Resta aggiornato con le ultime news SAEP!

sicurezza-ecommerce-milano.jpg

Controlli e verifiche periodiche: giocare d’anticipo

Controlli periodici consentono di agire tempestivamente, di anticipare eventuali attacchi, di scoprire eventuali falli e potervi rimediare prima che si verifichino intrusioni indesiderate.
Esistono test automatici capaci di valutare quanto l’applicazione è effettivamente esposta ed il livello di rischio. Questo tipo di test vengono lanciati più o meno trimestralmente e sono in grado di individuare eventuali vulnerabilità e rilasciare un’analisi piuttosto accurata con reportistica puntuale di quanto rilevato e strategie di risoluzione.

Tutte le pagine in sicurezza: l’importanza del protocollo https

Non è sufficiente mettere in sicurezza le sole pagine di pagamento: l’intero sito deve essere a prova di attacco.

Come? Innanzitutto applicando una crittografia https all’intera mappa del sito, capillarmente sino alla più indentata pagina-foglia.
Https, ovvero “HyperText Transfer Protocol over Secure Socket Layer” è un protocollo per la comunicazione sicura attraverso una rete di computer utilizzato su Internet.

La sicurezza di HTTPS è garantita dal protocollo TLS sottostante, che in pratica utilizza chiavi private e pubbliche a lungo termine per generare chiavi di sessione a breve termine. Queste chiavi sono utilizzate successivamente per cifrare il flusso dei dati scambiati tra client e server.

Utilizzare la versione più aggiornata del software per il tuo eCommerce

Se ci si è affidati a piattaforme esterne “chiavi in mano” come Wordpress e simili riceverete continui alert per il passaggio alla versione più aggiornata del software: questo perché questi tipi di piattaforme aggiungono “pezze” (“patches”) nel tempo, proprio per andare a mettere in sicurezza precedenti falle.

Se invece avete una piattaforma sviluppata ad hoc, in quel caso voi non dovete pensare a nulla perché saranno i vostri consulenti a tenere aggiornato il sistema.

L’annosa questione dei template (template wp, parliamone)

Hanno aperto più falle template e plugin wordpress non autorizzati di Anonymous.
Scherzi a parte, è davvero importante che, nel caso in cui utilizziate piattaforme come Wordpress Woocommerce o Magento, i file di template e plugin siano autorizzati dalla casa madre, scaricandoli direttamente dalla piattaforma ufficiale.

L’annosa questione delle password

Dovrebbe ormai essere superfluo specificare che le password devono essere buone password, invece migliaia di account pullulano tutt’oggi di “1234”, “password” e le immancabili, impenetrabili (sic) “nomedelsito”.

Ma come fare a progettare una buona password con un accettabile valore di sicurezza?
Pensate a quelle applicazioni che -giustamente- rifiutano le vostre date di nascita e v’impongono una serie di parametri.
No, non lo fanno per farvi uscire in ritardo dall’ufficio. Lo fanno per il vostro bene.
Ecco le regole d’oro per la generazione di una password con un buon livello di sicurezza:

  • Impostate password lunghe: minimo 10 caratteri.
  • Inserite caratteri maiuscoli e minuscoli.
  • Includete caratteri speciali (#, ?, %, _)
  • Usate alfanumerici, ovvero mischiate lettere e cifre
  • Sbizzarritevi in fantasia nel creare acronimi, quindi -ad esempio – se proprio dovete inserire il nome del vostro cane bulimico, sostituitelo con un acronimo simpatico facile da ricordare, AMDF (Adorabile Mangiatore di Frodo).

Va da sé che se le password sono condivise tra più utenti:

  • Non vanno inviate per e-mail (o quantomeno non per intero: ad esempio potreste inviarne una prima metà via e-mail, l’altra via messaggio).
  • Modificatele con frequenza.
  • Lasciarla su un foglio volante o “carta del formaggio”, in bella vista sulla scrivania non è una buona idea.
  • Fare copia-incolla dopo aver googlato “password sicura da usare, esempio” non è una buona idea: è pessima.
  • Cambiatela: no, non intendo modificarla spesso (l’ho già detto al punto 2).
    Intendo: non usate sempre e comunque la stessa password per l’applicazione della banca, quella della scuola per verificare la pagella dei figli e poi ancora la stessa per accedere al cloud aziendale. La varietà -spesso nella vita – non fa male, anzi.
  • Per i pagamenti, utilizzate un PCI. Il PCI è l’Ente responsabile degli standard di protezione delle transazioni di pagamento per lo sviluppo, il miglioramento e l'implementazione degli standard di sicurezza per la protezione dei dati degli account di pagamento.

Per oggi è tutto, alla prossima (e ultima) puntata dedicata alla sicurezza nell’eCommerce.

  • Categories:
  • Sviluppo WEB

Articoli correlati

sviluppo-single-page-application-milano.png__800x450_q85_crop_subject_location-800,495_subsampling-2.jpg#
Single Page Application: cosa sono, come funzionano e vantaggi
Le SPA o Single Page Application sono applicazioni web fruibili come singola pagina senza necessità di caricamento per pagine: scopriamone ...
software-gestionale.jpg#
Software Gestionale
Le soluzioni software gestionali Saep ICT e Saep Informatica nascono per soddisfare qualsiasi necessità di gestione aziendale: sommano l'esperienza di ...
pwa.png#
PWA: cosa sono le progressive web apps
Le PWA – Progressive Web Application sono applicazioni estremamente focalizzate sull’importanza della User Experience e che si distinguono per ben ...
consulenza-informatica-milano.png#
Cosa fa un Consulente IT nel 2019
La consulenza informatica: "IT Consulting" o "Business and Technology Consulting" è una forma di consulenza che consiste nella prestazione professionale, ...
sviluppo-ecommerce-responsive-mobile-first-indexing.jpg#
Perché avere un e-commerce responsive: il Mobile First Indexing
Se sul finire di questo 2018 qualcuno ancora stesse sottovalutando l'importanza di ottimizzare contenuti e servizi per la navigazione da ...
Consulenza SEO Milano#
Consulenza SEO a Milano
Che voi abbiate un sito aziendale o un'e-commerce da promuovere e rilanciare, probabilmente avete già sentito parlare del termine SEO ...
come-indicizzare-una-single-page-application.jpg#
Sviluppare applicazioni SPA compatibili con l’ottimizzazione SEO.
Le Single Page Application non vanno di pari passo con la SEO? Ni. Si possono sviluppare buone applicazioni SPA strizzando ...
sviluppo-app-android-ios-milano.png#
Come scegliere una società di sviluppo app
Ecco alcune linee guida per aiutarti a trovare la giusta azienda di sviluppo app cui affidarti per trasformare la tua ...
quanto-costa-una-software-house.png#
Quanto costa lavorare con una software house
Probabilmente ti sei chiesto quanto costa una collaborazione con un'agenzia di sviluppo software, la cosiddetta software house.La creazione di soluzioni ...
check-list-fattori-ranking-on-page.jpg#
Fattori di ranking on-page: la checklist
SEO o Search Engine Optimization è il nome dato all'attività che tenta di migliorare il posizionamento di un sito web ...
significato-acronimo-ict.png#
ICT significato e definizione
Ti sarà capitato di chiederti cosa significhi ICT, l'acronimo che identifica l'attività di molte aziende e software house che lavorano ...
sviluppo-software-personalizzato.jpg#
Sviluppo software personalizzato
Il processo di sviluppo software è un'attività complessa che richiede un’attenta pianificazione, un costante controllo e una documentazione specifica e ...
landing-page.jpg#
Landing pages: Cos'è una Pagina di Destinazione
Nel marketing digitale, una landing page è una pagina web autonoma, creata appositamente ai fini di una campagna pubblicitaria o ...
sviluppo-in-python-milano.jpg#
Sviluppo software in Python - perché ci piace.
Cerchi un team che possa supportarti nello sviluppo di software in Python? Sviluppiamo applicazioni WEB di tipo Enterprise in Python ...
dns_pubblico_di_google.png#
DNS Google pubblico diventa 8.8.8.8
Google Public DNS è un servizio gratuito offerto agli utenti Internet di tutto il mondo da Google. Il DNS Google ...
Schermata 2019-04-17 alle 11.47.57.png#
Google Material Design - La nostra guida
Cos’è il Materiale DesignIl Material Design è uno stile, un codice, un linguaggio di design sviluppato da Google supportato nativamente ...
continuous-delivery-sviluppo-software.jpg#
Continuous delivery: uno standard di qualità dello sviluppo software
Continuous integration e continuous delivery: cosa sonoInnanzitutto definiamo il concetto di continuous integration o integrazione continua.Un esempio pratico?Quando sviluppiamo un ...
sviluppo-python-django-milano.jpg#
Sviluppo Python & Django, tutti i vantaggi: a tu per tu con chi programma
Ciao Matteo, innanzitutto raccontaci almeno un po’ di te: come sei arrivato in SAEP ICT e che tipo di percorso ...
sicurezza-ecommerce-milano2.jpg#
Sicurezza nell’eCommerce: principali rischi e come difendersi (parte 2)
Misure di sicurezza per i sistemi eCommerce: cosa dice il DGPR EuropeoLe misure di sicurezza nell’ambito di sistemi di eCommerce ...
app-per-offerte-commerciali.jpg#
App per la gestione delle offerte commerciali
Offerte e preventivi: i parametri utili per snellire i processiCome ogni commerciale o agente di commercio sa, la creazione dell’offerta ...
sviluppo-applicazioni-angular-milano.png#
Sviluppo web application in Angular: tutti i vantaggi
Caratteristiche principali di AngularAngular è un framework opensource dedicato allo sviluppo di applicazioni WEB e sviluppato principalmente da Google. Dire ...