1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

Bezpieczeństwo sklepu internetowego

Dyskusja w 'Firma w Internecie' rozpoczęta przez użytkownika Grzesiek, 27 Maj 2015.

  1. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 555
    Docenione treści:
    325
    Kolejny temat i powiązane z nim pytania, jakie często pojawiają się podczas Waszego kontaktu z nami: czy sklep internetowy jest bezpieczny? W jaki sposób zadbać o bezpieczeństwo sklepu internetowego? Czy ktoś ma dostęp do sklepu poza administratorem?

    W przypadku prowadzenia działalności, polegającej na sprzedaży towarów on-line, sprzedający nie tylko zarządza stroną prezentującą produkty (ogólnie pisząc) ale także zarządza całym systemem, niejednokrotnie połączonym z bazami danych, systemami płatności, zarządzania przesyłkami oraz zarządzania klientami. Dba o poprawność działania systemu, statystyk, cookie, certyfikatów oraz wyglądu!

    To odpowiedzialne zadanie, zachować bezpieczeństwo sklepu i jego zawartości, w tym bazy klientów, spoczywa na administratorze/właścicielu sklepu internetowego. Dostawca usługi hostingowej, w tym wypadku, odpowiada przede wszystkim za dostępność sklepu w sieci. Opiera się głównie o utrzymaniu systemu, który zapewnia dostęp do usługi, na której sklep działa.

    W sytuacjach krytycznych, może np. pomóc w przywróceniu sklepu internetowego do stanu początkowego lub udostępnić kopię zapasową.

    A co z resztą? Wcześniej wskazane elementy oraz dostęp do nich, kontrolowany jest przez administratora samego sklepu. Dlaczego? Administrator posiada dane dostępowe do konta, on również wprowadza na stronie zmiany, modyfikuje kod źródłowy, zarządza powiązaniami jego systemu z systemami zewnętrznymi.

    Brzmi strasznie, czy warto się obawiać? Odpowiedź jest jedna i bardzo prosta: NIE! Nie ma powodów do strachu, warto jednak zwrócić uwagę na kilka elementów, które pomogą w ochronie sklepu internetowego.

    1. Pierwszy i najważniejszy element: silne hasła dostępu! Brzmi banalnie ale to jest coś, co dotyczy każdego użytkownika internetu, niezależnie czy posiada sklep, skrzynkę e-mail czy loguje się na ulubione forum dyskusyjne. Często jest to najprostsza droga dostępu do Twoich danych.

    Konto administratora w sklepie, posiada dostęp do całych zasobów. Z poziomu Panelu niejednokrotnie wykonujemy najwięcej operacji i konfiguracji w sklepie internetowym.

    Jeśli mowa o haśle, to na pewno nie muszę przypominać Wam, aby nie zapisywać haseł w notatniku, na kartkach przyklejonych do monitora czy przekazywać je osobom trzecim.

    home.pl: polecamy krótki artykuł dot. metod tworzenia silnych haseł dostępu. Kliknij tutaj, aby poczytać więcej.

    2. Tworzenie wielu kont dostępu: ten element, nie tylko dotyczy dostępu dla wielu administratorów, odpowiedzialnych np. za poszczególnie systemy (płatności, dostawy, magazyn, wygląd), ale także ograniczeniu dostępu do newralgicznych danych osobom, które nie powinny tego dostępu posiadać. To szczególnie ważny element, gdy udostępniamy nasz sklep zewnętrznej firmie (która, np. zajmuje się grafiką) lub ograniczamy dostęp do bazy klientów (która, jest nie tylko naszym kluczem do działania firmy, ale i podlega ochronie prawnej).

    Pamiętajcie, aby zadbać o silne hasło!

    home.pl: w ramach usługi Click Shop, możesz tworzyć wiele grup i kont administratorów. W ten sposób, każdy posiada własny login i hasło, oraz wydzielone zasoby systemu, do których ma dostęp. Jeśli chcesz, możesz zezwolić im na edycję danych lub sam odczyt. To wygodne rozwiązanie, pozwala np. udostępnić wybrane elementy osobom trzecim, z zachowaniem ograniczeń, które uniemożliwią ingerencję w ustawienia sklepu lub dostęp do istotnych danych.

    Pamiętajmy, że dane klienta to jego własność, którą powierza nam w celu wykonania usługi.

    3. Certyfikat SSL: do niedawna, była to opcja, dziś jest to podstawa systemu bezpieczeństwa sklepu. Certyfikat SSL to nie tylko dodatkowy prestiż i logo kłódki na stronie, to także aktywny system szyfrowania danych, które mogą ulec przechwyceniu. Kiedy i gdzie? Wszędzie tam gdzie dochodzi do wymiany informacji, pomiędzy stroną a serwerem, np. podczas logowania, rejestracji, finalizowania zakupów, wykonywania płatności.

    To także ochrona połączenia, podczas prac w panelu administracyjnym oraz ochrona Twojej poczty e-mail.

    Trudno będzie nam dziś znaleźć system płatności, który podczas jej wykonywania, nie szyfruje połączenia (https://) jeśli taki się trafi, warto zastanowić się dwa razy przed zatwierdzeniem przelewu.

    home.pl: w ramach sklepu internetowego Click Shop, każdy użytkownik od momentu rejestracji, posiada dostęp do szyfrowanego połączenia SSL. Już na etapie tworzenia sklepu internetowego jest on zabezpieczony. Jeśli dodatkowo chcielibyśmy podłączyć własną domenę, będzie ona wymagała własnego certyfikatu. Dla klientów Click Shop Premium taka usługa jest wliczona w cenę.

    Kliknij tutaj, aby zobaczyć ofertę sklepów internetowych Click Shop lub kliknij tutaj, aby dowiedzieć się więcej o ofercie certyfikatów SSL.

    4. Regularna kopia zapasowa sklepu: na szczęście większość firm oferuje ją w standardzie. Jeśli mimo to chcielibyśmy zwiększyć zakres danych, jakie zabezpieczamy, warto korzystać z eksportu danych. Największą stratą dla użytkowników sklepu internetowego, jest najczęściej baza klientów i baza produktów. Oczywiście, klienci jeśli byli, to sami wrócą na kolejne zakupy, stracimy jednak z nimi kontakt wychodzący z naszej strony. Baza produktów jest często do odzyskania, na podstawie bazy dostarczanej przez hurtownie itp. A co z bazą, którą tworzyliśmy sami i jest unikalna?

    home.pl: w ramach oferty sklepów internetowych Click Shop, masz możliwość przywrócenia regularnej kopii zapasowej z 3 ostatnich nocy. Dodatkowo, w panelu administracyjnym sklepu, masz dostęp do Centrum Wymiany Danych, które umożliwia wykonanie importu oraz eksportu danych ze sklepu, do pliku.

    5. Automatyczne aktualizacje sklepu: stworzenie sklepu internetowego nie wymaga zbyt dużo czasu. Sam proces uruchomienia, to kwestia rejestracji usługi lub jej instalacji (np. sklepy oparte o platformy CMS typu WordPress). Bardzo istotne jest jednak to, w jaki sposób autorzy danego oprogramowania, dbają o jego aktualizacje i bezpieczeństwo. Decydując się na stworzenie sklepu "na wymiar" czyli budowa od podstaw, niejednokrotnie narażamy się na brak aktualizacji zabezpieczeń. Każdy utworzony sklep jest unikalny, z jednej strony, pojawiające się dziury w zabezpieczeniach, nie są globalne, nie będą więc wykorzystywane w sieci, z drugiej strony, autorzy oprogramowania, nie widząc zagrożenia nie poprawiają potencjalnych błędów w jego budowie.

    Decydując się na zakup oprogramowania sklepu, warto dowiedzieć się więcej o jego aktualizacjach i procesie, w jakim są one wykonywane. Najlepszym rozwiązaniem będzie automatyczna i bezpłatna aktualizacja, wykonywana bez dodatkowej ingerencji z naszej strony.

    home.pl: oprogramowanie Click Shop podlega automatycznym aktualizacjom, wykonywanym w regularnych odstępach czasu. Aktualizacja jest globalna, oznacza to, że każdy z użytkowników usługi, posiada tą samą wersję oprogramowania. W przypadku stwierdzenia jakichkolwiek zagrożeń, np. w 1 sklepie, każdy klient otrzymuje bezpłatną aktualizację, wykonywaną po stronie home.pl.

    W raz z usługą Click Shop, otrzymujesz sklep, który zawsze jest dostępny w najnowszej wersji.

    6. Dostęp do serwera FTP i plików źródłowych: tu, warto wrócić do punktu 1, dotyczącego bezpiecznego hasła dostępu do zasobów. Zarówno hasło do panelu jak i serwera FTP, powinno spełniać określone kryteria. Także i to hasło, nie powinno być udostępniane osobom trzecim. Dostęp do plików źródłowych oznacza dostęp do całej strony, możliwość jej modyfikacji, a najczęściej możliwości podmiany linków, utworzenia przekierowań. Jeśli nie zadbamy o ten elementy, szybko nasza strona może zniknąć z sieci lub użytkownicy sklepu, zamiast kupować u nas, zostaną przekierowani do innych serwisów. Mniej lub bardziej wiarygodnych.

    home.pl: w przypadku usługi Click Shop, dostęp do serwera FTP nie jest warunkiem koniecznym do konfiguracji sklepu. Pliki źródłowe, pliki systemowe (php, htaccess), pliki .css i .tpl (odpowiedzialne za wygląd) oraz inne elementy podlegające edycji, dostępne są z poziomu Panelu administracyjnego sklepu.

    Na serwerze FTP pliki sklepu nie są widoczne dla użytkownika. W ten sposób wyeliminowaliśmy ryzyko włamania i edycji tych plików, przez osoby niepowołane. To także wyklucza ryzyko skasowania sklepu. Wracając do punktu 2 naszego wpisu, możemy w łatwy sposób za pomocą konta administratora lub kont dodatkowych użytkowników panelu, uzyskać dostęp do wybranych zasobów, np. plików skórki, plików konfiguracyjnych. Wbrew pozorom, jest to wszystko, czego firma pozycjonująca czy studio graficzne, potrzebują, aby Twój sklep wyróżnił się w sieci.

    ---

    Oferta sklepu internetowego Click Shop, dostępna jest pod adresem:
    https://home.pl/sklepy-internetowe
    Oferta Certyfikatów SSL, dostępna jest pod adresem: https://home.pl/ssl

    A Wy, w jaki sposób dbacie o bezpieczeństwo sklepu internetowego lub swojej strony WWW? Podzielcie się swoimi doświadczeniami i metodami.
     
  2. clinton

    clinton Nowy użytkownik

    Wiadomości:
    4
    Docenione treści:
    1
    Grzesiek, 100% racji. Dla mnie dodatkowym atutem certyfikatu SSL, jest ta strona wizerunkowa. Użytkownicy coraz częściej zwracają uwagę na to w jaki sposób i gdzie wprowadzają swoje dane więc ja osobiście gdy widzę sklep bez podstawowego nawet certyfikatu SSL, żegnam się z nim od razu :)
     
  3. Mariusz

    Mariusz pomoc.home.pl home.pl Administrator forum

    Wiadomości:
    3 060
    Docenione treści:
    300
    Dla mnie również certyfikat SSL jest warunkiem, który wymagam, aby przejść do transakcji w sklepie internetowym. Już kilka razy musiałem się pożegnać ze sklepem już będąc w koszyku, gdy zauważyłem, że transmisja danych nie jest szyfrowana. Wolę nie ryzykować "podsłuchania" danych mojej karty kredytowej lub innych poufnych danych.

    Drugą sprawą jest pozycjonowanie w Google, na które od niedawna pozytywnie wpływa posiadanie certyfikatu SSL. Jeśli sklep będzie zabezpieczony certyfikatem SSL, będzie wyżej w wynikach od konkurencji bez certyfikatu SSL.

    Dla mnie ważne jest również posiadanie wersji mobilnej. Może nie jest to temat pasujący do bezpieczeństwa, ale zwracam na to bardzo często uwagę. Przy okazji warto wspomnieć, że posiadanie wersji mobilnej też pozytywnie wpływa na pozycjonowanie. Google z pewnością również na to zwraca uwagę :)
     
  4. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    Jeśli korzystacie z PAYU to dane transakcji są szyfrowane :) Ostatnio zauważyłem, że ssl są mocno promowane przez firmy hostingowe je sprzedające jest jednak pewien haczyk. Te tanie sa nieautoryzowane, te autoryzowane sa w dalszym ciągu drogie. Jeśli ssl jest nieautoryzowany przeglądarki będą komunikowały o tym i że może być to próba oszustwa co może przynieść skutek odwrotny do zamieżonego :) Kolejna sprawa, że taki nie autoryzowany certyfikat można sobie samemu wygenerować mając serwer na jakimś Linuksie, czy Uniksie lub dostęp do konsoli serwera gdzie masz stronę (serwer dedykowany, jakiś VPS).
     
  5. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 555
    Docenione treści:
    325
    Czy pisząc o certyfikatach autoryzowanych masz na myśli certyfikaty wystawiane przez konkretne jednostki certyfikujące? A nieautoryzowane generowane ręcznie? Wtedy faktycznie mogą pojawiać się różnego rodzaju ostrzeżenia. Szczerze, poza stronami testowymi lub typowymi fake'ami nie widziałem nigdy aby ktoś ryzykował z takim certyfikatem. Ale są firmy hostingowe, także u nas w kraju, które takie certyfikaty oferują w pakiecie.

    W ofercie posiadamy certyfikaty SSL znanych wystawców, a Ty otrzymujesz pieczątkę, którą możesz umieścić na stronie jako dodatkowa informacje o certyfikacie. Analogicznie widać ją w informacji o certyfikacje przy adresie strony WWW.

    To wszystko działa, dlatego do prowadzenia działalności, gdzie strona jest naszą wizytówką i wykonujemy na niej ważne transakcje, najlepiej zainteresować się certyfikatami najwyższego typu, np. EV. Dla zwykłych stron i poczty wystarczy podstawowy, np. HomeSSL
     
  6. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    Tak, dokładnie to mam namyśli i nie chodzi mi o certyfikaty wystawiane poprzez Home. Są różni usługodawcy oferujący te certyfikaty.
     
  7. Dominik

    Dominik Opiekun

    Wiadomości:
    176
    Docenione treści:
    27
    A ja, choć mam ssl, nadal mam wątpliwości, jaki % klientów (nie wiedzących co to jest linux, do czego służy serwer, albo co to jest SEO, ale chcących kupić pościel w necie) wie co to jest ssl i jaka jest różnica między sklepem z i bez.

    I NIGDZIE nie spotkałem się z takimi badaniami. Spotykam się wszędzie z informacją, że "dużo", "coraz więcej"... Co sugeruje, że jednak niewielki procent :p
     
  8. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    520
    Dominik, możliwe, że to zależy od targetu do jakiego chcesz trafić, z mojego doświadczenia wynika, że jeśli certyfikatu nie ma ludzie mniej chętnie kupują obawiając się o swoje dane.
     
  9. Mariusz

    Mariusz pomoc.home.pl home.pl Administrator forum

    Wiadomości:
    3 060
    Docenione treści:
    300
    Certyfikaty SSL można powiedzieć, że są na topie. Użytkownicy sieci Internet są coraz bardziej świadomi czym jest certyfikat SSL. Dużą zasługę mają tutaj firmy oraz instytucje, które komunikują o takim rozwiązaniu jak SSL.

    Przykładowo, Google niedawno poinformowało, że będzie pozytywnie zwracało uwagę na strony WWW korzystające z SSL. Wierzę, że ten komunikat zachęcił bardzo dużą ilość użytkowników do skorzystania z SSL.

    Natomiast podczas zgłaszania bazy danych osobowych do GIODO, na stronach WWW na których wprowadzane są dane osobowe użytkowników, wymagane jest posiadanie zainstalowanego certyfikatu SSL. Więcej informacji o GIODO w home.pl znajdziesz pod tym adresem.

    Podsumowując, chyba to już jest tylko kwestia czasu, kiedy certyfikaty SSL będą powszechnie stosowane przez wszystkich. Edit: mam na myśli tutaj nie tylko strony WWW, ale nawet sprzęt RTV/AGD (temat lodówek przyszłości już chyba nawet omawialiśmy na forum :))
     
  10. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    Bardziej adekwatnym jest tutaj stwierdzenie o stosowaniu certyfikatów tls/ssl, a nie samego ssl. Kolejna sprawa, że istnieją certyfikaty podpisane cyfrowo (wystawiane przez uprawnione do tego celu instytucje) oraz niepodpisane (wystawiane obecnie za odpłatnością przez większość firm hostingowych bo zrobiła się na nie moda i można kilka złotych zawsze na tym zarobić :) ). Te pierwsze są dość drogie, szczególnie dla startujących w biznesie internetowym. Te drugie można wygenerować sobie nawet samemu jeśli posiadamy serwer dedykowany bądź jakiś VPS na którym hostujemy swoją stronę-sklep.

    Jakie są wady stosowania tych drugich? a no podstawowa i chyba największą na pierwszy rzut oka jest to, że przeglądarki krzyczą o połączeniu ssl niepodpisanym cyfrowo i potencjalnej możliwości oszustwa :) To raczej nie wpływa pozytywnie na sprzedaż, szczególnie jeśli prowadzimy branże kierowaną do niezbyt kumatej społeczności w kategorii internetu i informatyki :]

    Pośrednim sposobem, jeśli nie stać nas na certyfikowany ssl, który co roku trzeba odpłatnie odnawiać jest wykorzystywanie popularnych kanałów płatności jak chociażby PayU gdzie same transakcje płatności są przynajmniej szyfrowane co podnosi bezpieczeństwo ich dokonywania przez naszych klientów.
     
  11. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    520
    Jeśli jesteśmy poważni i prowadzimy jakikolwiek interes w sieci to wydanie nawet kilku stówek na certyfikat nie powinno być problemem, ja bym się nawet nie próbował ośmieszyć instalując sobie swój wygenerowany certyfikat (chociaż wiem doskonale o co z tym chodzi), sklep, stronę robimy dla klientów, nie dla nas i to oni mają czuć się bezpieczni.
     
  12. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 555
    Docenione treści:
    325
    Jest wiele darmowych i tanich sposobów na... wszystko. Czy to uruchomienie strony, poczty, dodanie certyfikatu, uruchomienie sklepu. I takie rozwiązania są w sieci, podobnie jak ich przeciwieństwa, czyli usługi odpłatne jakie świadczymy np. my. To jest też pewnego rodzaju walka o to, aby uzasadnić, dlaczego te usługi są płatne i za co klient płaci, a w przypadku certyfikatów, właśnie za to że jest aktywna ochrona i jest kompatybilność. Czyli rozwiązanie działa i nie daje nam powodów, aby się niepokoić zbędnymi komunikatami.

    Darmowe certyfikaty, owszem, do testowania...
     

Poleć forum znajomym