Cara Menjaga Bisnis eCommerce Anda Aman Dari Ancaman Peretasan

Dengan semua pembicaraan di industri tentang ancaman peretasan, dan Equifax saat ini mengalami salah satu peretasan terbesar hingga saat ini, ada baiknya mengambil langkah mundur untuk menyadari betapa tidak amannya bisnis eCommerce Anda sebenarnya.

Ke depan, pasar akan menjadi lebih canggih dan mulai menaruh lebih banyak kepercayaan pada bisnis yang mereka tahu akan menjaga keamanan informasi mereka.

Sebagai pemilik toko eCommerce, Anda memiliki akses ke sejumlah besar informasi sensitif, yang biasanya disimpan di komputer, membuat bisnis Anda berisiko diretas. Bahkan jika Anda adalah operasi yang lebih kecil, Anda tidak dapat mengabaikan ancaman yang dihadapi bisnis Anda setiap hari.

Menempelkan kepala Anda di pasir dan berasumsi bahwa Anda tidak menghadapi ancaman karena Anda adalah bisnis yang lebih kecil adalah pendekatan yang salah untuk diambil, dan pendekatan yang dapat membuat Anda dalam masalah besar jika seorang peretas mengetahui bahwa Anda mengabaikan terbukti langkah-langkah keamanan.

Jika Anda ingin memastikan bisnis dan pelanggan Anda tidak hanya aman dari ancaman peretas, tetapi memaksa peretas untuk menyerah sebelum mereka mencoba merusak keamanan Anda, berikut adalah 15 cara berbeda untuk memastikan bisnis eCommerce Anda aman.

#1 - Gunakan platform eCommerce yang aman.

Ini adalah faktor terbesar yang akan mempengaruhi keamanan toko Anda.

Jika Anda, misalnya, menggunakan WooCommerce, Anda perlu memastikan bahwa itu selalu diperbarui ke rilis terbaru, bahwa Anda terus memperbarui WordPress ke rilis terbaru, dan bahwa Anda memastikan semua plugin yang Anda gunakan tetap diperbarui.

Sebagian besar platform eCommerce arus utama, seperti Shopify, akan memiliki langkah-langkah keamanan untuk menjaga keamanan data pelanggan Anda.

Namun, jika Anda menggunakan platform eCommerce baru, atau platform yang tidak terlalu menekankan keamanan, Anda sebaiknya mulai bermigrasi ke platform yang lebih berkembang -- platform yang memahami keamanan dan cara mempertahankan tingkat keamanan yang tinggi. keamanan.

Perangkat lunak usang adalah salah satu penyebab terbesar pelanggaran keamanan, dan peretas dapat memanfaatkan "jejak kaki" yang ditinggalkan perangkat lunak untuk menemukan toko yang mungkin ketinggalan zaman. Mereka kemudian dapat menargetkan toko tersebut satu per satu.

#2 - Pastikan checkout Anda aman.

Area checkout Anda adalah salah satu target terbesar di toko Anda.

Beberapa peretas akan mencoba untuk membajak database tempat informasi pelanggan Anda disimpan, sementara yang lain akan mencoba untuk mencegat data tersebut saat dimasukkan ke dalam formulir pembayaran Anda dan kemudian dikirimkan ke server pemrosesan.

Ini memainkan, sebagian besar, ke platform tempat Anda menghosting toko eCommerce Anda.

Namun, Anda juga dapat menerapkan fitur keamanan seperti SSL terenkripsi dan checkout aman untuk memastikan peretas tidak dapat mencegat informasi yang ditransfer.

Sertifikat SSL akan mengenkripsi informasi yang telah dimasukkan pelanggan Anda sebelum dikirimkan sehingga meskipun peretas dapat mencegatnya, mereka tidak akan dapat melakukan apa pun dengan informasi yang telah mereka kumpulkan.

#3 - Jangan simpan data sensitif.

Jika Equifax adalah bukti, peretas bergantung pada perusahaan dan bisnis yang menyimpan informasi sensitif dan kemudian membiarkan protokol keamanan terlewati sehingga mereka dapat memanfaatkan celah untuk mengakses informasi itu sendiri.

Equifax berkecimpung dalam bisnis pengumpulan dan penyimpanan informasi sensitif orang, yang membuat mereka menjadi target utama peretas. Sangat mudah untuk mengatakan bahwa ini bukan pertama kalinya peretas mencoba mendapatkan akses ke server dan basis data mereka. Mungkin bukan yang ke-100 kalinya.

Sebagian besar, untuk menjalankan bisnis Anda secara efisien, Anda benar-benar tidak perlu menyimpan informasi apa pun di luar nama pelanggan, alamat email, alamat rumah, nomor telepon, login, dan kata sandi pelanggan Anda.

Jika Anda mengumpulkan dan menyimpan informasi itu, Anda perlu memastikan bahwa informasi itu disimpan di database terenkripsi yang aman. Anda juga perlu memastikan pelanggan Anda tahu untuk tidak menggunakan kata sandi yang sama untuk toko Anda yang mereka gunakan untuk akun sensitif lainnya, seperti email atau rekening bank mereka.

#4 - Gunakan sistem verifikasi CVV.

Sekali lagi, ini tidak akan menghentikan semua penipuan, tetapi dapat mengurangi kemungkinan Anda memiliki tolak bayar dan tagihan penipuan di toko Anda. Jika peretas bisa mendapatkan CVV dari kartu kredit yang mereka gunakan untuk melakukan pembelian palsu, mereka masih bisa bergerak maju.

#5 - Memerlukan kata sandi yang kuat.

Terkadang, peretas bahkan tidak perlu merusak keamanan Anda karena gangguan perangkat lunak, keylogger, atau cara lain yang berfokus pada perangkat lunak.

Terkadang, yang diperlukan hanyalah mereka mengakses kata sandi yang lemah dan menggunakannya untuk mengambil alih basis data tempat Anda menyimpan informasi sensitif.

Itulah mengapa Anda perlu mewajibkan pelanggan Anda, dan staf Anda untuk menggunakan kata sandi yang aman. Ini terutama benar jika anggota staf Anda memiliki akses ke area tempat Anda menyimpan informasi sensitif, jika Anda menyimpannya.

Selain memastikan pelanggan Anda tahu untuk tidak menggunakan kata sandi yang sama untuk login toko mereka yang mereka gunakan untuk akun email atau akun perbankan mereka, Anda juga ingin memastikan bahwa Anda mengharuskan mereka untuk menggunakan kata sandi yang aman.

Kata sandi yang benar-benar aman menggabungkan campuran huruf besar dan kecil, angka, dan simbol. Ini hampir tidak mungkin untuk "brute force" menyerang, dan tidak bisa ditebak.

#6 - Pantau aktivitas mencurigakan.

Jika toko Anda menjadi sasaran peretas, Anda dapat menggunakan informasi yang mereka berikan untuk membantu memastikan toko Anda aman.

Cara terbaik untuk memastikan Anda berada di depan para peretas adalah dengan mencari tahu apa yang mereka lakukan sekarang, dan secara aktif bekerja untuk memastikan bagian-bagian dari toko Anda telah diamankan.

Namun, mengikuti perkembangan peretas dapat mengharuskan Anda untuk mendapatkan posisi di "perut gelap internet", di mana sebagian besar percakapan tentang peretasan dan eksploitasi terbaru sedang berlangsung.

Atau, Anda dapat mulai memantau aktivitas mencurigakan di toko Anda.

Jika seorang peretas telah mencurahkan energi untuk menyerang satu bagian dari toko Anda, Anda dapat dengan aman berasumsi bahwa ada peretasan atau eksploitasi yang berfokus pada bagian toko eCommerce itu. Misalnya, jika mereka menyerang layar masuk Anda, Anda tahu bahwa inilah saatnya untuk memastikan layar masuk Anda aman.

Untuk mendapatkan tingkat kesadaran ini, Anda harus secara aktif memantau apa yang terjadi di toko Anda, dan kemudian memahami apa yang perlu Anda lakukan untuk meningkatkan keamanan Anda di area tersebut.

#7 - Gunakan keamanan berlapis.

Keamanan berlapis mengacu pada memiliki lapisan berbeda yang harus dilalui peretas sebelum mereka benar-benar dapat mengakses informasi sensitif, jika Anda menyimpannya.

Untuk melapisi keamanan Anda, pertama-tama Anda harus memastikan bahwa Anda memiliki firewall, dan bahwa Anda menggunakan sertifikat SSL untuk mengenkripsi transaksi yang dilakukan melalui server Anda.

Kemudian, Anda ingin menambahkan lapisan lain ke dalam toko berdasarkan aplikasi yang Anda gunakan. Misalnya, mengamankan formulir kontak, formulir login, dan kueri pencarian Anda, dan memisahkan informasi tersebut dari informasi pelanggan Anda dapat membuat serangan SQL menjadi sia-sia.

Serangan SQL akan menyuntikkan informasi ke dalam database Anda yang memungkinkan peretas mendapatkan akses ke sana, dan jika Anda menyimpan informasi pelanggan dalam database yang sama dengan informasi yang dikumpulkan dari formulir di front-end toko Anda, Anda dapat menciptakan risiko keamanan .

#8 - Jika Anda memiliki karyawan, latih mereka.

Karyawan dapat menjadi salah satu titik terlemah dalam keamanan Anda. Sudah menjadi sifat manusia untuk bersantai, dan tidak memikirkan bagian bisnis yang sebenarnya tidak ada dalam deskripsi pekerjaan mereka.

Keamanan, dalam hal ini, adalah salah satu aspek pertama yang diabaikan, dengan karyawan Anda menganggap orang lain telah mengurusnya.

Sebagai contoh, karyawan Anda dapat mengumpulkan informasi sensitif dari pelanggan Anda selama sesi obrolan atau dalam log email, dan tidak melakukan apa pun dengan informasi tersebut setelah sesi obrolan berakhir.

Anda perlu memastikan bahwa karyawan Anda terlatih dengan baik (dan pelatihan mereka tetap mutakhir) untuk memastikan mereka tidak menyebabkan lubang dalam kebijakan keamanan Anda, dan berpotensi membahayakan informasi pelanggan Anda.

Harus ada kebijakan dan dokumentasi tertulis, dan karyawan Anda harus mengetahui undang-undang dan cara mereka mengatur penanganan informasi sensitif.

#9 - Berikan nomor pelacakan kepada pelanggan Anda.

Keamanan eCommerce seharusnya tidak hanya difokuskan untuk menjauhkan peretas dari informasi pelanggan Anda.

Anda juga perlu memastikan bahwa peretas tidak dapat menggunakan kartu kredit curian untuk memesan di toko Anda, dan bahwa pelanggan tidak dapat mengirimkan pembelian penipuan untuk pembelian yang sebenarnya telah mereka lakukan.

Tagihan balik dan klaim penipuan terjadi jauh lebih sering daripada yang seharusnya. Sebagian besar peretas bertanggung jawab atas sebagian besar dari mereka, tetapi beberapa berasal dari pelanggan yang telah memutuskan bahwa mereka tidak lagi ingin membayar untuk produk yang telah mereka beli.

Sambil tetap memiliki produk, mereka akan mengajukan tolak bayar ke bank atau lembaga keuangan mereka, atau mengklaim ada aktivitas penipuan di akun mereka, meninggalkan Anda yang memegang tas.

Untuk mengatasi masalah ini, pastikan Anda menggunakan nomor pelacakan untuk pesanan dan detail pengiriman. Anda juga ingin memastikan bahwa Anda melacak alamat IP, lokasi tempat pesanan dilakukan, dan informasi lain yang dapat Anda gunakan untuk memverifikasi bahwa tagihan tersebut sah.

#10 - Pantau toko dan host Anda sesering mungkin.

Bahkan jika Anda menggunakan platform eCommerce arus utama, Anda tidak dapat selalu duduk dan bersantai, dengan asumsi bahwa mereka telah menjaga keamanan Anda.

Untuk melakukan ini, Anda harus memastikan bahwa Anda memiliki analitik waktu nyata, sehingga Anda dapat menentukan dari mana lalu lintas berasal, dan bagaimana lalu lintas itu memengaruhi bandwidth Anda.

Jika Anda melihat bahwa Anda memiliki sejumlah besar lalu lintas yang datang dari satu tempat, Anda dapat dengan aman menganggapnya sebagai peretas. Alat seperti Clicky dan Woopra dapat mengirimi Anda peringatan setiap kali mereka mendeteksi aktivitas yang mencurigakan, berdasarkan cara pengguna berinteraksi dengan toko Anda.

Anda juga harus memastikan bahwa siapa pun yang menghosting toko eCommerce Anda juga memantau aktivitas tersebut. Jika mereka melihat ada aktivitas yang mencurigakan, atau menemukan bahwa ada trojan dan malware yang diinstal, mereka harus melakukan apa yang diperlukan untuk menghapus ancaman tanpa campur tangan Anda.

#11 - Lakukan pemindaian PCI.

Melakukan pemindaian PCI di toko dan server Anda setiap 3-4 bulan dapat membantu Anda mengurangi kemungkinan toko Anda rentan terhadap peretas. Pemindaian PCI akan membantu Anda mengetahui area mana yang saat ini rentan tanpa Anda harus menjadi yang terdepan dalam industri peretasan.

Ini terutama benar jika Anda menghosting toko sendiri, menggunakan perangkat lunak seperti Prestashop, Drupal, atau Magento. Platform ini mengharuskan Anda untuk menjaga keamanan Anda sendiri, tetapi biasanya akan merilis pembaruan perangkat lunak saat mereka mengidentifikasi ancaman baru.

Beberapa jam yang Anda habiskan untuk memperbarui dan mengamankan perangkat lunak Anda, dan mengaudit apa yang ditunjukkan oleh pemindaian PCI, dapat menghemat banyak uang dalam jangka panjang. Ingat, target termudah adalah toko yang tidak mengikuti pembaruan perangkat lunak dan keamanan.

#12 - Perbarui sistem Anda.

Sudah dikatakan, tetapi menjaga sistem dan aplikasi Anda diperbarui sangat penting untuk menjaga keamanan Anda. Menambal sistem Anda, secara harfiah, hari saat tambalan baru dirilis adalah cara Anda menjaga keamanan toko Anda.

Ambil langkah mundur dan pikirkan sejenak.

Jika Anda menghosting toko Anda dan menggunakan Magento, dan tim pengembangan Magento merilis pemberitahuan bahwa mereka telah menambal kerentanan keamanan baru, aman untuk mengatakan bahwa setidaknya beberapa peretas tahu tentang kerentanan tersebut.

Namun, setelah Magento mengumumkannya kepada dunia? Secara substansial lebih banyak peretas yang tahu, dan dapat menjalankan bot dan skrip mereka untuk mulai melacak toko Magento yang masih menjalankan versi perangkat lunak yang cacat.

Saat pengembang merilis pemberitahuan bahwa ada pembaruan baru, terutama yang menangani kesalahan keamanan, luangkan waktu untuk memperbarui sistem Anda. Anda secara resmi menjadi target setelah mereka merilis pemberitahuan.

#13 - Gunakan layanan perlindungan DDoS.

DDoS, atau serangan penolakan layanan terdistribusi tidak selalu merupakan "peretasan", dalam pengertian umum, tetapi mereka adalah metode yang dapat digunakan peretas untuk sepenuhnya menonaktifkan toko Anda dan membuatnya offline.

Jenis serangan ini terjadi jauh lebih sering daripada sebelumnya, dan tingkat kecanggihannya, bersama dengan jenis target yang diserang juga meningkat.

Cara terbaik untuk memerangi serangan ini adalah dengan menghosting toko Anda di cloud, dan menggunakan layanan yang dapat memigrasikan toko Anda ke server lain jika mereka mendeteksi serangan DDoS yang terjadi.

#14 - Pikirkan tentang layanan manajemen penipuan.

Sangat disayangkan, tetapi penipuan memang terjadi. Untuk pedagang, hal terbaik yang dapat Anda lakukan adalah memastikan bahwa Anda tidak dibiarkan memegang tas setiap kali tuduhan penipuan datang melalui toko Anda.

Semakin banyak perusahaan pemrosesan kartu kredit yang menawarkan layanan baru untuk membantu Anda mengurangi risiko penipuan, dan memastikan bahwa Anda menyimpan lebih banyak uang di saku Anda.

Mereka dapat membantu Anda menghilangkan penipuan sebelum itu terjadi, dan menutupi akhir Anda ketika Anda harus memvalidasi tagihan yang dibuat secara sah oleh konsumen.

#15 - Siapkan rencana pemulihan bencana.

Tidak cukup hanya mencadangkan toko, database, email, dan file pelanggan Anda. Anda juga perlu memastikan bahwa Anda memiliki strategi pemulihan jika terjadi sesuatu dan Anda kehilangan semuanya.

Mungkin ada celah dalam strategi cadangan Anda yang harus Anda tutup. Misalnya, jika Anda menyimpan cadangan di tempat, Anda dapat mengalami pemadaman listrik yang juga mematikan server cadangan Anda.

Untuk menghindari hal ini, pastikan situs web Anda diamankan dengan benar, dan Anda mencadangkan file secara teratur. Kemudian, Anda ingin memastikan bahwa file-file tersebut di-host di luar situs dan Anda dapat dengan mudah memulihkan bisnis Anda jika terjadi bencana.

Seperti yang telah ditunjukkan Equifax, tidak ada bisnis yang benar-benar aman sehingga tidak dapat ditargetkan oleh peretas.

Sebagai pemilik toko eCommerce, bisnis Anda bisa menjadi target yang lebih besar karena sebagian besar peretas berasumsi bahwa pemilik usaha kecil hingga menengah tidak memberikan perhatian keamanan yang layak.

Itu berarti Anda perlu memperhatikan, dan memperhatikan 15 area berbeda yang telah kami uraikan untuk Anda di sini. Memastikan toko eCommerce Anda aman mungkin memerlukan beberapa waktu di awal, tetapi waktu yang Anda habiskan sekarang dapat menghemat banyak waktu dan uang di kemudian hari.

Jangan biarkan pelanggan Anda harus berurusan dengan pencurian identitas, seperti yang dihadapi banyak pelanggan Equifax saat ini. Menjaga diri Anda dari posisi yang sama mudah dilakukan, ketika Anda tahu area mana dalam bisnis Anda yang perlu ditangani.