Hakkerointi verkkokaupassa: Miten suojata verkkokauppaasi hakkeroinnilta ja petoksilta

Verkkopetokset ovat ongelma.

Eikä vain verkkokaupoille, jotka menettävät tuottoja juonitteleville hakkereille ja huijareille joka päivä (arvioidusti 6.7 miljardia US dollaria vuonna 2016). Myös kuluttajat ympäri maailman ovat vaarassa menettää maksukorttiensa tiedot, henkilötunnuksensa ja muuta arvokasta tietoa.

Turvallisuuden täytyy olla verkkokaupan ykkösprioriteetti.

Verkkokaupan omistajana, korttiyhtiöiden PCI DSS (Payment Card Industry Data Security Standard) saattaa olla sinulle tuttu ja se, että yrityksesi noudattaa standardia. Maksupalveluntarjoajasi yleensä auttaa tässä.

Vaikka PCI DSS:n noudattaminen on oiva keino varmistaa korttitietojen suojaaminen, voit tehdä vielä paljon muutakin suojataksesi verkkokauppasi hakkereilta ja huijareilta.

Olemme koonneet listan asioista, joita voit (ja pitäisi) tehdä, suojataksesi verkkoliiketoimintasi ja pitääksesi asiakkaasi turvassa.

 

1. Toimi PCI-standardien mukaisesti

Tämä on sanomattakin selvää. PCI DSS on kehitetty syystä: suojaamaan yrityksiä ja kuluttajia maksuvälinepetoksilta. Huolehdi, että toimintasi on aina ajan tasalla - jos sinulla on mitään epäilyksiä PCI-standardeista, ota meihin yhteyttä tästä.

 

2. Älä kerää tai säilö arkaluontoista tietoa

Selvennykseksi: Esimerkiksi maksukorttien numerot ja vanhentumispäivämäärät ovat luottamuksellista tietoa, jota ei ole sallittua kerätä tai varastoida. Sen hoitaa maksupalveluntarjoajallesi.

Korttitietojen säilyttäminen ja kerääminen on tarkoin säännelty PCI-standardissa. Sääntöjen rikkominen tai standardien loukkaaminen ei kannata, sillä korttiyhtiöt voivat määrätä sinulle suuret sakot siitä hyvästä. Ja puhun nyt sakoista, jotka voivat vahingoittaa liiketoimintasi. Älä lähde siihen.

Lisäksi olet hakkereille vähemmän kiinnostava, jos sinulla ei ole mitään varastamisen arvoista. Asiakkaidesi arkaluontoisen tiedon säilyttäminen saattaa olla juuri se kiusaus, jota huijarit eivät voi vastustaa. Tee siis itsellesi ja asiakkaillesi palvelus, äläkä ota sitä riskiä.

 

3. Varmista, että verkkokauppa-alustasi on päivitetty

PrestaShop, Magento, WordPress - mitä tahansa alustaa käytätkin, varmista, että se on aina päivitettynä. Päivitä järjestelmäsi aina samana päivänä, kun uusi versio julkaistaan. Vanhentunut ohjelmisto on yksi yleisimmistä syitä tietomurron onnistumiseen. Älä tee siitä heille helppoa.

 

4. Vaadi vahvoja salasanoja

Jos käyttäjien on mahdollista luoda sivustollasi tili, sinun tulisi asettaa heidän salasanoilleen vaatimukset. Se kannattaa, sillä siitä on monia etuja.

Muista, että salasanojen tulisi:

●     sisältää vähintään 8 merkkiä,

●     sisältää kirjaimia ja numeroita,

●     sisältää isoja ja pieniä kirjaimia ja

●     sisältää symboleja.

Yksi keino varmistaa kaikki tämä, on käyttää salailmaisuja salasanojen sijaan. Hakkerin on vaikeampi arvata pitkää ilmaisua, kuten ’K1ssa 1stu1 latt1alla, hymy1llen!’, kuin yksittäistä sanaa.

Lisäksi täytyy sivuta yleistä neuvoa, jonka mukaan salailmaisut pitäisi vaihtaa usein. Kaikki tutkimukset ei tue tätä väitettä. Salasanojen vaihtaminen usein ei paranna turvallisuutta vaan salasanan monimutkaisuus antaa paremman turvan.

Salasanojen tiheän vaihtamisen sijaan, vaadi vahvoja salailmaisuja.

5. Tunnista petosyritykset

Tämä voidaan saavuttaa monella eri tavalla. Miten haluat sen tehdä, on kiinni sinusta itsestäsi.

Suurimmalla osalla maksupalveluntarjoajista on petosyritysten tunnistamisessa auttavia palveluita. Vaikka palveluilla on hintansa, kysy itseltäsi: Onko turvallisuus todella se kohta, mistä kannattaa säästää?

Vaihtoehtoisesti, voit yksitellen käydä läpi kaikki tilauksesi, etsien epäilyttävää käytöstä. Jos olet vasta aloittamassa liiketoimintaasi, tämä saattaa olla hyvä valinta. Pidä silmällä näitä tunnusmerkkejä:

●     Täsmääkö toimitusosoitteen maa IP-osoitteen maahan?

●     Täsmääkö toimitusosoite laskutusosoitteeseen?

●     Täsmääkö puhelinnumero toimitusosoitteeseen?

●     Onko maksukortti myönnetty samassa maassa kuin missä toimitusosoite on?

●     Onko samasta IP-osoitteesta tullut monia tilauksia – mukaan lukien epäonnistuneet tilausyritykset?

●     Onko samasta IP-osoitteesta tullut monia tilauksia eri toimitusosoitteilla?

●     Onko tilausmäärä epätavallisen korkea?

●     Ovatko tilatut tuotteet helposti jälleen myytävissä?

●     Onko tuoteyhdistelmä epätavallinen?

●     Oliko tilaus tehty keskellä yötä - ja onko se epätavallista verkkosivuillesi?

Hyvä nyrkkisääntö on: jos tilauksessa on mitään epätavallista - yhtään mitään - hälytyskellojesi pitäisi soida.

Jos huomaat epäilyttävältä vaikuttavan tilauksen, soita asiakkaalle ja varmista hänen henkilöllisyytensä. Yritä myös varmistaa, että ostos on tehty hänen omalla maksukortillaan. Älä anna asiakkaan soittaa sinulle. Se saattaa olla huijausta, näyttäen sinulle eri numeroa kuin mistä oikeasti soitetaan. Jos et voi varmistua tilauksen oikeellisuudesta, pyydä asiakasta tekemään pankkisiirto.

Nähtyäsi yllä olevan listan, saattaa alkaa tuntua siltä, että mielelläsi käyttäisit aikaasi ihan johonkin muuhun. Saatat haluta automatisoida tarkistukset, jotta voit käyttää aikasi johonkin hauskempaan tai tärkeämpään.

Se valinta on sinusta itsestäsi kiinni.

Muistutuksena kuitenkin: älä unohda maalaisjärkeäsi, vaikka käyttäisit automaattista palvelua. Jos joku kuulostaa liian hyvältä ollakseen totta, se yleensä on.

 

6. Käytä salausta

Kun välität verkossa luottamuksellista tietoa, viestinnän pitäisi olla aina salattua. Ei vain yritystäsi ja asiakkaitasi suojellaksesi, vaan myös näyttääksesi asiakkaillesi, että sivustosi on turvallinen.

Käytä suojattuja yhteyksiä - SSL (Secure Sockets Layer) tai TLS (Transport Layer Security) - suojataksesi asiakkaidesi tiedot. EV (Extended Validation) SSL-sertifikaatilla asiakkaan selain näyttää vihreää palkkia ja turvasinettiä osoiterivillä osoittaakseen, että sivustosi on suojattu.

Mene ja hanki sellainen. Nyt. SSL-sertifikaatteja on tilattavissa verkosta helposti, eivätkä ne maksa paljoa.

Miksi et haluaisi näyttää potentiaalisille asiakkaillesi, että he voivat tilata täältä turvallisesti?

Jos haluat tarkastella verkkosivuasi turvallisuusnäkökulmasta, voit koittaa tätä Qualyn työkalua: https://www.ssllabs.com/ssltest/

7. Kehitä suojauksia

Palomuuri on tärkeä apu estämään hyökkääjien pääsyn palvelimellesi, mutta älä jätä asiaa siihen. Lisää ylimääräisiä  suojauksia yhteyslomakkeisiin, rekisteröitymissivuihin ja hakuihin tietokannasta estääksesi SQL-hyökkäykset ja cross-site scriptingin. Hienoja sanoja pahantahtoisille hakkerointitavoille.

Kaipaatko ideoita?

Miten olisi:

●     rekisteröintiyritysten määrän rajoittaminen

●     kaksivaiheisen tunnistautumisen mahdollistaminen

●     hallintakäyttöliittymän osoitteen piilottaminen tai nimeäminen uudelleen

●     CAPTCHA:n käyttäminen

Ohjelmistokehittäjäsi pystyy auttamaan ottamaan käyttöön yllä olevat ehdotukset - ja hänellä on todennäköisesti enemmänkin ässiä hihassaan.

 

8. Kouluta työntekijöitäsi

Virheiden tekeminen on inhimillistä. Sinun täytyykin kaikin keinoin yrittää minimoida inhimillisten virheiden mahdollisuus.

Järjestä säännöllisesti turvallisuuskoulutuksia työntekijöillesi. Heidän tulisi mm. muistaa olla paljastamatta asiakastietoja sähköposteissa, chatissa tai tekstiviesteissä. Ne eivät ole turvallisia viestintävälineitä.

Kannattaa tehdä kirjallinen turvallisuusohjeistus. Näiden toimien avulla voit varmistaa, että työntekijäsi ovat tietoisia yleisestä verkkoturvallisuudesta ja erityisesti asiakastietoon liittyvistä laeista ja säädöksistä.

 

9. Valvo ja skannaa verkkosivujasi

Sinun tulisi seurata sivustosi toimintaa jatkuvasti. Haittaohjelmien, tietoturvaheikkouksien jne. havaitsemiseen on paljon työkaluja, jotka varoittavat sinua automaattisesti. Voit reagoida heti, jos jotain havaitaan.

Lisäksi sinun tulisi säännöllisin väliajoin skannata koko sivustosi löytääksesi haittaohjelmat. Jos todella haluat testata sivustoasi, harkitse konsultin palkkaamista tekemään tunkeutumistestaus järjestelmääsi.

 

10. Varmuuskopioi säännöllisesti

Me kaikki tiedämme, että se on tärkeää. Mutta otatko oikeasti varmuuskopiot säännöllisesti? Jos olet yksi monista yrittäjistä, joka joko laiminlyö sen tai luottaa sivuston ylläpitäjän varmuuskopioihin, suosittelen katsomaan peiliin pitkään ja hartaasti. Mitä teet, jos serverisi kaatuu, kovalevysi menee epäkuntoon tai virus päätyy järjestelmääsi - ja menetät kaikki tietosi?

Jos luotat sivuston ylläpitäjän varmuuskopiointiin, varmista edes, että he todella tekevät varmuuskopiot säännöllisesti. Vaikka vain varmuuden vuoksi, eikö?

 

11. Pysy ajan tasalla

Tämän pitäisi olla itsestään selvää, mutta sanotaan tämäkin nyt ääneen.

Sinun liiketoimintasi on sinun vastuullasi.

Sinä olet vastuussa verkkoliiketoimintasi turvallisuudesta. Kukaan muu ei voi olla puolestasi.

Joten, miten pysyä ajan tasalla?

No, tässä on muutama vinkki alkuun:

●     Tilaa (ja lue) CMS-toimittajasi, sivustosi ylläpitäjän, verkkokauppa-alustan, jne. uutisia

●     Tarkista korttiyhtiöiden turvallisuusvaroitukset.

●     Liity verkkoliiketoiminta-aiheisiin verkostoihin.

Toivottavasti yllä oleva antoi sinulle joitain ideoita siitä, mitä voit tehdä suojataksesi verkkokauppasi hakkereilta ja petoksilta. Me kaikki tiedämme, että turvallisuus on tärkeää. Melko usein se unohdetaan tai laiminlyödään päivittäisen kaupankäynnin lomassa. Älä unohda. Pidä siitä huolta.

Ota meihin yhteyttä  Facebookissa tai Twitterissä, tai lähetä meille sähköpostia.

 

Heine Aaen Hansen

Markkinoinnin ja sisällön asiantuntija Bamboralla. Kirja harrastaja, sana nörtti ja avuton isä. Kun ei ole kirjoittamassa, voit löytää hänet lukemasta.

We are open for business!

Welcome to the world of payment solutions. Choose your country and start accepting payments from customers all over the world.