5 dicas de segurança para sites de comércio eletrônico

[xanburzum 169]

Com a grande onda de ataques a sites por hackers, uma coisa que todos deveriam saber, se ainda não sabem, é que Segurança da informação exigi uma série de processos contínuos e não pontuais, para obter resultados realmente relevantes. Um comércio eletrônico possue um duplo risco no que se refere à vulnerabilidades, pois precisa se proteger e também proteger os dados de seus clientes.

Está enganado quem acha que um comércio eletrônico pequeno não corre o risco de sofrer ataques. Esses pequenos sites são muitas vezes o alvo principal de hackers, que se aproveitam do fato dessas empresas não possuírem uma equipe de segurança dedicada ou um serviço contratado que possa monitorar e identificar falhas. Enquanto a invasão e roubo de dados de grandes empresas tendem a se tornar manchetes, a invasão de empresas menores não aparece nas mídias e muitas vezes não são detectadas, o que é ótimo para o atacante. Se considerarmos o número de pequenos sites de comércio eletrônico que existem hoje, isso fornece um volume tentador de potenciais alvos.

Confira abaixo 5 dicas para proteger o seu e-commerce:

1) Corrija as vulnerabilidades em seu site

Existem duas vulnerabilidades que são muito comuns em sites de comércio eletrônico e devem ser corrigidas: o SQL Injection e o Cross Site Scripting (XSS). Muitos sites, dependendo de como foram construídos, são vulneráveis a ataques de SQL Injection. Esse tipo de ataque é utilizado para tentar extrair informações do seu banco de dados e consequentemente tentar roubar as informações de seus clientes.

O ataque de Cross Site Scripting (XSS) pode ocorrer quando as aplicações entregam dados não confiáveis aos usuários, sem validar corretamente ou garantir que o código não é malicioso. O XSS pode ser usado para roubar as contas de usuário, alterar o conteúdo do site ou redirecionar os visitantes para sites maliciosos sem o seu conhecimento.

Lembrando que estas duas vulnerabilidades que apresentei apenas se referem às aplicações web, normalmente seu servidor possui outras aplicações expostas para internet, por isso é importante realizar uma análise de vulnerabilidade completa para encontrar estas e possivelmente outras vulnerabilidades existentes.

2) Cuidado com ataques DDoS

Alguns criminosos estão usando o ataque conhecido como Distributed Denial of Service (DDoS) para deixar os websites indisponíveis. Para um site de comércio eletrônico, um ataque DDoS tem impacto direto sobre a sua receita e poucos minutos fora do ar podem causar prejuízos gigantescos. A maioria dos sites de comércio eletrônico sabe o quanto faturam por minuto ou por hora e esse tipo de ataque pode durar horas ou dias. A melhor forma de se proteger, neste caso é a prevenção e sites de comércio eletrônico devem ter proteção contra ataques DDoS. Essa proteção também vai impedir que criminosos usem DDoS como uma diversão ou forma de aprendizado.

3) Autenticação de dois fatores para Administradores

O roubo ou comprometimento de usuários e senhas é a causa mais comum de invasões. Recentemente o eBay informou que os atacantes comprometeram um pequeno número de credenciais dos seus funcionários, permitindo o acesso não autorizado à rede corporativa da empresa. Os criminosos usam a engenharia social, "phishing", malware e outros meios para descobrir ou capturar os nomes de usuários e senhas.

A autenticação de dois fatores pode resolver esse problema. O segundo fator é geralmente um código gerado por meio de um aplicativo ou recebimentos de mensagens de texto em um telefone celular, conhecido também como token.

4) Verifique as vulnerabilidades regularmente

Como comentei anteriormente, a segurança não pode ser pontual e deve ser um processo, por isso, analisar as vulnerabilidades regularmente em seu e-commerce é uma prática altamente recomendada. Fazendo varreduras periódicas, você conseguirá detectar as vulnerabilidades de SQL Injection e XSS já mencionadas, bem como uma série de outras vulnerabilidades.

Além disso, com análises periódicas é possível exibir selos de segurança o qual podem ser usados para demonstrar a postura do seu e-commerce em relação à segurança dos dados.

5) Cuidado com seus parceiros

Segundo uma pesquisa do Ponemon Institute, os prestadores de serviços como hospedagem, gateway de pagamentos, call centers, etc, possuem um grande impacto na probabilidade de violação ou roubo de informações. Procure certificar-se que seu provedor de serviço também se preocupa com a segurança do ambiente. Quando falamos de comércio eletrônico, certifique-se que seus fornecedores estejam em conformidade com as melhores práticas de segurança.

[Marcelo Garbin 30]

Muito bom, valeu pelas Dicas.