Czy bezpiecznie korzystasz z platformy CMS - rozwiązania e-commerce oraz hostingu/serwera/chmury

Broszura promująca przede wszystkim dobre praktyki bezpiecznego korzystania z platformy CMS obsługującej witrynę internetową e-sklepu

Broszura została dołączona do wpisu na blogu cyberlaw.pl z dnia 09.10.2012

Autorka: Beata Marekhttp://www.goldenline.pl/mikroblog/cyberlawhttp://twitter.com/cyberlawPL

?

Grafika: Alex Romanhttp://www.facebook.com/roman.alexandru

Bezpieczne korzystanie z platformy e-sklepu oraz serwera ma znaczenie

Beata Marekwww.cyberlaw.pl

O tym, że klientom należy zapewnić bezpieczne ko-rzystanie z witryny wie lub powinien wiedzieć każ-dy kto poważnie myśli o e-biznesie. Jak się okazało z raportu „Bezpieczny e-sklep 2012” przedsiębiorcy mają problem z podstawowym aspektem jakim jest szyfrowanie transmisji danych pomiędzy klientem, a platformą e-sklepu (więcej przeczytać można w wątku 15 + 15 faktów o polskim e-biznesie). A to nie napawa optymizmem.

Brak zabezpieczania transakcji rodzi uzasadnione obawy kupujących i jest lekkomyślne.

Dlaczego ? Po pierwsze pokazujesz swoim klientom, że nie zależy Tobie na bezpieczeństwie.

Po drugie ułatwiasz działanie robakom, których za-daniem jest podsłuch użytkownika (sniffing).

Działanie to prowadzi do łatwiejszego przechwyce-nia danych takich jak: imię, nazwisko, adres e-mail, adres zamieszkania, numer karty kredytowej lub in-nych.

Po czwarte zwiększasz szanse na zainteresowanie przestępców zapleczem Twojego sklepu, znalezienie luki i podatności na SQL Injection, XSS czy CSRF.

Można by tak jeszcze długo wyliczać, a nie na tym dzi-siaj chce się skupić.

Wyobraź sobie, że jesteś właścicielem sklepu i wybie-rasz lokalizację. Oczywiście będzie Cię interesowało ta-kie miejsce, które jest jak najlepsze z punktu widzenia dostępności do Twojej grupy docelowej oraz takie, na które Ciebie stać. Hmm, ale także bezpieczne prawda ?

Co nam po tym jeśli miejsce będzie świetne pod wzglę-dem lokalizacyjnym i czynsz będzie nam odpowiadał, ale będzie to drewniana budka, do której przy moc-niejszym kopnięciu będzie można się dostać ? No nic. W tym właśnie sęk.

Tak samo jest z e-sklepem. Jeśli myślisz, że świetnie bę-dzie zaoszczędzić na bezpieczeństwie to takie myślenie z nawiązką obróci się przeciwko Tobie.

Ale sam certyfikat SSL nie załatwi sprawy.

Dlaczego ?

Ano dlatego, że Twój sposób korzystania z platformy e-sklepu lub Twoich pracowników ma także znaczenie dla tego by e-sklep był bezpiecznym miejscem nie tylko dla klientów, ale i dla Ciebie.

Miejscem, które nie narazi na szwank Twojej reputacji i nie zasłynie w Internecie pod hasłem „dane klientów XYZ wy-ciekły do sieci”. Taki news to sztylet dla Twojego e-sklepu i konieczność budowania reputacji od początku albo (co częściej się zdarza) wystartowania z nowym projektem, no-wym szyldem etc.

Dlatego dzisiaj proponuję Tobie zabawę, która ma na celu sprawdzić czy bezpiecznie korzystasz (lub Twoi pracownicy korzystają) z platformy CMS, na której oparty jest system zarządzania Twoim e-sklepem oraz czy dostęp do serwera, na którym znajdują się dane także jest bezpieczny.

Przed Tobą 7 slajdów i 7 pytań. Oby liczba 7 okazała się szczęśliwa :). Zasady zabawy są bardzo proste.

Każdy slajd zawiera pytanie oraz propozycje odpowie-dzi. Ty wybierasz jedną odpowiedź oraz zapamiętujesz lub zapisujesz kolor do niej przypisany. Kolor wskazuje biała strzałka na czarnym tle :).

Na koniec podliczasz kolory, które przesądzą o Twoim wy-niku.

Skoro jest to zabawa to dla najlepszych przygotowałam nagrodę. Ponieważ w moich grach nie ma przegranych na wszystkich czeka niespodzianka... No to gramy !

Twoje urządzenie i połączenie z Internetem

W jaki sposób zabezpieczasz sprzęt, na którym pracujesz ?

Korzystam z urządzenia, na którym zainstalowane jest legalne oraz

zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania

z Internetu

Nie wiem czy korzystam z urządze-nia, na którym zainstalowane jest

legalne oraz zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania

z Internetu

Nie korzystam z urządzenia, na którym zainstalowane

jest legalne oraz zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania

z Internetu

Twoje połączenie z providerem (hosting/serwer dedykowany/etc.)

Jak wygląda dostęp do danych zgromadzonych na serwerze ?

Łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL)

Mam podpisaną umowę o powierzaniu danych osobowych z providerem

Baza danych klientów znajduje się w innym

miejscu aniżeli pliki platformy e-sklepu

Łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL)

Mam podpisaną umowę o powierzaniu danych osobowych z providerem

Baza danych klientów znajduje się w tym sa-

mym miejscu co pliki platformy e-sklepu

Nie łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL)

Nie mam podpisanej umowy o powierzaniu danych osobowych z providerem

Baza danych klientów znajduje się w tym sa-

mym miejscu co pliki platformy e-sklepu

Twoje połączenie z zapleczem witryny

W jaki sposób zabezpieczasz Twoje połączenie z panelem zarządzania ?

Łączę się za pomocą transmisji szyfrowanej

(protokół SSL/TLS)

Proszę wybrać kolor zielonyalbo

pomarańczowy

Nie łączę się za pomocą transmisji szyfrowanej

(protokół SSL/TLS)

Zarządzanie dodatkami

W jaki sposób dodajesz nowe komponenty/wtyczki/pluginy ?

Instaluję komponenty napisane lub polecane przez producenta

albozlecam napisanie oraz przetestowa-

nie dodatku programistom**w przypadku rozwiązań open source

Nie instaluję żadnych dodatkówalbo

nie aktualizuje już pobranych

Pobieram dodatki

z różnych miejsc w sieci

Zabezpieczenie CMSa

W jaki sposób zabezpieczasz platformę ?

Mam ustawione silne hasło dostępowe zarówno do platformy jak i do serwera

(8 lub więcej znaków, małe i duże liery, cyfry i znaki specjalne umiejscowione

w przypadkowy sposób)

Aplikacja platformy analizowana jest pod kątem bezpieczeństwa np. wykrywania luk

Mam ustawione silne hasło dostępowe zarówno do platformy jak i do serwera

(8 lub więcej znaków, małe i duże liery, cyfry i znaki specjalne umiejscowione

w przypadkowy sposób)

Nie analizuję bezpieczeństwa aplikacji

Nie mam ustawionego silnego hasła dostępo-wgo zarówno do platformy jak i do serwera(8 lub więcej znaków, małe i duże liery, cyfry

i znaki specjalne umiejscowione w przypadkowy sposób)

Nie analizuję bezpieczeństwa aplikacji

Backup danych (kopia)

Czy wykonujesz backup danych ? Jak często ?

Kopia tworzona jest automatycznie conajmniej raz dziennie

albo wykonywana jest ręcznie przez administratora

Kopia danych znajduje się w innym miejscu aniżeli pliki macierzyste*

* np. na innym serwerze

Kopia wykonywana jest ręcznie, ale nie mam wyznaczonego harmono-

gramu i wykonywana jest w róż-nych odstępach czasu

Kopia danych przechowywana jest na różnych dyskach *

* np. Twoim i administratora/pracownika

Kopia nie jest wykonywana

automatycznie ani nie jest wykonywana ręcznie

Platforma w modelu SaaS (chmura)

Jeśli korzystasz z aplikacji w chmurze to ...

-> Komunikacja pomiędzy Tobą a providerem jest szyfrowana

-> Dane znajdujące się na serwerze (tzw. dane w spoczynku) także są szyfrowane-> Wiem w jakim kraju znajduje się serwer

z danymi oraz mam podpisaną umowę o po-wierzaniu danych osobowych

-> Umowa o świadczenie usług spełnia moje wymagania GRC *

* GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność

z legislacją, wymaganiami, przewidywanymi wydatkami

Proszę wybrać kolor zielonyalbo

pomarańczowy

-> Komunikacja pomiędzy Tobą a providerem nie jest szyfrowana

-> Dane znajdujące się na serwerze (tzw. dane w spoczynku) nie są szyfrowane

-> Nie wiem gdzie oraz w jaki sposób są prze-twarzane dane

-> Nie mam podpisanej umowy o powierzaniu danych osobowych

-> Umowa o świadczenie usług została podpi-sana bez analizy moich wymagań GRC*

* GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność

z legislacją, wymaganiami, przewidywanymi wydatkami

Wyniki

Jeżeli Twój wynik to 7zielonych zaznaczeń

Gratulacje!

Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden żółty kolor, ale nie ma żadnego czerwo-

nego to warto pomyśleć o lepszej ochronie

Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden żółty kolor oraz co najmniej jeden czer-

wony to powinieneś poważnie pomyśleć o bezpieczeństwie

Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden czerwony kolor, ale jest także co najmniej

jeden zielony to Twoje podejście do bezpie-czeństwa nie jest spójne i należy dokonać

odpowiednich zmian

Jeżeli Twój wynik to 7 czerwonych zaznaczeń poziom ochrony jest bliski zeru

7 - --

Nagrody - proszę o kontakt mailowy: beata.marek@cyberlaw.pl

Brawo! Poważnie podchodzisz do aspektów

bezpieczeństwa informacji

W nagrodę otrzymujesz ode mnie 1 bezpłatną konsultację związaną

z Twoim e-sklepem

Wiesz, że poziom bezpieczeństwa jest ważny, ale nie do końca wiesz

jak sobie z nim radzić

Liczy się jednak Twoja chęć dlatego zapisz się na

bezpłatne szkolenie online i dowiedz się więcej

Niestety zwiększasz swoje ryzyko na wyciek danych i inne zagrożenia

Tak nie może być !

dlatego zapisz się na bezpłatne szkolenie online

i lepiej chroń informacje

7 - --

Warunkiem niezbędnym do otrzymania nagrody jest podanie liczby kolorów oraz kontakt z oficjalnego maila e-sklepu

Autorka nie ponosi odpowiedzialności za wykorzystywanie zawartości broszury w jakikolwiek sposób.