Trwa dobra passa dla prowadzenia biznesu w sieci. Rynek e-commerce dynamicznie rośnie. 31% Polaków przyznaje, że zwiększyło swoją aktywność w zakresie zakupów online dla produktów spożywczych i kosmetyczno-chemicznych – wynika z badania Nielsena “Wpływ Covid-19 na zachowania konsumentów”. E-sklepy przy rosnącym zainteresowaniu ich ofertą powinny szczególnie zadbać o ochronę danych osobowych konsumentów. ODO 24 prezentuje checklistę działań mających zapewnić bezpieczeństwo klientów sklepu internetowego.

– Sklepy internetowe są częścią jednej z najprężniej rozwijających się gałęzi globalnej gospodarki – tym bardziej w czasach społecznej izolacji. Działanie w branży e-commerce to nie tylko obowiązki w zakresie dokumentacji oraz stosownych komunikatów, narzuconych przez przepisy prawa. To również kwestia podjęcia odpowiednich kroków, mających na celu zapewnienie bezpieczeństwa osób korzystają z naszych usług oraz ich danych osobowych– wskazuje adw. Łukasz Pociecha, ODO 24.

Warto zadbać o zabezpieczenie zasobów wykorzystywanych w ramach prowadzenia biznesu on-line, a także bezpieczeństwo przechowywanych danych osobowych (imię, nazwisko, adres email, historia zakupów, informacje finansowe, numery kart płatniczych, dane adresowe, numeru telefonów, adres email). W tym celu należy:

• Stosować certyfikat SSL (znaczek kłódki w prawym górnym rogu strony internetowej, po lewej od adresu strony) – oznacza on stworzenie odpowiedniego połączenia pomiędzy stroną internetową a serwerem, z którego korzystamy. Daje to gwarancję zaszyfrowania danych osobowych wykorzystywanych w sklepie internetowym,

• Informować klientów o fakcie zabezpieczenia sklepu internetowego certyfikatem SSL – zwiększy to poczucie bezpieczeństwa oraz pozwoli na wybór właśnie naszego sklepu na zakupy,

• Szyfrować bazy danych oraz zabezpieczać je silnym hasłem,

• Korzystać z programów antywirusowych,

• Stosować oprogramowanie do backupowania danych gromadzonych w ramach sklepu internetowego. Uchroni nas to przed całkowitą utratą informacji oraz umożliwi odzyskanie straconych zasobów np. w skutek ich kradzieży w ramach ataku hakerskiego,

• Korzystać z kliku serwerów do przetrzymywania danych gromadzonych w ramach sklepu,

• Zabezpieczać serwery, w ramach których prowadzi się sklep internetowy, w których trzymane są informacje:
a) w przypadku hostingu, koniecznym jest wnikliwa weryfikacja dostawcy odpowiedzialnego za stosowanie odpowiednich zabezpieczeń.
b) w przypadku korzystania z serwera lokalnie, koniecznym jest jego odpowiednie zabezpieczenie przed dostępem osób postronnych oraz stosowanie oprogramowania do przechowywania danych poufnych.

• Kontrolować dostęp do panelu administratora (za jego pośrednictwem można m.in. wydobyć dane klientów). Należy stosować silne hasła oraz nadawać dostępy ściśle ograniczonej liczbie osób,

• Umożliwiać zmiany haseł użytkownikom,

• Stosować uwierzytelnianie dwuetapowe,

• Wdrożyć odpowiednie zabezpieczenia sieciowe, u dostawcy lub w miejscu, gdzie ulokowano serwer. W tym stosować systemy wykrywające włamania IDS oraz systemy zapobiegające atakom IPS,

• Wyłączyć możliwość logowania do panelu administracyjnego z sieci publicznej, dostęp poprzez VPN,

• Wykonywać regularne testy penetracyjne,

• Zapewnić monitorowanie ruchu sieciowego.

Nie można również zapominać o samym płatnościach. Warto wdrożyć, system, który zapewnia zabezpieczenie transakcji 3D-Secure, czyli autoryzację np. poprzez kod zawarty w smsie. Co więcej, należy umożliwić klientom wybór alternatywnych sposób płatności, jak np.:
• korzystanie z operatorów płatności elektroniczne, weryfikujących sklepy internetowe korzystające z ich usług,
• płatności kartą kredytową,
• przelew bankowy
• płatność przy odbiorze,

– Istotne jest również to, aby cały czas mieć świadomość możliwych ataków hackerskich typu ransomware, phishing (z wykorzystaniem marki sklepu). Obok kluczowych zabezpieczeń należy również pamiętać o stosowaniu i udostępnianiu niezbędnych dokumentów związanych z prowadzeniem sklepu internetowego, takich jak: regulamin sklepu internetowego, polityka prywatności (ochrony danych osobowych), klauzule informacyjne dotyczące przetwarzania danych osobowych – podsumowuje adw. Łukasz Pociecha ODO 24.