al requerir que el cliente tenga su tarjeta de crédito en su posesión física para poder leer el número CVV en el reverso de la tarjeta.
Si bien esta estrategia no lo ayudará a eliminar por completo el fraude con tarjetas de crédito en su tienda, puede reducir drásticamente las posibilidades.
Muchos piratas informáticos no tendrán la tarjeta física frente a ellos, por lo que no podrán ingresar el CVV adecuado para seguir adelante con la transacción. Si no tienen el número CVV, no podrán cometer fraude con tarjetas de crédito.
Nuevamente, esto no detendrá todos los fraudes, pero puede reducir las posibilidades de que tenga devoluciones de cargo y cargos fraudulentos en su tienda. Si el pirata informático puede obtener el CVV de la tarjeta de crédito que está utilizando para realizar compras fraudulentas, aún puede seguir adelante.
# 5 - Requiere contraseñas seguras.
A veces, los piratas informáticos ni siquiera necesitan violar su seguridad debido a fallas de software, registradores de pulsaciones de teclas o cualquier otro medio centrado en el software.
A veces, todo lo que se necesita es que accedan a una contraseña débil y la usen para hacerse cargo de cualquier base de datos donde tenga almacenada información confidencial.
Es por eso que necesita exigir que tanto sus clientes como su personal utilicen contraseñas seguras. Esto es especialmente cierto si los miembros de su personal tienen acceso a las áreas donde está almacenando información confidencial, si la está almacenando.
Además de asegurarse de que sus clientes sepan que no deben usar la misma contraseña para el inicio de sesión de la tienda que usan para sus cuentas de correo electrónico o cuentas bancarias, también debe asegurarse de que les solicite que usen una contraseña segura.
Una contraseña verdaderamente segura combina una combinación de letras mayúsculas y minúsculas, números y símbolos. Estos son casi imposibles de atacar por "fuerza bruta" y no se pueden adivinar.
# 6 - Monitorea la actividad sospechosa.
Si su tienda está siendo atacada por piratas informáticos, puede usar la información que le brindan para asegurarse de que su tienda sea segura.
La mejor manera de asegurarse de que está por delante de los piratas informáticos es averiguar qué están haciendo ahora y trabajar activamente para asegurarse de que esas partes de su tienda estén protegidas.
Sin embargo, mantenerse al día con los piratas informáticos podría requerir que obtenga una posición en el "oscuro vientre de Internet", donde se llevan a cabo la mayoría de las conversaciones sobre los últimos hacks y exploits.
O puede comenzar a monitorear la actividad sospechosa en su tienda.
Si un pirata informático ha dedicado energía a atacar una parte de su tienda, puede asumir con seguridad que hay un pirateo o una explotación que se centra en esa parte de las tiendas de comercio electrónico. Por ejemplo, si están atacando su pantalla de inicio de sesión, sabe que es hora de asegurarse de que su pantalla de inicio de sesión sea segura.
Sin embargo, para obtener este nivel de conocimiento, debe monitorear activamente lo que está sucediendo en su tienda y luego comprender lo que debe hacer para aumentar su seguridad en esas áreas.
# 7 - Utilice seguridad por capas.
La seguridad por capas se refiere a tener diferentes capas por las que los piratas informáticos deberán atravesar antes de que realmente puedan acceder a información confidencial, si la está almacenando.
Para aumentar su seguridad, primero querrá asegurarse de tener un firewall en su lugar y de que está utilizando un certificado SSL para cifrar las transacciones que se realizan a través de su servidor.
Luego, querrá agregar otras capas a la tienda según las aplicaciones que esté utilizando. Por ejemplo, proteger su formulario de contacto, formularios de inicio de sesión y consultas de búsqueda, y mantener esa información separada de la información de su cliente puede hacer que los ataques SQL sean inútiles.
Los ataques SQL inyectarán información en su base de datos que permite a los piratas informáticos acceder a ella, y si está almacenando información del cliente en la misma base de datos que la información recopilada de los formularios en el front-end de su tienda, podría estar creando un riesgo de seguridad. .
# 8 - Si tiene empleados, capacítelos.
Los empleados pueden ser uno de los puntos más débiles de su seguridad. Es parte de la naturaleza humana relajarse y no pensar en partes del negocio que no están en la descripción de su trabajo.
La seguridad, en este caso, es uno de los primeros aspectos a ignorar, ya que sus empleados suponen que alguien más se ha ocupado de ello.
Para darle un ejemplo, sus empleados podrían estar recopilando información confidencial de sus clientes durante las sesiones de chat o en un registro de correo electrónico, y no hacer nada con la información una vez finalizada la sesión de chat.
Debe asegurarse de que sus empleados estén bien capacitados (y que su capacitación permanezca actualizada) para asegurarse de que no causen agujeros en sus políticas de seguridad y pongan en riesgo la información de sus clientes.
Debe haber políticas escritas y documentación, y sus empleados deben conocer las leyes y cómo rigen el manejo de información confidencial.
# 9 - Proporcione números de seguimiento a sus clientes.
La seguridad del comercio electrónico no solo debe centrarse en mantener a los piratas informáticos alejados de la información de sus clientes.
También debe asegurarse de que los piratas informáticos no puedan usar tarjetas de crédito robadas para realizar pedidos en su tienda y de que los clientes no puedan enviar compras fraudulentas por compras que realmente hayan realizado.
Las devoluciones de cargo y las reclamaciones por fraude ocurren con mucha más frecuencia de lo que deberían. Un gran número de piratas informáticos son responsables de la mayoría de ellos, pero algunos provienen de clientes que han decidido que ya no quieren pagar por los productos que han comprado.
Mientras conservan la posesión de los productos, presentarán una devolución de cargo en su banco o institución financiera, o alegarán que hubo actividad fraudulenta en su cuenta, dejándolo a usted con la bolsa.
Para combatir este problema, asegúrese de utilizar números de seguimiento para el pedido y los detalles de envío. También desea asegurarse de estar rastreando las direcciones IP, las ubicaciones donde se realizaron los pedidos y otra información que pueda usar para verificar que los cargos fueran legítimos.
# 10 - Monitorea tu tienda y hospeda con frecuencia.
Incluso si está utilizando una plataforma de comercio electrónico convencional, no siempre puede sentarse y relajarse, asumiendo que ellos se encargan de su seguridad.
Para hacer esto, deberá asegurarse de tener análisis en tiempo real, de modo que pueda determinar de dónde proviene el tráfico y cómo ese tráfico está afectando su ancho de banda.
Si nota que tiene una gran cantidad de tráfico proveniente de un solo lugar, puede asumir con seguridad que es un pirata informático. Herramientas como Clicky y Woopra pueden enviarle alertas cada vez que detectan una actividad sospechosa, según la forma en que los usuarios interactúan con su tienda.
También deberá asegurarse de que quien esté alojando su tienda de comercio electrónico también esté monitoreando la actividad. Si notan que hay actividad sospechosa, o descubren que se han instalado troyanos y malware, deben hacer lo que sea necesario para eliminar las amenazas sin su intervención.
# 11 - Realice escaneos PCI.
Realizar análisis de PCI en su tienda y servidores cada 3-4 meses puede ayudarlo a reducir las posibilidades de que su tienda sea vulnerable a los piratas informáticos. Los escaneos PCI lo ayudarán a descubrir qué áreas son actualmente vulnerables sin que tenga que adelantarse a la industria de la piratería.
Esto es especialmente cierto si usted mismo aloja la tienda, utilizando software como Prestashop, Drupal o Magento. Estas plataformas requieren que usted se ocupe de la seguridad por su cuenta, pero normalmente lanzarán actualizaciones del software a medida que identifican nuevas amenazas.
Las pocas horas que dedique a actualizar y proteger su software, y auditar lo que le muestra el escaneo PCI, pueden ahorrarle mucho a largo plazo. Recuerde, los objetivos más fáciles son las tiendas que no están actualizadas con el software y las actualizaciones de seguridad.
# 12 - Mantenga sus sistemas actualizados.
Ya se ha dicho, pero mantener sus sistemas y aplicaciones actualizados es fundamental para mantener su seguridad. Parchear sus sistemas, literalmente, el día en que se lanza un nuevo parche es cómo mantiene su tienda segura.
Da un paso atrás y piénsalo por un segundo.
Si está alojando su tienda y está utilizando Magento, y el equipo de desarrollo de Magento publica un aviso de que han parcheado una nueva vulnerabilidad de seguridad, es seguro decir que al menos algunos piratas informáticos conocían la vulnerabilidad.
Sin embargo, ¿después de que Magento lo anuncie al mundo? Sustancialmente más hackers lo saben y pueden activar sus bots y scripts para comenzar a rastrear las tiendas Magento que aún ejecutan la versión defectuosa del software.
Cuando los desarrolladores publiquen un aviso de que hay una nueva actualización, especialmente aquellos que abordan fallas de seguridad, tómese el tiempo para actualizar sus sistemas. Eres oficialmente un objetivo una vez que publican el aviso.
# 13 - Utilice un servicio de protección DDoS.
Los ataques DDoS o de denegación de servicio distribuidos no son necesariamente un "hack", en el sentido general de la palabra, pero son un método que los hackers pueden utilizar para deshabilitar completamente su tienda y desconectarla.
Estos tipos de ataques ocurren con mucha más frecuencia que antes, y el nivel de sofisticación, junto con los tipos de objetivos que están siendo atacados, también ha aumentado.
La mejor manera de combatir estos ataques es alojar su tienda en la nube y utilizar un servicio que pueda migrar su tienda a otro servidor si detectan un ataque DDoS.
# 14 - Piense en los servicios de gestión de fraudes.
Es lamentable, pero el fraude ocurre. Para un comerciante, lo mejor que puede hacer es asegurarse de que no se quede con la bolsa en la mano cada vez que ingresen cargos fraudulentos a través de su tienda.
Cada vez más empresas de procesamiento de tarjetas de crédito ofrecen nuevos servicios para ayudarlo a mitigar su riesgo de fraude y garantizar que tenga más dinero en su bolsillo.
Pueden ayudarlo a eliminar el fraude antes de que suceda y cubrir su parte cuando tenga que validar cargos que los consumidores hicieron legítimamente.
# 15 - Disponga de un plan de recuperación ante desastres.
No es suficiente simplemente hacer una copia de seguridad de su tienda, base de datos, correos electrónicos y archivos de clientes. También debe asegurarse de tener una estrategia de recuperación implementada en caso de que algo suceda y lo pierda todo.
Podría haber brechas en su estrategia de respaldo que deberá cerrar. Por ejemplo, si está almacenando las copias de seguridad en el sitio, podría experimentar un corte de energía que también deje fuera de servicio sus servidores de respaldo.
Para evitar esto, asegúrese de que su sitio web esté debidamente protegido y de que realice copias de seguridad de sus archivos con regularidad. Luego, desea asegurarse de que esos archivos estén alojados fuera del sitio y de que puede restaurar fácilmente su negocio si ocurre algo catastrófico.
Como ha demostrado Equifax, ninguna empresa es realmente tan segura que no puedan ser atacados por piratas informáticos.
Como propietario de una tienda de comercio electrónico, su empresa podría ser un objetivo aún mayor porque la mayoría de los piratas informáticos asumen que los propietarios de pequeñas y medianas empresas no brindan a la seguridad la atención que realmente merece.
Eso significa que debe prestar atención y prestar atención a las 15 áreas diferentes que hemos desglosado para usted aquí. Asegurarse de que su tienda de comercio electrónico sea segura puede llevar algo de tiempo desde el principio, pero el tiempo que dedique ahora podría ahorrarle una tonelada de tiempo y dinero en el futuro.
No permita que sus clientes tengan que lidiar con el robo de identidad, como muchos clientes de Equifax tienen que lidiar en este momento. Mantenerse fuera de la misma posición es fácil de hacer, cuando sabe qué áreas de su negocio deben abordarse.