Киберсигурност за електронна търговия
Най-добрите практики за защита на бизнеса в сферата на електронната търговия
Какви са опасностите в сектора за електронна търговия?
Последните няколко години бяха критични за много компании в сектора на електронната търговия, поради голямото количество кибератаки и възникващи заплахи. Изследването на Business Insider показва, че за период от една година са настъпили минимум 16 отделни нарушения на сигурността при големите ритейлъри. Много от тях се дължат на недостатъци в сигурността на платежните системи. Последният доклад на Shape Security показа, че много хора, които влизат в сайта за електронна търговия на даден търговец, са хакери, използващи откраднати данни. Това е най-високият процент от всички сектори. Някои от най-големите ритейлъри като Adidas, Macy’s, Best Buy, Forever 21 и др. са засегнати.
Голямо количество компрометирани данни се продават в „тъмната мрежа“, включително бази данни с лични данни, номера на кредитни карти и поверителни корпоративни данни, използвани от конкурентите. Друг проблем в сектора е причинен от голямото количество IoT устройства, които позволяват създаването на повече и по-добри ICMP и DDOS атаки. Много уязвимости се причиняват поради грешки при проверка на входа, пропуски от страна на клиента, уязвимости в сървърите за бази данни или уязвимости, свързани с мрежата.
Изключително важно е една организация за електронна търговия да предоставя слоеста инфраструктура за сигурност, както и да извършва редовни оценки за проверка на сигурността на своите системи, мрежи, уеб и мобилни приложения, служители.
Регламентът GDPR и други законови изисквания представляват силно предизвикателство за повечето организации, работещи с лични данни.
Тук ще обърнем внимание на следните теми:
- Някои от проблемите, с които можете да се сблъскате
- Известни атаки в сектора
- Защитни механизми
- Основни мерки за сигурност
Част от проблемите, с които можете да се сблъскате
Заплахи към клиента
- Активно или злонамерено съдържание
Активното съдържание обикновено е софтуер, който позволява предоставянето на съдържание на уебсайт. В аспекта на електронната търговия, се използва от софтуера на количката за пазаруване, за да поставя артикулите в количката на потребителя и да изчислява други разходи за тази покупка. Злонамерените хакери често използват троянски кон или софтуерна програма, която изглежда легитимна, но има неетична цел. Често използваните типове активно съдържание включват Java applets, които се използват от сайтовете за електронна търговия за извършване на различни процеси, за да се избегне задръстване на фирмения сървър. Те обаче могат да оставят компютъра на потребителя отворен за заплахи за сигурността. JavaScript се използва по подобен начин на Java applets. Потребителят трябва да го инициира, за да започне скриптът, следователно, ако потребителят почувства, че нещо не е наред със сайта, може да го напусне без никаква вреда за самия него. ActiveX контролите често се намират на сайтове за игри и тъй като те не могат да бъдат спрени след изпълнение, също могат да представляват заплаха за сигурността на компютъра на потребителя, ако се използват от хакери. Графиките, приставките за различни браузъри и имейли с прикачени файлове също могат да заразят компютъра на потребителя.
- Маскиране от страна на сървъра
Маскирането кара потребителя да вярва, че субектът, с който той комуникира, е различен обект. Например ако потребител се опита да влезе в компютърна система през интернет, но вместо това бъде пренасочен към друг компютър, който твърди, че е легитимен. Това обикновено е активна атака, при която се издава отговор, за да бъде подведен потребителят за самоличността на хакера.
Заплахи към комуникационния канал
- Заплахи за поверителността
Информацията не трябва да може да се достъпва от неупълномощени лица. Също така не следва да е възможно информацията да бъде прихваната по време на предаването. Атаката срещу поверителността може да включва инжектиране, неоторизиран достъп, излагане на чувствителни данни, Packet sniffing, атаки с парола, сканиране на портове, Dumpster diving, Keylogger, фишинг атаки и др.
- Заплахи за интегритета
Когато говорим за целостта, информацията не трябва да се променя по време на нейното предаване по мрежата, в хранилището или по време на обработката. Атаките, свързани с целостта, могат да включват, но не се ограничават до фалшифициране на данни, нарушен контрол на достъпа, дистрибуция на данни, атаки тип Salami, MITM, отвличане на сесия и други.
- Заплахи за наличността
Информацията трябва да е достъпна навсякъде и винаги, когато се изисква, в рамките на определен период от време. По отношение на наличността, често срещаните атаки са DoS, DDoS, SYN наводнение, електрически атаки, атаки на сървърната стая и други.
Сървърни заплахи
- Заплахи към уеб сървъри
По отношение на уеб сигурността има усъвършенствани техники за хакерство, причиняващи много щети. Въпреки това, някои от най-често използваните методи за атака на уеб сървър са интерпретация на URL адреси, отвличане на сесии, HTML инжекция, SQL инжекция, обезличаване на уебсайтове, обръщане на директории, атаки с неправилно конфигуриране и др.
- Често срещани заплахи за интерфейса на шлюза
Общият шлюзов интерфейс (CGI) се грижи за прехвърлянето на информация от уеб сървър към друга програма или база данни. CGI и съответните програми предоставят активно съдържание на уеб страниците. Тъй като CGI са програми, те представляват заплаха за сигурността, ако не се използват правилно. Подобно на уеб сървърите, CGI скриптовете могат да бъдат конфигурирани да работят с високи привилегии. Дефектни или злонамерени CGI със свободен достъп до системните ресурси могат да извикат привилегировани базови системни програми за изтриване на файлове, деактивиране на системата или четене на поверителна информация за потребителите, включително потребителски имена и пароли.
- Хакване на парола
Хората разбират, че добрата защита с пароли е от решаващо значение за защитата на чувствителни системи и данни, но много от тях не успяват да прилагат политиките за сигурност и системите редовно се компрометират чрез нарушени потребителски акаунти. Потребителите трябва да използват силни пароли, които не се отгатват лесно. Добрата парола е с дължина над 12 знака, като се използват главни и малки букви както и специални знаци. Хакерите обаче използват много методи, за да компрометират потребителските пароли, които се различават от кражба директно от базата данни или отгатване.
Някои от най-известните методи са:
1. Атака тип Dictionary – използва се прост файл, съдържащ думи.
2. Атака тип brute-force – опитват се всички възможни комбинации.
3. Атака тип Rainbow table – използва се списък с предварително изчислени хешове.
4. Фишинг – използва се фалшив уебсайт или формуляр за вход, който да подмами потребителя.
5. Социално инженерство – разчита се на неинформираността на потребителя.
6. Зловреден софтуер – използват се предимно регистратори на ключове или скрепер за екран.
7. Офлайн крекинг – използва се крекер на пароли за разбиване на хешове.
8. Сърфиране през рамо – паролите се въвеждат от членовете на персонала.
9. Spidering – използва се персонализиран корпоративен списък с думи.
10. Познайте – разчита се на предвидимостта на потребителя.
Известни атаки в сектора
Злонамерен софтуер
Злонамереният софтуер е разработен от злонамерени хакери, с цел да получи достъп или да причини повреда на компютърна система или мрежа, често без знанието на засегнатия потребител. Злонамереният софтуер често се нарича „компютърен вирус“, въпреки че има големи разлики между тези видове злонамерен софтуер.
Magento и други платформи за електронна търговия са особено уязвими към широко разпространени инфекции на зловреден софтуер поради тяхното разпространение на пазара. Злонамереният софтуер може да извършва изключително широк спектър от дейности. Той може да използва компютъра ви като част от ботнет, за да стартира DDOS атаки, да открадне номера на кредитни карти или чувствителна информация за акаунтите на потребителите на вашия уебсайт. Известният зловреден софтуер, предназначен за насочване към сайтове на Magento, имаше функционалността да извлича информация за кредитната карта и да я съхранява в изображения, така че нападателят да може лесно да получи достъп до нея, без да вдига аларми.
SQL, XSS
SQL Injection (SQLi) е инжекционна атака, при която нападателят изпълнява злонамерени SQL команди с променлив полезен товар, за да получи достъп до сървъра на базата данни на уеб приложение (известен също като Релационна система за управление на база данни – RDBMS). SQL Injection е една от най-старите и най-опасните атаки на уеб приложения и може да засегне всеки уебсайт или уеб приложение, които използват бази данни, базирани на SQL.
Атаките между сайтове за скриптове (XSS) също са вид инжекция, но те използват злонамерени скриптове, които се инжектират в доверени уебсайтове. Нападателят може да използва XSS, за да изпрати злонамерен скрипт, за да измами неподозиращ потребител. Някои браузъри не могат да разпознаят злонамерения скрипт и ще го изпълнят, засягайки потребителя.
Уязвимости заради валидации на входа
Най-често срещаната слабост в сигурността на уеб приложението е неуспехът да провери правилно входните данни, идващи от клиента или от средата, преди да се използва. Повечето от уязвимостите на уеб приложения се дължат на проверки на входните данни, като SQL инжектиране, скриптове на различни сайтове (XSS), инжектиране на интерпретатор, локални / Unicode атаки, препълване на буфери и атаки на файлова система. Данните от външен обект или клиент трябва да бъдат внимателно проверени, тъй като има голяма вероятност данните да бъдат модифицирани от нападател.
LOG INJECTION
Регистрационните файлове могат да бъдат използвани от нападателя за инжектиране на злонамерено съдържание или подправяне на записи в дневника, ако има уязвимост, която позволява да се записват невалидирани потребителски данни в дневниците.
Уязвимости при инжектиране на регистрационни файлове възникват, когато данните идват от ненадежден източник или данните се записват в приложение или системен регистрационен файл.
Регистрационните файлове обикновено се използват от приложенията за съхраняване на история на събития или транзакции, които могат да бъдат прегледани по-късно. Дневниците също могат да се използват за събиране на статистически данни или отстраняване на грешки. В зависимост от функционалността на приложението, регистрационните файлове могат да бъдат преглеждани ръчно или с помощта на автоматизиран инструмент, който автоматично чете дневници и търси тенденции или важни събития.
Регистрационните файлове може да се повредят, ако нападателят предостави данни на приложението, което впоследствие се регистрира дословно.
ЛИПСВАЩА XML ВАЛИДАЦИЯ
XML Injection е налице, когато злонамерен потребител се опита да инжектира XML документ в приложението. Ако XML анализаторът не успее да провери контекстно данните, атаката ще знае, че съществува настояща уязвимост. Платформите за електронна търговия често са засегнати от уязвимостта на XML валидацията.
ЛОШИ БОТОВЕ
Ботовете имат много имена – роботи, паяци, интернет роботи, уеб ботове и др. Обикновено се използват за извършване на повтарящи се задачи и прости задачи като индексиране на търсачки. Но се случва често да се появят и като част от злонамерен софтуер. Използват се за получаване на пълен контрол над компютърната система. Някои от тях имат функционалността да заразят хоста и да се свържат обратно с централен сървър/и с ЦПУ (командване и управление), който може да се използва за управление на мрежа от компрометирани компютри и хостове.
- Измама – ботовете могат да попречат на вашите легитимни потребители да купуват артикули, като изпращат много заявки за покупка на даден артикул. Те също могат да пренасочат вашите артикули за продажба в други сайтове на по-ниска цена. Ботовете могат да се използват и за brute-force атаки, насочени към данните на вашите потребители. В случай на успешно логване, те могат да препродадат информацията на трети страни. Ако някой е в състояние да използва кредитните карти на вашите клиенти, това ще доведе до рязък спад в доверието и отлив на клиенти.
- Изрязване на цените – това е техника, която с помощта на ботове обхожда онлайн магазина, събирайки информация за цените и каталога с продуктите. Често се използва от конкуренти с цел да се открадне информацията за динамичното ценообразуване на уебсайта, което е изключително важно в платформите за електронна търговия. Причината за това е, че много решения за покупки и прогнози за приходи разчитат на динамичното ценообразуване в реално време. Такъв метод на хакерство би позволил на конкурентите да определят цени по-ниски от базовите цени на пазара и следователно да привлекат повече потребители.
- Анализ – ботовете могат да окажат силно влияние върху анализа на вашите продажби, като имитират човешко поведение. Много от тях използват скриптов код като JavaScript, който представлява и механизма на повечето инструменти за анализ на показатели като bounce rate, конверсии, показвания на страници и др. Подобни атаки могат да ви убедят да инвестирате повече пари за реклама, като компрометират показателите и намаляват конверсиите.
ФИШИНГ
Хакерите могат да се опитат да атакуват вашия бизнес за електронна търговия, като стартират фишинг кампании. За целта те създават фалшиви имейли, телефонни обаждания и SMS съобщения. Хакерите могат също да инжектират злонамерени фрагменти на JavaScript в страниците за плащане на популярни платформи за електронна търговия като Magento, Woo Commerce, PrestaShop и други. Много търговци използват PayPal като метод на разплащане, което означава, че ако акаунтът в PayPal бъде спрян, това ще ограничи възможността на потребителите да закупуват нови артикули. Това кара търговците да обръщат особено внимание на имейлите, в които се твърди, че акаунтът ще бъде спрян заради злонамерена или необичайна дейност. Ако не са особено наясно със сигурността, търговците могат да последват фалшив линк и съгласно инструкциите да предоставят своите идентификационни данни за вход. Биха могли да изтеглят, попълнят и подадат фактури, сметки и предложения под формата на прикачен файл, който ще предостави на киберпрестъпника техните потребителски имена и пароли, а с това и пълен достъп до акаунта на търговеца в PayPal. Прикаченият файл може също да инсталира автоматично злонамерен софтуер на компютъра на жертвата.
ПЛАЩАНЕ
Сделките за електронна търговия предлагат на банковата индустрия чудесна възможност, но те също така представляват рискове и заплахи за сигурността. От управленска и техническа гледна точка сигурността на информацията е от решаващо значение за всички ефективни активности, свързани с разплащателните транзакции в Интернет. В сектора на електронната търговия паричните транзакции изискват координирана настройка на алгоритми и технически решения.
В днешно време в платежната индустрия важна мярка за сигурност е така наречената EMV, което означава Europay, MasterCard и Visa. Това представлява глобален стандарт за взаимодействие на чип карти, банкомати и POS терминали за удостоверяване на транзакции с кредитни и дебитни карти. Чип картите са наследник на използваните преди карти с магнитни ленти. Чипът обаче не засяга онлайн плащанията, тъй като купувачът трябва ръчно да въведе картовите данни. Ползата се състои в това, че за хакерите е много по-трудно да клонират картата, когато тя има такъв чип.
По отношение на сигурността на мобилното плащане, функцията за пръстови отпечатъци осигурява добра защита, тъй като се очаква физическото присъствие на лицето за удостоверяване. Биометричната идентификация е много по-трудна за заобикаляне в сравнение с традиционните идентификационни данни на акаунта.
Добра практика за търговците е спазването на стандартното сертифициране PCI DSS. Някои от предимствата, които предоставя PCI-DSS, са:
- Спокойствие - първата полза, която идва заедно със спазването на PCI DSS, е фактът, че получавате повишено спокойствие.
- По-добри взаимоотношения с клиентите - PCI DSS предоставя безспорно предимство при поддържането на връзките с клиентите.
- Универсални принципи - PCI DSS е създаден, за да може да се прилага за всяка компания, която обработва и съхранява данни за клиентски разплащателни карти, като задължава компанията да следва 12 критерия в шест области на сигурността.
За да осигурят трансакции в много валути и отвъд граници, повечето търговци предпочитат да използват електронни портфейли и мобилни плащания. Когато избирате доставчик за горепосоченото, е важно да изберете такъв със защитена инфраструктура, за да се смекчат споменатите вече проблеми.
DDOS
Разпределената атака за отказ на услуга (DDoS) е злонамерен опит да се наруши нормалният трафик на целевия сървър, услуга или мрежа чрез затрупване на целта или околната инфраструктура с поток от интернет трафик. DDoS атаките постигат ефективност, като използват множество компрометирани компютърни системи като източници на атакуващ трафик. Онлайн магазините са особено уязвими към тези атаки, особено по време на периоди на отстъпки, като Черния петък напр. Има обаче лесни за прилагане мерки за защита срещу такъв тип атаки.
ICMP
Заявките тип ping се използват за тестване на мрежовата връзка между две компютърни системи чрез измерване на времето за двупосочна връзка от момента на изпращане на ICMP ехо-заявка до получаването на ICMP ехо-отговор. Те също могат да се използват за злонамерени цели, за да претоварят целевата мрежа с пакети данни.
За стартиране на атака тип ping flood, познаването на отдалечения IP е задължително. Атаките могат да бъдат групирани в три основни категории, в зависимост от начина на разрешаване на отдалечения IP адрес.
- Рутерно разкрита ping flood.
- Таргетирана локално разкрита ping flood.
- Сляпа ping flood.
MITM
Атаката “човек в средата” е често срещан вид, която позволява на нападателите да подслушват комуникацията между две цели. Хакерите могат да използват различни начини за провеждане на такава атака, като подправяне на IP, подправяне на DNS, подправяне на HTTPS, отвличане на SSL, отвличане на имейли, подслушване на Wi-Fi или кражба на бисквитки на браузъра. В случай на уебсайт, използващ HTTPS, е важно да се отбележи, че при специфични обстоятелства нападателят може да успее да премахне защитеня слой и да принуди уеб сървъра да представи HTTP версия на уебсайта, като по този начин излага потребителските идентификационни данни на такива атаки.
КРАЖБА
Електронната търговия все още не е успяла да разгърне пълния си потенциал поради честите предупреждения в медиите за заплахите и рискове, свързани с онлайн транзакциите. Много хора нямат изградено съзнание за сигурността и все още се страхуват да извършват онлайн транзакции главно от страх, че някой би могъл да им открадне парите. Но потребителите биха могли да използват онлайн магазини, които доказано прилагат надеждни методи за плащане и спазват всички изисквания за сигурност с цел да намалят риска.
УЯЗВИМОСТИ В IPS
Целта на системите за предотвратяване на проникване е да идентифицират и блокират всеки вид злонамерена дейност, както и да предоставят качествен дневник и да докладват информация за злонамерената дейност. IPS устройствата по подразбиране са защитени, освен при следните условия:
- Подценяване на възможностите на сигурността, включително относно събиране на информация, регистриране, откриване и предотвратяване.
- Недефинирани политики за управление.
- Фокус върху производителността, а не върху сигурността.
УЯЗВИМОСТИ В ЗАЩИТНАТА СТЕНА
Защитните стени обикновено са важни активи на всяка инфраструктура за мрежова сигурност. Тяхната работа е да ограничат входящия и изходящия достъп до конкретни IP адреси и мрежи. Уязвимостта на защитната стена може да бъде причинена поради грешка, допусната по време на проектирането, внедряването или конфигурирането, което може да доведе до атака на доверената мрежа зад защитната стена. Някои често срещани уязвимости на защитната стена и неправилни конфигурации включват:
- Разрешен ICMP трафик.
- Блокиране на трафика, вместо дропване.
- Липса на ограничение на портовете.
- Неограничен достъп до конкретни IP адреси и мрежи.
- Излишно отворени TCP и UDP портове.
Защитни механизми
ТЕСТВАНЕ ЗА ПРОНИКВАНЕ
Инструментите за тестване за проникване симулират сценарии на реални атаки, за да открият и използват пропуски в сигурността, които биха могли да доведат до откраднати записи, компрометирани идентификационни данни, загуба на интелектуална собственост и лична информация (PII), откраднати данни на притежателите на карти, искане на откуп за данни или други вредни бизнес резултати.
Тестването за проникване може да се извърши чрез ръчни или автоматизирани процеси. Тестовете се разделят в няколко категории. В зависимост от обхвата, те могат да бъдат насочени към:
- Мрежово оборудване - сървъри, мрежови крайни точки, безжични мрежи, устройства за мрежова сигурност, мобилни устройства.
- Софтуерни приложения и програмният им код (включително уеб, мобилни или десктоп приложения).
Анализът на уязвимостта, известен също като оценка на уязвимостта, е процесът на идентифициране и класифициране на пропуски в сигурността (уязвимости) в компютърна, мрежова или комуникационна инфраструктура. В допълнение, анализът на уязвимостта може да прогнозира ефективността на предложените контрамерки и да оцени тяхната действителна ефективност след реалното им приложение. Обикновено се провежда главно с помощта на автоматизирани инструменти. За разлика от тестването за проникване, оценката на уязвимостта не се опитва да използва идентифицираните уязвимости, за да докаже тяхната достоверност и въздействие върху бизнеса.
Оценката на уязвимостта има за цел:
- Да определи и класифицира мрежовите или системните ресурси, както и да придаде относителни нива на важност на ресурсите.
- Да идентифицира потенциалните заплахи за всеки ресурс и да се разработи стратегия за справяне първо с най-сериозните потенциални проблеми.
- Да определи и имплементира начини за минимизиране на последиците, ако се случи атака.
ЗАЩИТНИ СТЕНИ НА МРЕЖАТА
Защитната стена е задължителна за големите корпорации, тъй като обикновено предлага комплексни решения за защита на обширните им мрежи. Защитните стени могат да бъдат конфигурирани да предотвратяват достъпа до определени уебсайтове (като социални медии или сайтове за онлайн хазарт) или могат да бъдат конфигурирани така, че да не позволяват на служителите да изпращат определени типове файлове или имейли или могат да бъдат уловени при предаване на чувствителни данни извън фирмената мрежа .
Втората им цел е да попречат на външните потребители да имат достъп до системи в мрежата. Една компания може да избере да внедри един сървър за споделяне на файлове в мрежата и да ограничи всички останали компютри. Широките и сложни конфигурации изискват стриктна работа и трябва да се поддържат от високо обучени специалисти по мрежова сигурност.
WAF
Защитната стена на уеб приложението (WAF) прилага набор от правила към HTTP комуникацията. Нарича се защитна стена, която защитава уеб приложения. Разчита на правила, които покриват често срещани атаки към уеб приложения като SQL инжектиране, скриптове между сайтове (XSS) и други. В сравнение с прокситата, които се използват за защита на клиенти, WAF могат да се разглеждат като обратни проксита, използвани за защита на сървъри. WAF могат да се предлагат под формата на уред, приставка за сървър или филтър и могат да бъдат персонализирани за конкретно приложение. Освен мрежовата защитна стена, WAF също изисква сериозно персонализиране и трябва да се поддържа, тъй като приложението се модифицира.
IPS / IDS УСТРОЙСТВА
Системите за откриване на проникване (IDS) и системите за предотвратяване на проникване (IPS) са сред най-усъвършенстваните мрежови устройства за сигурност, използвани днес. Тяхната работа се състои в прецизната проверка на мрежовите пакети, блокирането на тези пакети със злонамерено съдържание и отправянето на предупреждения към администраторите за опити за атака. Дневниците на тези системи съдържат ценна информация за типовете атаки, мрежови заплахи, насочени устройства и др. IPS регистрационните файлове трябва да бъдат извлечени и внимателно анализирани, за да се предотвратят бъдещи опити за атака.
SIEM AND SOC
SIEM (Управление на информацията за сигурността и управление на събития) е технология, която осигурява видимост на мрежовата сигурност чрез индикация на подозрителна и нелегитимна дейност чрез предварително дефинирани правила и установяване на корелация. Решенията на SIEM позволяват на анализаторите по сигурността да разследват предполагаеми заплахи. Те събират и нормализират регистрационните файлове, за да бъдат тествани спрямо набор от правила за корелация, които при задействане се очаква да създадат събития, които по-късно могат да бъдат анализирани.
SOC (Център за операции по сигурността) обхваща хората, процесите, както и технологиите, участващи в защитен мониторинг на мрежата. Екипът на SOC е централизирано звено за анализатори на сигурността и други експерти по сигурността, което се занимава с проблемите на сигурността, използвайки различни инструменти. Те са отговорни да реагират на инциденти със сигурността и активно да изследват известни или 0-дневни заплахи. Един от основните инструменти, използвани от анализаторите на сигурността, е SIEM.
Основни мерки за сигурност
- Шифроване – един от най-важните методи на сигурността е преобразуването на четим текст в кодиран, особено за цялостна защита на данни, предавани през мрежи.
- Цифров подпис – това са електронни „пръстови отпечатъци“ под формата на кодирано съобщение. Цифровият подпис асоциира по надежден начин подписващия се потребител с документ в записана транзакция с помощта на PKI.
- Сертификати за сигурност – SSL сертификатите обвързват по цифров начин криптографски ключ с данните на организацията. След инсталирането на уеб сървър той активира padlock и протокола https, за да осигури сигурни връзки. Обикновено SSL или TLS се използват за осигуряване на трансфери на данни, влизания и транзакции с кредитни карти.
- MFA – използва няколко различни фактора, за да провери самоличността на дадено лице и да го удостовери за достъп до определен софтуер, система или пребиваващи данни. MFA системите използват два или повече начина за удостоверяване на лица.
- SSO – удостоверява потребителя в началото на работата с главен вход. В случай, че потребителят се нуждае от удостоверяване в друга система или софтуер, SSO решението влиза в системата от негово име.
- Създайте и поддържайте защитена мрежа и системи.
- Внедрете устойчиви механизми за контрол на достъпа.
- Защитете данните на картодържателите.
- Поддържайте програма за управление на уязвимости.
- Редовно наблюдавайте и тествайте сигурността на мрежите.
- Поддържайте политики и процедури за информационна сигурност.
- Цифров портфейл на картодържателя – цифровите портфейли осигуряват на притежателите на карти сигурен и удобен начин за съхранение и използване на техните разплащателни карти, без да е необходимо да носят физическите си карти. Цифровият портфейл е устройство или система, която съхранява дигитални версии на разплащателните карти.
- Софтуер за търговия – това е цялостна система, използвана за подпомагане на търговците, ритейлърите и дистрибуторите да подобрят своите бизнес резултати.
- Сървър за разплащания – това е услуга, предоставяна от доставчик на услуги за електронна търговия, използвана за упълномощаване на обработка на кредитни карти или директни плащания за електронния бизнес и онлайн търговците.
Заключение
Добрите мерки за сигурност са изключително важни за функционалните възможности на всяка платформа за електронна търговия. Една кибератака може да разруши доверието сред потребителите ви, да доведе до откраднати данни или финансови и правни последици. На пазара има много решения за сигурност, които могат да бъдат внедрени – някои от тях са по-скъпи от други. Необходими са обаче добри познания, за да изберете най-подходящото решение за вашата организация.