bezpieczne korzystanie z platformy e sklepu ma znaczenie
DESCRIPTION
Czy bezpiecznie korzystasz z platformy e-sklepu oraz hostingu/serwera/chmury ? Weź udział w zabawie i przekonajmy się :)TRANSCRIPT
Czy bezpiecznie korzystasz z platformy CMS - rozwiązania e-commerce oraz hostingu/serwera/chmury
Broszura promująca przede wszystkim dobre praktyki bezpiecznego korzystania z platformy CMS obsługującej witrynę internetową e-sklepu
Broszura została dołączona do wpisu na blogu cyberlaw.pl z dnia 09.10.2012
Autorka: Beata Marekhttp://www.goldenline.pl/mikroblog/cyberlawhttp://twitter.com/cyberlawPL
?
Grafika: Alex Romanhttp://www.facebook.com/roman.alexandru
Bezpieczne korzystanie z platformy e-sklepu oraz serwera ma znaczenie
Beata Marekwww.cyberlaw.pl
O tym, że klientom należy zapewnić bezpieczne ko-rzystanie z witryny wie lub powinien wiedzieć każ-dy kto poważnie myśli o e-biznesie. Jak się okazało z raportu „Bezpieczny e-sklep 2012” przedsiębiorcy mają problem z podstawowym aspektem jakim jest szyfrowanie transmisji danych pomiędzy klientem, a platformą e-sklepu (więcej przeczytać można w wątku 15 + 15 faktów o polskim e-biznesie). A to nie napawa optymizmem.
Brak zabezpieczania transakcji rodzi uzasadnione obawy kupujących i jest lekkomyślne.
Dlaczego ? Po pierwsze pokazujesz swoim klientom, że nie zależy Tobie na bezpieczeństwie.
Po drugie ułatwiasz działanie robakom, których za-daniem jest podsłuch użytkownika (sniffing).
Działanie to prowadzi do łatwiejszego przechwyce-nia danych takich jak: imię, nazwisko, adres e-mail, adres zamieszkania, numer karty kredytowej lub in-nych.
Po czwarte zwiększasz szanse na zainteresowanie przestępców zapleczem Twojego sklepu, znalezienie luki i podatności na SQL Injection, XSS czy CSRF.
Można by tak jeszcze długo wyliczać, a nie na tym dzi-siaj chce się skupić.
Wyobraź sobie, że jesteś właścicielem sklepu i wybie-rasz lokalizację. Oczywiście będzie Cię interesowało ta-kie miejsce, które jest jak najlepsze z punktu widzenia dostępności do Twojej grupy docelowej oraz takie, na które Ciebie stać. Hmm, ale także bezpieczne prawda ?
Co nam po tym jeśli miejsce będzie świetne pod wzglę-dem lokalizacyjnym i czynsz będzie nam odpowiadał, ale będzie to drewniana budka, do której przy moc-niejszym kopnięciu będzie można się dostać ? No nic. W tym właśnie sęk.
Tak samo jest z e-sklepem. Jeśli myślisz, że świetnie bę-dzie zaoszczędzić na bezpieczeństwie to takie myślenie z nawiązką obróci się przeciwko Tobie.
Ale sam certyfikat SSL nie załatwi sprawy.
Dlaczego ?
Ano dlatego, że Twój sposób korzystania z platformy e-sklepu lub Twoich pracowników ma także znaczenie dla tego by e-sklep był bezpiecznym miejscem nie tylko dla klientów, ale i dla Ciebie.
Miejscem, które nie narazi na szwank Twojej reputacji i nie zasłynie w Internecie pod hasłem „dane klientów XYZ wy-ciekły do sieci”. Taki news to sztylet dla Twojego e-sklepu i konieczność budowania reputacji od początku albo (co częściej się zdarza) wystartowania z nowym projektem, no-wym szyldem etc.
Dlatego dzisiaj proponuję Tobie zabawę, która ma na celu sprawdzić czy bezpiecznie korzystasz (lub Twoi pracownicy korzystają) z platformy CMS, na której oparty jest system zarządzania Twoim e-sklepem oraz czy dostęp do serwera, na którym znajdują się dane także jest bezpieczny.
Przed Tobą 7 slajdów i 7 pytań. Oby liczba 7 okazała się szczęśliwa :). Zasady zabawy są bardzo proste.
Każdy slajd zawiera pytanie oraz propozycje odpowie-dzi. Ty wybierasz jedną odpowiedź oraz zapamiętujesz lub zapisujesz kolor do niej przypisany. Kolor wskazuje biała strzałka na czarnym tle :).
Na koniec podliczasz kolory, które przesądzą o Twoim wy-niku.
Skoro jest to zabawa to dla najlepszych przygotowałam nagrodę. Ponieważ w moich grach nie ma przegranych na wszystkich czeka niespodzianka... No to gramy !
Twoje urządzenie i połączenie z Internetem
W jaki sposób zabezpieczasz sprzęt, na którym pracujesz ?
Korzystam z urządzenia, na którym zainstalowane jest legalne oraz
zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania
z Internetu
Nie wiem czy korzystam z urządze-nia, na którym zainstalowane jest
legalne oraz zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania
z Internetu
Nie korzystam z urządzenia, na którym zainstalowane
jest legalne oraz zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania
z Internetu
Twoje połączenie z providerem (hosting/serwer dedykowany/etc.)
Jak wygląda dostęp do danych zgromadzonych na serwerze ?
Łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL)
Mam podpisaną umowę o powierzaniu danych osobowych z providerem
Baza danych klientów znajduje się w innym
miejscu aniżeli pliki platformy e-sklepu
Łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL)
Mam podpisaną umowę o powierzaniu danych osobowych z providerem
Baza danych klientów znajduje się w tym sa-
mym miejscu co pliki platformy e-sklepu
Nie łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL)
Nie mam podpisanej umowy o powierzaniu danych osobowych z providerem
Baza danych klientów znajduje się w tym sa-
mym miejscu co pliki platformy e-sklepu
Twoje połączenie z zapleczem witryny
W jaki sposób zabezpieczasz Twoje połączenie z panelem zarządzania ?
Łączę się za pomocą transmisji szyfrowanej
(protokół SSL/TLS)
Proszę wybrać kolor zielonyalbo
pomarańczowy
Nie łączę się za pomocą transmisji szyfrowanej
(protokół SSL/TLS)
Zarządzanie dodatkami
W jaki sposób dodajesz nowe komponenty/wtyczki/pluginy ?
Instaluję komponenty napisane lub polecane przez producenta
albozlecam napisanie oraz przetestowa-
nie dodatku programistom**w przypadku rozwiązań open source
Nie instaluję żadnych dodatkówalbo
nie aktualizuje już pobranych
Pobieram dodatki
z różnych miejsc w sieci
Zabezpieczenie CMSa
W jaki sposób zabezpieczasz platformę ?
Mam ustawione silne hasło dostępowe zarówno do platformy jak i do serwera
(8 lub więcej znaków, małe i duże liery, cyfry i znaki specjalne umiejscowione
w przypadkowy sposób)
Aplikacja platformy analizowana jest pod kątem bezpieczeństwa np. wykrywania luk
Mam ustawione silne hasło dostępowe zarówno do platformy jak i do serwera
(8 lub więcej znaków, małe i duże liery, cyfry i znaki specjalne umiejscowione
w przypadkowy sposób)
Nie analizuję bezpieczeństwa aplikacji
Nie mam ustawionego silnego hasła dostępo-wgo zarówno do platformy jak i do serwera(8 lub więcej znaków, małe i duże liery, cyfry
i znaki specjalne umiejscowione w przypadkowy sposób)
Nie analizuję bezpieczeństwa aplikacji
Backup danych (kopia)
Czy wykonujesz backup danych ? Jak często ?
Kopia tworzona jest automatycznie conajmniej raz dziennie
albo wykonywana jest ręcznie przez administratora
Kopia danych znajduje się w innym miejscu aniżeli pliki macierzyste*
* np. na innym serwerze
Kopia wykonywana jest ręcznie, ale nie mam wyznaczonego harmono-
gramu i wykonywana jest w róż-nych odstępach czasu
Kopia danych przechowywana jest na różnych dyskach *
* np. Twoim i administratora/pracownika
Kopia nie jest wykonywana
automatycznie ani nie jest wykonywana ręcznie
Platforma w modelu SaaS (chmura)
Jeśli korzystasz z aplikacji w chmurze to ...
-> Komunikacja pomiędzy Tobą a providerem jest szyfrowana
-> Dane znajdujące się na serwerze (tzw. dane w spoczynku) także są szyfrowane-> Wiem w jakim kraju znajduje się serwer
z danymi oraz mam podpisaną umowę o po-wierzaniu danych osobowych
-> Umowa o świadczenie usług spełnia moje wymagania GRC *
* GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność
z legislacją, wymaganiami, przewidywanymi wydatkami
Proszę wybrać kolor zielonyalbo
pomarańczowy
-> Komunikacja pomiędzy Tobą a providerem nie jest szyfrowana
-> Dane znajdujące się na serwerze (tzw. dane w spoczynku) nie są szyfrowane
-> Nie wiem gdzie oraz w jaki sposób są prze-twarzane dane
-> Nie mam podpisanej umowy o powierzaniu danych osobowych
-> Umowa o świadczenie usług została podpi-sana bez analizy moich wymagań GRC*
* GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność
z legislacją, wymaganiami, przewidywanymi wydatkami
Wyniki
Jeżeli Twój wynik to 7zielonych zaznaczeń
Gratulacje!
Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden żółty kolor, ale nie ma żadnego czerwo-
nego to warto pomyśleć o lepszej ochronie
Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden żółty kolor oraz co najmniej jeden czer-
wony to powinieneś poważnie pomyśleć o bezpieczeństwie
Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden czerwony kolor, ale jest także co najmniej
jeden zielony to Twoje podejście do bezpie-czeństwa nie jest spójne i należy dokonać
odpowiednich zmian
Jeżeli Twój wynik to 7 czerwonych zaznaczeń poziom ochrony jest bliski zeru
7 - --
Nagrody - proszę o kontakt mailowy: [email protected]
Brawo! Poważnie podchodzisz do aspektów
bezpieczeństwa informacji
W nagrodę otrzymujesz ode mnie 1 bezpłatną konsultację związaną
z Twoim e-sklepem
Wiesz, że poziom bezpieczeństwa jest ważny, ale nie do końca wiesz
jak sobie z nim radzić
Liczy się jednak Twoja chęć dlatego zapisz się na
bezpłatne szkolenie online i dowiedz się więcej
Niestety zwiększasz swoje ryzyko na wyciek danych i inne zagrożenia
Tak nie może być !
dlatego zapisz się na bezpłatne szkolenie online
i lepiej chroń informacje
7 - --
Warunkiem niezbędnym do otrzymania nagrody jest podanie liczby kolorów oraz kontakt z oficjalnego maila e-sklepu
Autorka nie ponosi odpowiedzialności za wykorzystywanie zawartości broszury w jakikolwiek sposób.