Come proteggere la tua attività di e-commerce dalle minacce di hacking
Pubblicato: 2017-10-31Con tutti i discorsi del settore sulla minaccia dell'hacking ed Equifax che attualmente sta sperimentando uno dei più grandi hack fino ad oggi, vale la pena fare un passo indietro per rendersi conto di quanto possa essere davvero insicura la tua attività di e-commerce.
Andando avanti, il mercato diventerà più sofisticato e inizierà a riporre maggiore fiducia nelle aziende che sanno che manterranno le loro informazioni al sicuro.
In qualità di proprietario di un negozio di e-commerce, hai accesso a una grande quantità di informazioni sensibili, che in genere vengono archiviate su un computer, mettendo a rischio la tua attività di essere violata. Anche se sei un'operazione più piccola, non puoi ignorare le minacce che vengono poste quotidianamente alla tua attività.
Mettere la testa nella sabbia e presumere che non stai affrontando minacce perché sei un'azienda più piccola è l'approccio sbagliato da adottare, e uno che potrebbe portarti in grossi guai se un hacker dovesse mai capire che stai ignorando misure di sicurezza.
Se vuoi assicurarti che la tua azienda e i tuoi clienti non siano solo al sicuro dalla minaccia degli hacker, ma costringe gli hacker a arrendersi prima che tentino di violare la tua sicurezza, ecco 15 modi diversi per assicurarti che la tua attività di e-commerce sia sicura.
#1 - Utilizza una piattaforma di e-commerce sicura.
Questo è il fattore più importante che influirà sulla sicurezza del tuo negozio.
Se, ad esempio, stai utilizzando WooCommerce, devi assicurarti che sia sempre aggiornato all'ultima versione, che tu mantenga WordPress aggiornato all'ultima versione e che tutti i plugin che stai utilizzando rimangano aggiornati.
La maggior parte delle piattaforme di e-commerce tradizionali, come Shopify, disporranno di misure di sicurezza per proteggere i dati dei tuoi clienti.
Tuttavia, se stai utilizzando una nuova piattaforma di e-commerce, o una che non pone un'enfasi enorme sulla sicurezza, vorrai iniziare a migrare su una piattaforma più sviluppata, una che comprenda la sicurezza e come mantenere un alto livello di sicurezza.
Il software obsoleto è una delle principali cause di violazioni della sicurezza e gli hacker possono utilizzare le "impronte" lasciate dal software per trovare negozi che potrebbero essere obsoleti. Possono quindi scegliere come target quei negozi uno alla volta.
#2 - Assicurati che il tuo pagamento sia sicuro.
La tua area di pagamento è uno dei maggiori obiettivi del tuo negozio.
Alcuni hacker tenteranno di dirottare il database in cui vengono archiviate le informazioni del cliente, mentre altri tenteranno di intercettare tali dati mentre vengono inseriti nel modulo di pagamento e quindi trasmessi a un server di elaborazione.
Questo gioca, in gran parte, sulla piattaforma su cui stai ospitando il tuo negozio di eCommerce.
Tuttavia, puoi anche implementare funzionalità di sicurezza come SSL crittografato e checkout sicuri per assicurarti che gli hacker non possano intercettare le informazioni trasferite.
Un certificato SSL crittograferà le informazioni che il tuo cliente ha inserito prima che venga trasmesso in modo che anche se un hacker è in grado di intercettarlo, non sarà in grado di fare nulla con le informazioni che ha raccolto.
#3 - Non archiviare dati sensibili.
Se Equifax è una prova, gli hacker si affidano a società e aziende che archiviano informazioni sensibili e poi lasciano scadere i protocolli di sicurezza in modo da poter sfruttare i buchi per accedere a tali informazioni per se stessi.
Equifax si occupa di raccogliere e archiviare le informazioni sensibili delle persone, il che le ha rese un obiettivo primario per gli hacker. È facile dire che questa non è la prima volta che gli hacker tentano di accedere ai loro server e database. Probabilmente non è la centesima volta.
Per la maggior parte, per gestire la tua attività in modo efficiente, non hai davvero bisogno di memorizzare alcuna informazione al di fuori del nome, dell'indirizzo e-mail, dell'indirizzo di casa, del numero di telefono, del login e della password del tuo cliente.
Se raccogli e memorizzi tali informazioni, devi assicurarti che vengano archiviate su un database sicuro e crittografato. Devi anche assicurarti che i tuoi clienti sappiano di non utilizzare la stessa password per il tuo negozio che usano per altri account sensibili, come i loro account e-mail o bancari.
#4 - Usa un sistema di verifica CVV.
Un CVV, o valore di verifica della carta di credito, ti aiuta a limitare il numero di transazioni fraudolente richiedendo al cliente di avere la propria carta di credito in loro possesso fisico, al fine di leggere il numero CVV dal retro della carta.
Sebbene questa strategia non ti aiuti a eliminare completamente le frodi con carta di credito nel tuo negozio, puoi ridurre drasticamente le possibilità.
Molti hacker non avranno la carta fisica di fronte a loro, quindi non saranno in grado di inserire il CVV corretto per procedere con la transazione. Se non hanno il numero CVV, non potranno commettere frodi con carta di credito.
Ancora una volta, questo non fermerà tutte le frodi, ma può ridurre le possibilità che tu abbia storni di addebito e addebiti fraudolenti nel tuo negozio. Se l'hacker è in grado di ottenere il CVV dalla carta di credito che sta utilizzando per effettuare acquisti fraudolenti, può comunque procedere.
#5 - Richiedi password complesse.
A volte, gli hacker non hanno nemmeno bisogno di violare la tua sicurezza a causa di problemi software, keylogger o qualsiasi altro mezzo incentrato sul software.
A volte, tutto ciò che serve è che accedano a una password debole e la utilizzino per assumere il controllo di tutti i database in cui sono archiviate informazioni sensibili.
Ecco perché è necessario richiedere sia ai clienti che al personale di utilizzare password sicure. Ciò è particolarmente vero se i membri del tuo staff hanno accesso alle aree in cui stai archiviando informazioni sensibili, se le stai archiviando.
Oltre ad assicurarti che i tuoi clienti sappiano di non utilizzare la stessa password per l'accesso al negozio che usano per i loro account di posta elettronica o conti bancari, vuoi anche assicurarti di richiedere loro di utilizzare una password sicura.
Una password veramente sicura combina una combinazione di lettere maiuscole e minuscole, numeri e simboli. Questi sono quasi impossibili da attaccare con la "forza bruta" e non possono essere indovinati.
#6 - Monitora le attività sospette.
Se il tuo negozio è preso di mira da hacker, puoi utilizzare le informazioni che ti stanno fornendo per assicurarti che il tuo negozio sia sicuro.
Il modo migliore per assicurarti di stare al passo con gli hacker è capire cosa stanno facendo ora e lavorare attivamente per assicurarti che quelle parti del tuo negozio siano state protette.
Tuttavia, stare al passo con gli hacker potrebbe richiedere di ottenere una posizione nel "ventre oscuro di Internet", dove si svolgono la maggior parte delle conversazioni sugli ultimi hack ed exploit.
In alternativa, puoi iniziare a monitorare l'attività sospetta nel tuo negozio.
Se un hacker ha dedicato energia per attaccare una parte del tuo negozio, puoi tranquillamente presumere che ci sia un hack o un exploit che si concentra su quella parte dei negozi di e-commerce. Ad esempio, se stanno attaccando la tua schermata di accesso, sai che è il momento di assicurarti che la tua schermata di accesso sia sicura.
Per ottenere questo livello di consapevolezza, però, devi monitorare attivamente cosa sta succedendo al tuo negozio e poi capire cosa devi fare per aumentare la tua sicurezza in quelle aree.
#7 - Usa la sicurezza a più livelli.
La sicurezza a più livelli si riferisce all'avere diversi livelli che gli hacker dovranno superare prima che siano effettivamente in grado di accedere a informazioni sensibili, se le stai memorizzando.
Per aumentare la tua sicurezza, devi prima assicurarti di disporre di un firewall e di utilizzare un certificato SSL per crittografare le transazioni effettuate tramite il tuo server.
Quindi, ti consigliamo di aggiungere altri livelli nel negozio in base alle applicazioni che stai utilizzando. Ad esempio, proteggere il modulo di contatto, i moduli di accesso e le query di ricerca e mantenere tali informazioni separate dalle informazioni sui clienti può rendere inutili gli attacchi SQL.
Gli attacchi SQL iniettano informazioni nel tuo database che consentono agli hacker di accedervi e se stai archiviando le informazioni sui clienti nello stesso database delle informazioni raccolte dai moduli sul front-end del tuo negozio, potresti creare un rischio per la sicurezza .
#8 - Se hai dipendenti, formali.
I dipendenti possono essere uno dei punti deboli della tua sicurezza. È nella natura umana rilassarsi e non pensare a parti del business che non sono effettivamente nella loro descrizione del lavoro.
La sicurezza, in questo caso, è uno dei primi aspetti da ignorare, con i tuoi dipendenti che danno per scontato che qualcun altro se ne occupi.
Per farti un esempio, i tuoi dipendenti potrebbero raccogliere informazioni sensibili dai tuoi clienti durante le sessioni di chat o in un registro di posta elettronica e non fare nulla con le informazioni una volta terminata la sessione di chat.
Devi assicurarti che i tuoi dipendenti siano ben formati (e che la loro formazione rimanga aggiornata) per assicurarti che non causino falle nelle tue politiche di sicurezza e mettano potenzialmente a rischio le informazioni dei tuoi clienti.
Dovrebbero essere in vigore politiche e documentazione scritte e i dipendenti dovrebbero essere a conoscenza delle leggi e del modo in cui disciplinano la gestione delle informazioni sensibili.
#9 - Fornisci i numeri di tracciamento ai tuoi clienti.
La sicurezza dell'e-commerce non dovrebbe essere focalizzata solo a tenere gli hacker lontani dalle informazioni dei tuoi clienti.
Devi anche assicurarti che gli hacker non possano utilizzare carte di credito rubate per effettuare ordini nel tuo negozio e che i clienti non siano in grado di inviare acquisti fraudolenti per acquisti che hanno effettivamente effettuato.
Gli storni di addebito e le denunce di frode si verificano molto più spesso di quanto dovrebbero. Un gran numero di hacker è responsabile della maggior parte di essi, ma alcuni provengono da clienti che hanno deciso di non voler più pagare per i prodotti che hanno acquistato.
Pur mantenendo il possesso dei prodotti, presenteranno uno storno di addebito presso la loro banca o istituto finanziario, o dichiareranno che c'è stata un'attività fraudolenta sul loro conto, lasciandoti in mano la borsa.
Per combattere questo problema, assicurati di utilizzare i numeri di riferimento per l'ordine e i dettagli di spedizione. Vuoi anche assicurarti di tenere traccia degli indirizzi IP, delle posizioni in cui sono stati effettuati gli ordini e di altre informazioni che puoi utilizzare per verificare che gli addebiti fossero legittimi.
# 10 - Monitora il tuo negozio e ospita frequentemente.
Anche se stai utilizzando una piattaforma di e-commerce tradizionale, non puoi sempre sederti e rilassarti, supponendo che si occupino della tua sicurezza.
Per fare ciò, dovrai assicurarti di disporre di analisi in tempo reale, in modo da poter determinare da dove proviene il traffico e in che modo tale traffico influisce sulla larghezza di banda.
Se noti che hai una grande quantità di traffico proveniente da un unico luogo, puoi tranquillamente presumere che sia un hacker. Strumenti come Clicky e Woopra possono inviarti avvisi ogni volta che rilevano attività sospette, in base a come gli utenti interagiscono con il tuo negozio.
Dovrai anche assicurarti che chiunque stia ospitando il tuo negozio di eCommerce stia anche monitorando l'attività. Se notano attività sospette o scoprono che sono stati installati trojan e malware, dovrebbero fare ciò che è necessario per rimuovere le minacce senza il tuo intervento.
#11 - Esegui scansioni PCI.
L'esecuzione di scansioni PCI sul tuo negozio e sui server ogni 3-4 mesi può aiutarti a ridurre le possibilità che il tuo negozio sia vulnerabile agli hacker. Le scansioni PCI ti aiuteranno a capire quali aree sono attualmente vulnerabili senza che tu debba stare al passo con l'industria dell'hacking.
Ciò è particolarmente vero se stai ospitando il negozio da solo, utilizzando software come Prestashop, Drupal o Magento. Queste piattaforme richiedono che tu ti occupi della sicurezza da solo, ma in genere rilasceranno aggiornamenti al software man mano che identificano nuove minacce.
Le poche ore che dedichi all'aggiornamento e alla protezione del tuo software e al controllo di ciò che la scansione PCI ti sta mostrando, possono farti risparmiare enormemente a lungo termine. Ricorda, i bersagli più facili sono i negozi che non sono aggiornati con il software e gli aggiornamenti di sicurezza.
#12 - Mantieni aggiornati i tuoi sistemi.
È già stato detto, ma mantenere aggiornati i sistemi e le applicazioni è fondamentale per mantenere la sicurezza. Patchare i tuoi sistemi, letteralmente, il giorno in cui viene rilasciata una nuova patch è il modo in cui proteggi il tuo negozio.
Fai un passo indietro e pensaci un attimo.
Se stai ospitando il tuo negozio e stai utilizzando Magento e il team di sviluppo di Magento rilascia un avviso che ha corretto una nuova vulnerabilità di sicurezza, è sicuro dire che almeno alcuni hacker erano a conoscenza della vulnerabilità.
Tuttavia, dopo che Magento lo ha annunciato al mondo? Sostanzialmente più hacker lo sanno e possono attivare i loro bot e script per iniziare a rintracciare i negozi Magento che stanno ancora eseguendo la versione difettosa del software.
Quando gli sviluppatori rilasciano un avviso relativo a un nuovo aggiornamento, in particolare quelli relativi a problemi di sicurezza, prenditi del tempo per aggiornare i tuoi sistemi. Sei ufficialmente un bersaglio una volta rilasciato l'avviso.
#13 - Utilizza un servizio di protezione DDoS.
Gli attacchi DDoS o denial of service distribuito non sono necessariamente un "hack", nel senso generale della parola, ma sono un metodo che gli hacker possono utilizzare per disabilitare completamente il tuo negozio e portarlo offline.
Questi tipi di attacchi stanno accadendo molto più spesso di prima, e anche il livello di sofisticatezza, insieme ai tipi di obiettivi che vengono attaccati, è aumentato.
Il modo migliore per combattere questi attacchi è ospitare il tuo negozio sul cloud e utilizzare un servizio in grado di migrare il tuo negozio su un altro server se rilevano un attacco DDoS in corso.
#14 - Pensa ai servizi di gestione delle frodi.
È un peccato, ma le frodi accadono. Per un commerciante, la cosa migliore che puoi fare è assicurarti di non rimanere con la borsa in mano ogni volta che addebiti fraudolenti arrivano nel tuo negozio.
Sempre più società di elaborazione delle carte di credito offrono nuovi servizi per aiutarti a mitigare il rischio di frode e assicurarti di tenere più denaro in tasca.
Possono aiutarti a eliminare le frodi prima che si verifichino e coprire la tua parte quando devi convalidare addebiti legittimamente effettuati dai consumatori.
#15 - Avere un piano di ripristino di emergenza in atto.
Non è sufficiente eseguire semplicemente il backup del tuo negozio, database, e-mail e file dei clienti. Devi anche assicurarti di avere una strategia di recupero in atto nel caso in cui accada qualcosa e perdi tutto.
Potrebbero esserci delle lacune nella tua strategia di backup che dovrai colmare. Ad esempio, se stai archiviando i backup in loco, potresti riscontrare un'interruzione di corrente che disattiva anche i server di backup.
Per evitare ciò, assicurati che il tuo sito web sia adeguatamente protetto e di eseguire regolarmente il backup dei file. Quindi, vuoi assicurarti che quei file siano ospitati fuori sede e che tu possa facilmente ripristinare la tua attività se accade qualcosa di catastrofico.
Come ha dimostrato Equifax, nessuna azienda è così sicura da non poter essere presa di mira dagli hacker.
In qualità di proprietario di un negozio di e-commerce, la tua attività potrebbe essere un obiettivo ancora più grande perché la maggior parte degli hacker presume che i proprietari di piccole e medie imprese non diano alla sicurezza l'attenzione che merita davvero.
Ciò significa che devi prestare attenzione e prestare attenzione alle 15 diverse aree che abbiamo suddiviso per te qui. Assicurarti che il tuo negozio di e-commerce sia sicuro potrebbe richiedere del tempo in anticipo, ma il tempo che dedichi ora potrebbe farti risparmiare un sacco di tempo e denaro lungo la strada.
Non lasciare che i tuoi clienti debbano affrontare il furto di identità, come molti clienti Equifax stanno attualmente affrontando in questo momento. È facile tenersi fuori dalla stessa posizione, quando si sa quali aree della propria attività devono essere affrontate.