No liela mēroga uzņēmumu liela skaita, noplūktiem slavenību fotoattēliem, atklājumiem, ka krievu hackers, iespējams, ietekmēja 2016. gada ASV prezidenta vēlēšanas, realitāte ir tā, ka mēs dzīvojam biedējošā laikā, kad runa ir par drošību tiešsaistē.
Ja esat īpašnieks vai pat tikai persona, kas atbildīga par vietni , digitālā drošība ir kaut kas, par kuru jums noteikti ir jābūt informētam par plānu. Šīs zināšanas aptver divas galvenās jomas:
- Kā jūs droši gūstat informāciju no klientiem uz jūsu vietni
- Drošība pašai vietnei un serveriem, kur tā tiek mitināta .
Galu galā vairākiem cilvēkiem būs jāuzņemas loma jūsu vietnes drošībā. Apskatīsim augsta līmeņa izskatu par to, kas jums jāzina par vietņu drošību, lai jūs varētu pārliecināties, ka viss, ko var izdarīt, lai nodrošinātu šo vietni, tiek veikts pareizi.
Jūsu apmeklētāju un klientu informācijas nodrošināšana
Viens no svarīgākajiem tīmekļa drošības aspektiem ir pārliecināties, ka jūsu klientu dati ir droši un aizsargāti. Tas ir divkārši taisnība, ja jūsu vietne savāc jebkāda veida personīgi identificējamu informāciju vai PII. Kas ir PII? Visbiežāk tas notiek kā kredītkaršu numuri, sociālās apdrošināšanas numuri un pat informācija par adresi. Jums ir jānodrošina šī konfidenciālā informācija tās pieņemšanas un nosūtīšanas laikā no klienta uz jums. Jums ir jānodrošina tas arī pēc tam, kad esat saņēmis informāciju par to, kā jūs rīkoties un uzglabāt šo informāciju nākotnē.
Ja runa ir par vietņu drošību, vienkāršākais piemērs ir iepirkšanās / e-komercijas vietnes . Šīm vietnēm būs jāpieņem klientiem maksājumu informācija, izmantojot kredītkaršu numurus (vai, iespējams, PayPal informāciju vai kādu citu tiešsaistes maksājumu karti). Šīs informācijas pārsūtīšana no klienta jums ir jānodrošina. Tas tiek darīts, izmantojot "drošas ligzdas slāņa" sertifikātu vai "SSL". Šis drošības protokols ļauj sūtītā informācija tiek šifrēta, jo tā tiek nosūtīta no klienta uz jums, lai ikviens, kurš pārtvertu šīs pārraides, nesaņems izmantojamu finanšu informāciju, ko var nozagt vai pārdot citiem. Jebkura tiešsaistes iepirkumu grozu programmatūra ietver šāda veida drošību. Tas ir kļuvis par nozares standartu.
Ko darīt, ja jūsu vietne nepārdod produktus tiešsaistē? Vai jums joprojām ir nepieciešama transmisijas drošība? Ja jūs savācat no apmeklētājiem jebkādu informāciju, tostarp vārdu, e-pasta adresi, pasta adresi utt., Jums ir stingri jāpārliecinās, vai šie pārsūtījumi tiek nodrošināti ar SSL. Šim nolūkam tiešām nav negatīvi, izņemot mazās izmaksas par sertifikāta iegādi (cenas svārstās no 149 USD / gadā, nedaudz vairāk par 600 USD / gadā, atkarībā no sertifikāta veida, kas jums nepieciešams).
Tīmekļa vietnes nodrošināšana ar SSL var arī nodrošināt ieguvumus, izmantojot Google meklētājprogrammu klasifikāciju . Google vēlas pārliecināties, vai viņu piegādātās lapas ir autentiskas un tos uztur faktiskos uzņēmumus, kuri domājams, ka šī vietne ir paredzēta. SSL palīdz autentificēt, no kurienes nāk lapa. Tāpēc Google iesaka un atbalsta vietnes, kas atrodas zem SSL.
Par pēdējo piezīmi par klientu informācijas aizsardzību - atcerieties, ka SSL tikai šifrē failus pārraides laikā. Jūs esat arī atbildīgs par šiem datiem, tiklīdz tas sasniegs jūsu uzņēmumu. Kā jūs apstrādājat un uzglabājat klienta datus, ir tikpat svarīga kā pārvades drošību. Tas var likties traks, bet es tiešām redzēju uzņēmumus, kuri izdeva informāciju par klientu pasūtījumiem, un, ja rodas kādas problēmas, viņi cieto kopiju uzglabā failos. Tas ir nepārprotams drošības protokolu pārkāpums, un atkarībā no valsts, kurā jūs veicat uzņēmējdarbību, jums var tikt uzlikts naudas sods par šāda veida pārkāpumiem, jo īpaši, ja šie faili tiek galu galā apdraudēti. Pārsūtīšanas laikā nav jēgas aizsargāt datus, bet pēc tam izdrukāt šos datus un atstāt to viegli pieejamu nedrošā biroja atrašanās vietā!
Jūsu vietnes failu aizsardzība
Gadu gaitā lielākā daļa no vairāk publicētās tīmekļa vietnes un datu hacks ir iesaistīti kāds zādzībās failus no uzņēmuma. To bieži dara, uzbrūkot tīmekļa serverim un piekļūstot klientu informācijas datubāzei. Šis ir vēl viens tīmekļa drošības nodrošināšanas aspekts, kas jums ir nepieciešams. Pat ja jūs pareizi šifrējat klienta datus pārraides laikā, ja kāds var ielauzties jūsu tīmekļa serverī un nozagt savus datus, jums ir problēmas. Tas nozīmē, ka uzņēmumam, kurā jūs izvietojat vietnes failus, arī jāuzņemas loma jūsu vietnes drošībā.
Pārāk bieži uzņēmumi pērk vietnes mitināšanas pakalpojumus, pamatojoties uz cenu vai ērtības. Padomājiet par savu vietni un uzņēmumu, ar kuru jūs strādājat. Varbūt jūs esat turējis šo pašu uzņēmumu daudzus gadus, tāpēc tur ir vieglāk palikt tur nekā pārcelties citur. Daudzos gadījumos tīmekļa komanda, kurai piesakāties par vietnes projektu, piedāvā hostinga pakalpojumu sniedzēju, un uzņēmums vienkārši piekrīt šim ieteikumam, jo viņiem šajā jautājumā nav īstu viedokļu. Tam nevajadzētu būt, kā jūs izvēlaties tīmekļa vietnes mitināšanu. Ir pareizi lūgt ieteikumu no savas tīmekļa komandas, taču pārliecinieties, ka veicat rūpīgu pārbaudi un jautājiet par vietnes drošību. Ja jūs veicat sava vietnes un uzņēmējdarbības prakses drošības auditu, jūsu vietnes apmeklētājs, protams, ir daļa no šī novērtējuma.
Visbeidzot, ja jūsu vietne ir veidota uz CMS ( satura pārvaldības sistēma ), tad ir lietotāja vārdi un paroles, kas nodrošinās piekļuvi vietnei un ļauj jums veikt izmaiņas jūsu tīmekļa lapās. Noteikti nodrošiniet šo piekļuvi ar spēcīgām parolēm tā, lai jums būtu kāds cits svarīgs konts, kas jums pieder. Gadu gaitā esmu redzējis, ka daudzi uzņēmumi savā tīmekļa vietnē izmanto vājas, viegli salauzamas paroles, domājot, ka neviens to nevēlas iekļūt savās lapās. Tas ir labvēlīgs domāšana. Ja vēlaties, lai jūsu vietne tiktu aizsargāta pret kādu, kas vēlas pievienot nesankcionētas izmaiņas (piemēram, neapmierināts bijušais darbinieks, kas vēlas saņemt organizācijā atriebību), pēc tam pārliecinieties, ka jūs attiecīgi bloķējat vietnes piekļuvi.