Ritkán esik szó e-kereskedelmi blogokban a biztonságról, az adatok védelméről. Általában csak akkor kerül napirendre ez a téma, ha már megtörtént a baj. Az Unas rendszer fejlesztése és üzemeltetése során kiemelt figyelmet fordítunk erre a területre. Ebben a blogbejegyzésben összefoglaljuk, milyen biztonsági kockázatok merülnek fel egy webáruház működtetésénél. Elég csak egy rosszul kiválasztott jelszó vagy nem megfelelő titkosítás és az összes vásárlói adat rossz kézbe kerülhet. Emellett a cikk végén bemutatunk egy lehetőséget, amivel a
bérelhető webáruház szolgáltatások között elsőként még jobban védhetik az Unas felhasználók az adataikat, üzleti titkaikat.
Milyen kockázatok merülnek fel egy webáruházban?
Biztonsági kockázat szempontjából alapvetően 5 féle esemény történhet egy webáruházban. Természetesen mindegyik kellemetlen a webáruház üzemeltető számára, meggátolhatja a munkáját, bevételtől eshet el, amellett törvénybe ütköző cselekményekről van szó.
- Adatlopás, legyen itt szó üzleti adatokról, termék adatbázisokról, értékesítési számokról, szellemi termékekről, szöveges tartalmakról és persze a személyes adatokról.
- Adatvesztés, ami valamilyen hardverhiba, szerveresemény, karbantartás, internetkiesés miatt következik be, akár kereskedői, akár webáruház szolgáltatói oldalon.
- Lehallgatás, ami alatt nem a klasszikus értelemben vett lehallgatást értjük, hanem a kódolatlan internetes csatornákon történő vásárlói kommunikáció megszerzését.
- Túlterhelés, amikor meggátolják a webáruház működését tömeges támadást indítva a kiszolgáló szerverek és az internetes hálózat felé. Ilyenkor korlátozottan lesz elérhető a látogatók számára a webáruház.
- Elbitorlás esetén pedig, vírustámadással vagy jelszó megszerzésével veszi át valaki a felügyeletet a webáruház felett. Ezzel ez erőforrásokat saját céljaira használhatja, például hírlevelet küldhet illetéktelenül.
Adatok védelme
Két éve mindenkinek ismerősen cseng az ominózus négy betű:
GDPR. Valóban a GDPR, az Európai Unió általános adatvédelmi rendelete, amit minden tagállamban egységesen kötelező alkalmazni. Szabályozza a természetes személyek személyes adatainak kezelését. Azonban a webáruházban nem csak a személyes adatok védelme a fontos, hanem minden egyéb adaté. Senki sem szeretné, ha valaki az áldozatos munkával felépített termék adatbázisát, termékfotóit ellopná. Senkinek nem hiányzik, hogy a konkurenciája üzleti titkokat szerezzen meg.
A törvényes működéshez felkészítettük a webáruház rendszert, annak használatával minden előfizető meg tud felelni a GDPR-nek. Gondoskodtunk az adatfeldolgozói jogviszony szabályozásáról az ÁSZF-ünkben. Megfelelő funkciók állnak rendelkezésre a cookie-k kezeléséhez, elfogadásához. A jogi dokumentumokat, az adatkezelési tájékoztatást minden szükséges ponton megismerheti a látogató a webáruházakban, az adatkezelésekhez pedig a egyszerűen hozzájárulhat.
Rendszeres biztonsági mentés
Ahol gépek és emberek dolgoznak előfordulhat meghibásodás, emberi tévedés vagy mulasztás. Anélkül hogy belemennénk a raid tükrözés, a load balancer vagy a georedundancia fogalmak taglalásába, érdemes szót ejteni arról, hogy manapság egy egyszerű tárhelyre telepített webáruház nem felel meg sok elvárásnak. Azért nem veszhetnek el adatok, nem veszthet el vásárlót a kereskedő, mert kiszolgáló szerver meghibásodott.
Az Unas rendszert földrajzilag elosztott redundáns szerverpark működteti, ahol a tükrözött tárolás mellett rendszeres adatmentés is készül. Esetleges egyidejűleg előforduló adatkatasztrófa esetén is rendelkezésre állnak biztonsági mentések, amikből visszaállítható minden adat. A rendszerünk az elmúlt évek statisztikái alapján
99,99%-os rendelkezésre állást produkált, ami kiemelkedő SaaS, szoftvert és hardvert együtt biztosító szolgáltatások esetén.
SSL tanúsítvány, titkosított kapcsolat
Már sok éve annak, amikor a Google deklarálta, hogy az organikus keresési találatok rangsorolásakor figyelembe veszi az egyes weboldalak biztonságát. Nevezetesen azt, hogy rendelkezik-e
SSL tanúsítvánnyal, tehát https:// kezdetű az URL-je. Erre a hírre jobban felfigyeltek a webmesterek, pedig a technológia nem emiatt nélkülözhetetlen. Ekkor terjedt el a szélesebb körű használat, ami mára már szinte kötelezővé vált.
Az SSL tanúsítvány arra való, hogy a látogató és a weboldal közötti kommunikációt titkosító kulcsokkal kódolja. Mivel a vásárló általában személyes adatokat, bankkártya információkat továbbít, ezért webáruházaknál ez különösen fontos. A protokoll segítségével például nyílt wi-fi hálózatokon nem hallgatható le az adatfolyam, annak visszafejtésére kevés esély van. Jelenleg már szinte minden szolgáltató kínál egyszerű, ingyenes vagy fejlettebb pénzügyi garanciát is tartalmazó SSL tanúsítványokat. Érdemes tehát utána nézni, hogy a webáruház rendelkezik-e ezek valamelyikével.
Támadás védelem
Szerencsére viszonylag ritka, hogy valamelyik előfizetőnket szándékos túlterheléses támadás éri. A megfelelő erőforrás, a megfelelően robusztus szerverháttér nem csak támadás esetén ad biztonságot a webáruházaknak, hanem kiemelt időszakokban, Black Friday napján vagy a karácsony előtti időszakban is. Mindannyian láttunk már összeomló webáruházakat akkor, amikor a legnagyobb akciókat hirdették. Hiába ilyenkor a marketingköltés, ha a technikai háttér nem bírja. Ha a saját tárhely túlterhelődik vagy a szolgáltató nem rendelkezik megfelelő felhőbeli erőforrással, a webáruház elérhetetlen lesz. Az Unas szerverparkja átlagos napon, csúcsidőszakban 15-20%-os terheltséggel működik, így könnyedén kiszolgálná azt is, ha az összes webáruházban háromszorosára növekedne a terhelés.
Vírus
Nyílt forráskódú rendszerek, OpenCart, PrestaShop, Woocommerce webáruházak forráskódjai mindenki számára megismerhetőek. Ezáltal a hackerek számára is nyitott könyv, könnyebben megtalálják azok gyenge pontjait, a biztonsági rések felfedezése egyszerű. Ezekbe a rendszerekbe könnyen be tudnak juttatni vírusokat, rosszindulatú kódokat, aminek segítségével adatokat szerezhetnek meg, hírleveleket küldhetnek ki.
A zárt rendszereket nehezebb feltörni, mivel a kódot csak a fejlesztők ismerik. Az Unas rendszer teljes egészében saját fejlesztés, nem használunk benne nyílt forráskódú részleteket sem. Ez természetesen nem azt jelenti, hogy feltörhetetlen, de nagyságrendekkel nehezebb. A teljesen zárt kód viszonylag ritka, hiszen van olyan webáruház szolgáltató, aki OpenCart motorra építette a rendszerét.
Unas felhasználók beállításai
A webáruházak adatbázisai, akár a termékadatbázis, akár a megrendelés és vásárló adatbázis rendkívül nagy értékkel rendelkeznek. Emellett a fentiek szerint törvényi kötelezettség is van azok megfelelő védelmére. A webáruház adminisztrációs felületére való belépés a legtöbb szolgáltatónál egykapus rendszerű, ha a felhasználónév és a hozzá tartozó jelszó megvan akkor korlátozások nélkül elérhető lesz minden adat.
Az Unas rendszerben minden csomagban létrehozható
korlátlan számú felhasználó. A felhasználók
jogkörei, menükhöz való hozzáférése tetszőlegesen szabályozható. Érdemes a munkatársaknak csak azokhoz a menükhöz hozzáférést adni, amire a munkakörük vonatkozik. További biztonságot nyújt, ha
IP szűrést alkalmaz az üzemeltető, így a hozzá tartozó webáruház adminisztrációs felületére csak bizonyos IP címekről lehet belépni (pl. kizárólag egy irodából).
Napjainkban elengedhetetlen: Kétfaktoros hitelesítés
Minden valamit magára adó nagyobb szolgáltató biztosít már kétfaktoros hitelesítést az ügyfelei számára. Igazodva ezekhez a trendekhez, ezentúl mi is megadjuk a lehetősége erre. Az előfizetők teljes jogú felhasználói eldönthetik, hogy egy partnertörzs alatt használnak-e kétfaktoros hitelesítést, de az egyes felhasználóra is rábízhatják, hogy ki szeretne-e élni ezzel a lehetőséggel.
A kétfaktoros hitelesítésre többféle megoldás is létezik: SMS, emailben küldött link, hitelesítő kód. Az SMS és az email nehézkes megoldás, megérkezése is időbe telhet. Emiatt az egyik leghatékonyabb megoldást választottuk, a
Google Hitelesítő (Google Authenticator) alkalmazás segítségével oldottuk meg a belépés második szakaszát. Ez egy mobiltelefonos alkalmazás, ami Android és IOS készülékekre telepíthető. A belépéskor a felhasználónév és jelszó megadása után szükséges még egy hitelesítő kód megadása is, ami ezzel az applikációval generálható.
A beállítása roppant egyszerű. A Partner adminisztrátori felületen a Felhasználók menüben elő lehet írni a fiókhoz tartozó felhasználóknak a kétfaktoros hitelesítést. Az ezt követő első belépéskor egy QR kódot kap a felhasználó amivel összekapcsolhatja a Google Hitelesítő alkalmazását. Az ezt követő belépésekor már generálható a hitelesítő kód az alkalmazás segítségével. További egyszerűsítő funkció, hogy egy bizonyos eszközt, számítógépet megbízhatónak lehet jelölni, így ha innen egyszer megtörténik a hitelesítés, folyamatos használat mellett nem kell kétfaktoros hitelesítést alkalmazni.
Végszó
A fentiekből látszik, hogy a biztonság is olyan kérdés egy webáruház üzemeltetése során, amire ügyelnie kell a kereskedőnek. Ha a webáruházat Unas rendszerben működteti, akkor sok dologgal nem kell foglalkoznia, hiszen azokat tartalmazza az előfizetése.
