Introduzione alla sicurezza di uno store online
Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)
I siti ecommerce hanno una delle sfide più difficili nello spazio di sicurezza web, dovendo mantenere la fiducia implicita di un cliente per farli sentire al sicuro quando navigano sul sito.
Sia che l’attività sia iniziata come negozio di una attività tradizionale o sia stata distribuita online sin dall’inizio, è facile progettare un sito web e organizzare contenuti. Non è così facile sapere come progettare un framework di sicurezza per l’ecommerce.
In questo post introdurremo alcuni concetti base di sicurezza e come pensare alla sicurezza per il tuo negozio online.
Contattaci
chiama 339 848 3250
Principi di sicurezza per i negozi online
Pensate agli strumenti attualmente utilizzati per alimentare il tuo negozio online. Comprendere come funzionano questi strumenti è fondamentale per identificare le opzioni ei limiti di protezione.
Per i siti web che gestiscono negozi gestiti, come Wix e Square Space, il server e tutto il suo software sono proprietari. Ciò significa che il proprietario del sito web non è responsabile per le configurazioni di sicurezza e si paga il prestatore di servizi una tassa mensile per questo benefit.
Questo articolo è specifico per i negozi self-hosted. Questo segmento di proprietari di siti web sta spesso usando un sistema di gestione dei contenuti (CMS) come Magento o WooCommerce o coloro che gestiscono un sito personalizzato interamente codificato dagli sviluppatori.
I. Riduzione della superficie di attacco
Quando si sente “superficie di attacco” ci riferiamo a tutti i modi possibili in cui un hacker potrebbe potenzialmente abusare del tuo negozio online. Considerate la vostra casa – quando si va via la notte, non si controlla solo la porta d’ingresso, ma si verifica che le finestre e le porte posteriori siano anche esse chiuse. Lo stesso vale quando si pensa al tuo negozio online.
Le applicazioni open source CMS hanno il vantaggio di essere sviluppate da un team di volontari che controllano il codice per i bug di sicurezza. La sua più grande debolezza è anche la sua più grande forza – i suoi componenti estensibili.
Tutte le applicazioni CMS più diffuse sono costruite su un framework che consente componenti aggiuntivi sotto forma di plugin, moduli o estensioni; tutti progettati per aggiungere funzionalità al core CMS. Quando crei il tuo negozio online, ti rendi conto che l’introduzione di qualsiasi componente estensibile è inevitabile ma aumenta indubbiamente la superficie di attacco del sito.
Quando si estende la funzionalità del tuo sito web, la preoccupazione numero uno sarà la vulnerabilità del software, in particolare come verranno gestite e come si sarà avvisati quando viene segnalata una vulnerabilità. È indispensabile coinvolgere il venditore e chiedere loro notizie sul loro protocollo di sicurezza. Non stai cercando qualcuno che non abbia mai avuto un problema – stai cercando un fornitore che sia consapevole del fatto che potrebbe accadere e ha un piano per affrontare i problemi di sicurezza.
Ecco alcune delle domande da porsi quando si considera l’estensione dell’applicazione principale:
- Ho davvero bisogno di questo componente?
- Il fornitore di questo componente ha un piano se viene individuata una vulnerabilità?
- Gli sviluppatori hanno priorità sulle misure di sicurezza?
- Avete un piano per monitorare e applicare gli aggiornamenti quando vengono rilasciati?
Ad esempio, puoi decidere di intraprendere le seguenti azioni:
- Scegliere di sfruttare le funzionalità principali al posto di terze parti.
- Se una terza parte è la tua unica opzione, sfruttate una fonte affidabile con un comprovato track record.
- Assicurarsi che quelli che tenete sono affidabili, sicuri e ben supportati.
II. Importanza dei pagamenti sicuri
Fare soldi è la cosa da cui partiamo. Tuttavia, è importante sapere chi ha accesso al tipo di informazioni necessarie per elaborare i pagamenti, ad esempio i dettagli della carta di credito e altre informazioni personali identificabili (PII).
Molti negozi online utilizzano un gateway di pagamento affidabile, ma questo non significa che il tuo sito non sia responsabile quando si tratta di conformità PCI. Il tuo negozio online a un certo punto genererà una qualche forma di commercio, sia che sia un servizio di sottoscrizione, beni o servizi. In tal modo, si desidera prestare particolare attenzione ai requisiti di autovalutazione PCI.
Ecco alcune cose da cercare:
- Quali informazioni sensibili stai raccogliendo? (carte di credito, password, indirizzi)
- Chi ha accesso a queste informazioni? Chi dovrebbe?
- Se qualcuno accede a queste informazioni, questi eventi sono registrati?
- Se stai effettuando pagamenti, sono i dati protetti in transito tramite SSL?
- Sta memorizzando e monitorando i dati del titolare della carta correttamente?
- Conosci quale livello rientra la tua attività per la conformità PCI?
- Sono le modifiche al sito che viene registrato (ad esempio file, DNS, ecc.)
Si consiglia di consultare la Guida alla conformità PCI per comprendere meglio il requisito 10 delle Norme di sicurezza dei dati del settore dei pagamenti cartacei:
L’intento del requisito 10 di PCI DSS è quindi quello di determinare “chi, cosa, dove e quando” degli utenti che accedono alle risorse di elaborazione dati:
L’importanza di monitorare i dati del titolare della carta è relativa al non-repudiation, o la prova che l’integrità del tuo sito web è intatta.
Il futuro dei negozi online
La libertà e l’apertura del web hanno permesso a persone e organizzazioni di tutto il mondo di ridefinire se stessi. Quando parliamo di commercio, non siamo più limitati alle pareti fisiche della nostra posizione – ma solo alle pareti della nostra immaginazione. Tuttavia, è imperativo che apprendiamo dalla storia e pensiamo alla sicurezza subito e spesso.
Questo post è stato intenzionalmente progettato per non essere una guida completa per la sicurezza dei negozi online. Invece è stato progettato per aiutare a fornire una comprensione di base circa l’importanza della sicurezza e come avvicinarsi.
Articolo di Victor Santoyo, Account executive presso Sucuri.
Lascia un commento