Od poważnych hacków wielkich firm, po wyciekłe zdjęcia celebrytów, po rewelacje, że rosyjscy hakerzy prawdopodobnie wpłynęli na wybory prezydenckie w 2016 roku, rzeczywistość jest taka, że żyjemy w strasznym czasie, jeśli chodzi o bezpieczeństwo online.
Jeśli jesteś właścicielem lub nawet osobą odpowiedzialną za stronę internetową, bezpieczeństwo cyfrowe jest czymś, co absolutnie musisz posiadać wiedzę na temat planu. Ta wiedza musi obejmować dwa kluczowe obszary:
- W jaki sposób zabezpieczasz informacje, które otrzymujesz od klientów na swojej stronie internetowej
- Bezpieczeństwo samej witryny i serwerów, na których jest ona hostowana.
Ostatecznie wiele osób będzie musiało odegrać rolę w bezpieczeństwie twojej strony. Przyjrzyjmy się uważnie temu, co trzeba wiedzieć o bezpieczeństwie strony, aby upewnić się, że wszystko, co można zrobić, aby zabezpieczyć tę witrynę, jest wykonywane poprawnie.
Zabezpieczanie informacji odwiedzających i klientów
Jednym z najważniejszych aspektów bezpieczeństwa witryny jest upewnienie się, że dane Twoich klientów są bezpieczne i chronione. Jest to podwójna prawda, jeśli witryna zbiera jakiekolwiek informacje umożliwiające identyfikację osoby lub PII. Co to jest PII? Najczęściej ma to postać numerów kart kredytowych, numerów ubezpieczenia społecznego, a nawet informacji adresowych. Musisz zabezpieczyć te poufne informacje podczas ich akceptacji i przesłania od klienta. Musisz także zabezpieczyć go po otrzymaniu w odniesieniu do sposobu obsługi i przechowywania tych informacji na przyszłość.
Jeśli chodzi o bezpieczeństwo strony internetowej, najłatwiejszym przykładem do rozważenia są witryny zakupów online / e-commerce. Strony te będą musiały przyjmować informacje o płatnościach od klientów w postaci numerów kart kredytowych (lub być może informacji o systemie PayPal lub innego rodzaju pojazdu do obsługi płatności online). Przekazanie tej informacji od klienta musi być zabezpieczone. Odbywa się to za pomocą certyfikatu "Secure Sockets Layer" lub "SSL". Ten protokół bezpieczeństwa pozwala na szyfrowanie przesyłanych informacji od klienta do klienta, tak aby każdy, kto przechwycił te transmisje, nie otrzyma przydatnych informacji finansowych, które mógłby ukraść lub sprzedać innym. Każde oprogramowanie koszyka na zakupy będzie zawierało tego rodzaju zabezpieczenia. Stało się standardem branżowym.
A co, jeśli Twoja strona internetowa nie sprzedaje produktów online? Czy nadal potrzebujesz zabezpieczenia transmisji? Cóż, jeśli zbierzesz jakiekolwiek informacje od gości, w tym imię i nazwisko, adres e-mail, adres pocztowy itp., Zdecydowanie powinieneś rozważyć zabezpieczenie tych transmisji za pomocą SSL. Naprawdę nie ma w tym nic innego, jak tylko niewielki koszt zakupu certyfikatu (ceny wahają się od 149 USD / rok do nieco ponad 600 USD rocznie, w zależności od rodzaju certyfikatu, którego potrzebujesz).
Zabezpieczanie witryny za pomocą protokołu SSL może również przynieść korzyści w rankingu wyszukiwarki Google. Google chce się upewnić, że dostarczane przez nie strony są autentyczne i są utrzymywane przez rzeczywiste firmy, dla których witryna jest przeznaczona. Protokół SSL pomaga uwierzytelnić skąd pochodzi strona. Dlatego Google zaleca i nagradza witryny z SSL.
W ostatecznej notatce dotyczącej ochrony informacji o klientach - pamiętaj, że protokół SSL będzie szyfrował tylko pliki podczas transmisji. Ty też jesteś odpowiedzialny za te dane, gdy dotrze do Twojej firmy. Sposób przetwarzania i przechowywania danych klientów jest równie ważny jak bezpieczeństwo transmisji. Może to zabrzmieć szaleńczo, ale faktycznie widziałem firmy, które drukowały informacje o zamówieniach klientów i trzymały wydruki na plikach w przypadku jakichkolwiek problemów. Jest to wyraźne naruszenie protokołów bezpieczeństwa i w zależności od stanu, w którym prowadzisz działalność, możesz zostać ukarany grzywną za takie naruszenie, szczególnie jeśli pliki te zostały ostatecznie naruszone. Nie ma sensu chronić danych podczas transmisji, ale wydrukować te dane i pozostawić je łatwo dostępne w niezabezpieczonym miejscu w biurze!
Ochrona plików witryny
Z biegiem lat, większość bardziej nagłośnionych witryn i hacków danych zaangażowała kogoś kradnącego pliki od firmy. Często odbywa się to poprzez atakowanie serwera WWW i uzyskiwanie dostępu do bazy danych informacji o klientach. Jest to kolejny aspekt bezpieczeństwa strony internetowej, który należy uwzględnić. Nawet jeśli prawidłowo zaszyfrujesz dane klientów podczas transmisji, jeśli ktoś może włamać się do twojego serwera i ukraść twoje dane, masz kłopoty. Oznacza to, że firma, w której przechowywane są pliki witryny, musi również odgrywać rolę w zabezpieczeniach witryny.
Zbyt często firmy kupują hosting strony w oparciu o cenę lub wygodę. Pomyśl o własnej witrynie internetowej i firmie, z którą współpracujesz. Być może byłeś hostowany przez tę samą firmę od wielu lat, więc łatwiej jest tam zostać, niż przenieść się gdzie indziej. W wielu przypadkach zespół internetowy, który zatrudnisz do projektu strony, poleca dostawcę usług hostingowych, a firma po prostu zgadza się z tym zaleceniem, ponieważ nie ma prawdziwej opinii w tej sprawie. To nie powinno być tak, jak wybierasz hosting strony. Dobrze jest poprosić o rekomendację od zespołu internetowego, ale upewnij się, że wykonujesz swoją należytą staranność i pytasz o bezpieczeństwo strony. Jeśli otrzymujesz audyt bezpieczeństwa swojej strony internetowej i praktyk biznesowych, spojrzenie na Twojego dostawcę usług hostingowych z pewnością będzie częścią tej oceny.
Wreszcie, jeśli twoja strona jest zbudowana na CMS (system zarządzania treścią), to są nazwy użytkowników i hasła, które pozwolą na dostęp do strony i pozwalają na wprowadzanie zmian na twoich stronach internetowych.Pamiętaj o zabezpieczeniu tego dostępu silnymi hasłami w taki sam sposób jak każde inne ważne konto, które posiadasz. Z biegiem lat widziałem, jak wiele firm używa słabych, łatwych do złamania haseł na swojej stronie, sądząc, że nikt nie zechce włamać się na ich strony. To jest myślenie życzeniowe. Jeśli chcesz, aby Twoja witryna była chroniona przed osobami, które chcą wprowadzić nieautoryzowane zmiany (np. Niezadowolony były pracownik, który chce uzyskać zemstę w organizacji), upewnij się, że odpowiednio zablokowałeś dostęp do witryny.
