ABRAWEB

Publicidade

5 dicas de segurança para sites de comércio eletrônico

Com a grande onda de ataques a sites por hackers, uma coisa que todos deveriam saber, se ainda não sabem, é que Segurança da informação exigi uma série de processos contínuos e não pontuais, para obter resultados realmente relevantes. Um comércio eletrônico possue um duplo risco no que se refere à vulnerabilidades, pois precisa se proteger e também proteger os dados de seus clientes.

Está enganado quem acha que um comércio eletrônico pequeno não corre o risco de sofrer ataques. Esses pequenos sites são muitas vezes o alvo principal de hackers, que se aproveitam do fato dessas empresas não possuírem uma equipe de segurança dedicada ou um serviço contratado que possa monitorar e identificar falhas. Enquanto a invasão e roubo de dados de grandes empresas tendem a se tornar manchetes, a invasão de empresas menores não aparece nas mídias e muitas vezes não são detectadas, o que é ótimo para o atacante. Se considerarmos o número de pequenos sites de comércio eletrônico que existem hoje, isso fornece um volume tentador de potenciais alvos.

Confira abaixo 5 dicas para proteger o seu e-commerce:

1) Corrija as vulnerabilidades em seu site

Existem duas vulnerabilidades que são muito comuns em sites de comércio eletrônico e devem ser corrigidas: o SQL Injection e o Croos Site Scripting (XSS). Muitos sites, dependendo de como foram construídos, são vulneráveis a ataques de SQL Injection. Esse tipo de ataque é utilizado para tentar extrair informações do seu banco de dados e consequentemente tentar roubar as informações de seus clientes.

O ataque de Cross Site Scripting (XSS) pode ocorrer quando as aplicações entregam dados não confiáveis aos usuários, sem validar corretamente ou garantir que o código não é malicioso. O XSS pode ser usado para roubar as contas de usuário, alterar o conteúdo do site ou redirecionar os visitantes para sites maliciosos sem o seu conhecimento.

Lembrando que estas duas vulnerabilidades que apresentei apenas se referem às aplicações web, normalmente seu servidor possui outras aplicações expostas para internet, por isso é importante realizar uma análise de vulnerabilidade completa para encontrar estas e possivelmente outras vulnerabilidades existentes.

2) Cuidado com ataques DDoS

Alguns criminosos estão usando o ataque conhecido como Distributed Denial of Service (DDoS) para deixar os websites indisponíveis. Para um site de comércio eletrônico, um ataque DDoS tem impacto direto sobre a sua receita e poucos minutos fora do ar podem causar prejuízos gigantescos. A maioria dos sites de comércio eletrônico sabe o quanto faturam por minuto ou por hora e esse tipo de ataque pode durar horas ou dias. A melhor forma de se proteger, neste caso é a prevenção e sites de comércio eletrônico devem ter proteção contra ataques DDoS. Essa proteção também vai impedir que criminosos usem DDoS como uma diversão ou forma de aprendizado.

3) Autenticação de dois fatores para Administradores

O roubo ou comprometimento de usuários e senhas é a causa mais comum de invasões. Recentemente o eBay informou que os atacantes comprometeram um pequeno número de credenciais dos seus funcionários, permitindo o acesso não autorizado à rede corporativa da empresa. Os criminosos usam a engenharia social, "phishing", malware e outros meios para descobrir ou capturar os nomes de usuários e senhas.

A autenticação de dois fatores pode resolver esse problema. O segundo fator é geralmente um código gerado por meio de um aplicativo ou recebimentos de mensagens de texto em um telefone celular, conhecido também como token.

4) Verifique as vulnerabilidades regularmente

Como comentei anteriormente, a segurança não pode ser pontual e deve ser um processo, por isso, analisar as vulnerabilidades regularmente em seu e-commerce é uma prática altamente recomendada. Fazendo varreduras periódicas, você conseguirá detectar as vulnerabilidades de SQL Injection e XSS já mencionadas, bem como uma série de outras vulnerabilidades.

Além disso, com análises periódicas é possível exibir selos de segurança o qual podem ser usados para demonstrar a postura do seu e-commerce em relação à segurança dos dados.

5) Cuidado com seus parceiros

Segundo uma pesquisa do Ponemon Institute, os prestadores de serviços como hospedagem, gateway de pagamentos, call centers, etc, possuem um grande impacto na probabilidade de violação ou roubo de informações. Procure certificar-se que seu provedor de serviço também se preocupa com a segurança do ambiente. Quando falamos de comércio eletrônico, certifique-se que seus fornecedores estejam em conformidade com as melhores práticas de segurança.


SAIBA MAIS SOBRE:

Vulnerabilidades com a função eval()
Segurança em aplicações
O perigo em nossa caixa de entrada
Insegurança.com.br
Como se proteger de pragas virtuais nas redes sociais
Seu webmail pode infectar uma rede residencial ou corporativa
E-commerces, em quem confiar?
Os riscos do uso de internet via smartphone
Tunelamento de pacotes TCP em ASP/PHP/JSP usando REDUH
Java Server Pages Backdoors – Utilizando seus recursos contra você.
A extinção dos certificados de 128 bits
Sua família está segura em Blogs e Redes Sociais?
Cibercrime e os jogos on-line
Certificado digital: Quebrando paradígmas
Falando de Segurança, aliás, Treinando em Segurança
Segurança da Informação no Ambiente Doméstico
"Mobilization" - Smart e Vulnerável?
BYOD - Um dia você terá um...
Certicode - Certificado Digital
Meus Dados… Eu protejo, Tu proteges… E eles?
Mobile Threats – Isso agora é moda… CUIDADO!
Dicas para gerenciar com segurança o equipamento (pessoal) de seu empregado
O perigo começa nos Modens, Switches, Routers e Access points Wi-Fi
Backup – Seus dados estão seguros?
Porque o conceito de site 100% seguro está 100% incorreto
Conhecendo as vulnerabilidades web
Como vai o medo de comprar pela internet?
Segurança no E-commerce
O que é WAF?
Investimento ou Gasto em Segurança da Informação?
Segurança ou propaganda?
DEMANDING BRANDS - Transformando peixes em consumidores!
Você sabe o que é um bot? Não, não é um barquinho.
Ciberterrorismo e as redes sociais
Senha fraca? Nem a criptografia salva
5 Motivos para controlar o tráfego de seu website
Cibercrime. 7 casos reais
Soluções de segurança da TrustSign ganham novos nomes e selos
Outro furo no OpenSSL?
Os 3 níveis de Segurança que um site deve ter



Segurança na web
Inscrição | Indique a Associação | Sobre a ABRAWEB | F.A.Q. | Contato