Sicurezza negli eCommerce: server e servizi esterni
Siamo giunti al quarto ed ultimo appuntamento dedicato alla sicurezza in ambito eCommerce: parliamo chiaramente di qualunque tipologia di shop, sia esso B2B che B2C. Abbiamo voluto dedicare uno spazio importante a questo tema perché riteniamo fondamentale che cominci a diffondersi una “cultura” della sicurezza, troppo spesso ignorata o peggio sottovalutata.
Indice
Nell’era del cloud quasi tutti gli applicativi eCommerce si appoggiano su servizi di hosting esterno per l’archiviazione e la gestione dei propri dati: è un’attività che se da una parte solleva gli imprenditori dal peso di dover gestire anche questi aspetti e potersi concentrare su quelli più “operativi” di sviluppo e mantenimento dei contenuti e dei servizi offerti, è vero d’altra parte che richiede una competenza specifica e che deve poter dare garanzie ben precise (di recupero backup e e ripristino, di sicurezza, per l’appunto).
Esistono procedure di sicurezza e standard di riferimento che possono aiutarci ad orientarci nella scelta di un servizio hosting o di pagamento rispetto ad altri, vediamo quali.
Gli standard di sicurezza per i servizi di pagamento
Optare per server aderenti allo standard di protezione PCI.
Lo standard di protezione dei dati per il settore delle carte di pagamento (PCI DSS) è stato sviluppato per favorire e migliorare la protezione dei dati dei titolari di carta nonché per semplificare l’implementazione di misure di sicurezza dei dati coerenti a livello globale. Lo standard PCI DSS mette a disposizione una base di requisiti tecnici ed operativi volti a proteggere i dati dei titolari di carta.
Lo standard PCI DSS si applica a tutte le entità coinvolte nell’elaborazione di carte di pagamento, con l’inclusione di esercenti, elaboratori, acquirenti, emittenti e provider di servizi, nonché di tutte le altre entità che si occupano di memorizzare, elaborare o trasmettere dati dei titolari di carta e/o dati sensibili di autenticazione.
Gli standard di sicurezza per server e servizi nell’eCommerce
- Usare una crittografia 256 bit, anche detta Advanced Encryption Standard (AES): fornisce infatti un algoritmo di protezione ad alto livello di affidabilità.
E’ lo standard utilizzato dall’Agenzia Nazionale della Sicurezza degli stati Uniti, per intenderci. - Effettuare backup regolari
- Allineare e formare i dipendenti sulle procedure: formare ed aggiornare periodicamente gli operatori coinvolti sulle tecniche per riconoscere e gestire al meglio eventuali messaggi contenenti link infetti.
- Effettuare controlli visivi e manuali sull’intero sito: non affidatevi soltanto ai software di verifica di sicurezza. Sono indispensabili, certo, ma monitorare regolarmente le pagine, fare test di controllo sugli indirizzi di spedizione/fatturazione, sugli IP ci offre un grado di consapevolezza e dunque capacità di controllo sull’intero ecosistema eCommerce che spesso può rivelarsi impagabile. Ogni attività sospetta accenderà una lampadina, un controllo in più, e sarà magari in grado di evitare il peggio per tempo.
- Fate dei test il vostro mantra: sì, è un’attività time-consuming. Sì, può essere ripetitiva. No, non è assolutamente una perdita di tempo. Oltre a presidiare in maniera regolare funzionalità ed eventuali bug di sistema ha per l’appunto il vantaggio d’individuare falle o di rintracciare per tempo anomalie sospette.
<h2>Misure di sicurezza per sistemi eCommerce</h2>
Quali sono quindi le misure di sicurezza base atte a garantire la protezione del proprio sistema eCommerce?
I due strumenti di monitoring/reporting principali sono:
- Vulnerability Assessment: un’attività che consente di individuare, analizzare e risolvere le vulnerabilità relative a siti internet e applicazioni web. Vengono al contempo calcolati i livelli di rischio e individuate le azioni correttive per l’ottimizzazione del sistema ed il ripristino dei giusti livelli di sicurezza.
- Network Scan: analizza la vulnerabilità dell’intera infrastruttura, non solo dell’applicativo in sé. Ad esempio è in grado di analizzare qualunque dispositivo connesso ad un certo IP, e dunque server, router, switch etc. In questo modo il monitoring è completo e va a coprire l’intera rete di sistema.
E’ bene notare che entrambe le procedure possono essere implementare grazie a strumenti completamente automatizzati e disponibili in cloud.
Se è vero che i temi della cyber security sono senz’altro complessi e che necessitano di figure professionali specifiche e dedicate, lo è altrettanto il fatto che in termini generali la sicurezza e affidabilità di un’applicativo eCommerce risiede tutta nella figura dell’imprenditore che ne è il proprietario e promotore.
Sta a lui infatti capire l’importanza di attivarsi per implementare sul proprio shop misure e strumenti adeguati perché gli utenti non incorrano in attacchi fraudolenti.
