Jak bezpiecznie prowadzić e-sklep?

Trwa dobra passa dla prowadzenia biznesu w sieci. Rynek e-commerce dynamicznie rośnie. 31 proc. Polaków przyznaje, że zwiększyło swoją aktywność w zakresie zakupów online dla produktów spożywczych i kosmetyczno-chemicznych – wynika z badania Nielsena „Wpływ Covid-19 na zachowania konsumentów”. E-sklepy przy rosnącym zainteresowaniu ich ofertą powinny szczególnie zadbać o ochronę danych osobowych konsumentów. ODO 24 prezentuje checklistę działań mających zapewnić bezpieczeństwo klientów sklepu internetowego.

– Sklepy internetowe są częścią jednej z najprężniej rozwijających się gałęzi globalnej gospodarki – tym bardziej w czasach społecznej izolacji. Działanie w branży e-commerce to nie tylko obowiązki w zakresie dokumentacji oraz stosownych komunikatów, narzuconych przez przepisy prawa. To również kwestia podjęcia odpowiednich kroków, mających na celu zapewnienie bezpieczeństwa osób korzystają z naszych usług oraz ich danych osobowych – wskazuje adw. Łukasz Pociecha z ODO 24.

Warto zadbać o zabezpieczenie zasobów wykorzystywanych w ramach prowadzenia biznesu online, a także bezpieczeństwo przechowywanych danych osobowych (imię, nazwisko, adres email, historia zakupów, informacje finansowe, numery kart płatniczych, dane adresowe, numeru telefonów, adres email). W tym celu należy:

  • Stosować certyfikat SSL (znaczek kłódki w prawym górnym rogu strony internetowej, po lewej od adresu strony) – oznacza on stworzenie odpowiedniego połączenia pomiędzy stroną internetową a serwerem, z którego korzystamy. Daje to gwarancję zaszyfrowania danych osobowych wykorzystywanych w sklepie internetowym;
  • Informować klientów o fakcie zabezpieczenia sklepu internetowego certyfikatem SSL – zwiększy to poczucie bezpieczeństwa oraz pozwoli na wybór właśnie naszego sklepu na zakupy;
  • Szyfrować bazy danych oraz zabezpieczać je silnym hasłem;
  • Korzystać z programów antywirusowych;
  • Stosować oprogramowanie do backupowania danych gromadzonych w ramach sklepu internetowego. Uchroni nas to przed całkowitą utratą informacji oraz umożliwi odzyskanie straconych zasobów np. w skutek ich kradzieży w ramach ataku hakerskiego;
  • Korzystać z kilku serwerów do przetrzymywania danych gromadzonych w ramach sklepu;
  • Zabezpieczać serwery, w ramach których prowadzi się sklep internetowy, w których trzymane są informacje:
  1. w przypadku hostingu konieczna jest wnikliwa weryfikacja dostawcy odpowiedzialnego za stosowanie odpowiednich zabezpieczeń;
  2. w przypadku korzystania z serwera lokalnie konieczne jest jego odpowiednie zabezpieczenie przed dostępem osób postronnych oraz stosowanie oprogramowania do przechowywania danych poufnych.
  • Kontrolować dostęp do panelu administratora (za jego pośrednictwem można m.in. wydobyć dane klientów). Należy stosować silne hasła oraz nadawać dostępy ściśle ograniczonej liczbie osób;
  • Umożliwiać zmiany haseł użytkownikom;
  • Stosować uwierzytelnianie dwuetapowe;
  • Wdrożyć odpowiednie zabezpieczenia sieciowe u dostawcy lub w miejscu, gdzie ulokowano serwer. W tym stosować systemy wykrywające włamania IDS oraz systemy zapobiegające atakom IPS;
  • Wyłączyć możliwość logowania do panelu administracyjnego z sieci publicznej, dostęp poprzez VPN;
  • Wykonywać regularne testy penetracyjne;
  • Zapewnić monitorowanie ruchu sieciowego.

Nie można również zapominać o samych płatnościach. Warto wdrożyć, system, który zapewnia zabezpieczenie transakcji 3D-Secure, czyli autoryzację np. poprzez kod zawarty w smsie. Co więcej, należy umożliwić klientom wybór alternatywnych sposób płatności, jak np.:

  • korzystanie z operatorów płatności elektroniczne, weryfikujących sklepy internetowe korzystające z ich usług;
  • płatności kartą kredytową;
  • przelew bankowy;
  • płatność przy odbiorze.

– Istotne jest również to, aby cały czas mieć świadomość możliwych ataków hackerskich typu ransomware, phishing (z wykorzystaniem marki sklepu). Obok kluczowych zabezpieczeń należy również pamiętać o stosowaniu i udostępnianiu niezbędnych dokumentów związanych z prowadzeniem sklepu internetowego, takich jak: regulamin sklepu internetowego, polityka prywatności (ochrony danych osobowych), klauzule informacyjne dotyczące przetwarzania danych osobowych – podsumowuje adw. Łukasz Pociecha z ODO 24.