כל בעל עסק שיש בבעלותו אתר עם חנות מקוונת צריך לקחת בחשבון את נושא האבטחה. לתוקפים הווירטואליים ברשת יש עניין רב בפרטים אישיים, סיסמאות ובמיוחד בפרטים פיננסיים למגוון מטרות, החל מהונאות כרטיסי אשראי ועד לגניבת זהות. וכשתשומת הלב מתמקדת בכסף הם יעשו כל מאמץ כדי להישאר בסביבה או יותר נכון, על הרשת. הגולשים שמודעים לסכנות, נעשים יותר ויותר בררנים לגבי האתרים שבהם הם מוכנים לבצע רכישות.
לכן, אבטחה היא לא רק שרות לקוחות עם רמת אחריות גבוהה או יחסי ציבור טובים לעסק – אבטחה היא גם גורם שמקדם מכירות!
לקנות או לא לקנות?
גולש שלא ירגיש בטוח לגבי קנייה באתר, יעזוב מבלי לבצע רכישה, לא יחזור לאתר וגם עלול לכתוב על זה באחת מהרשתות החברתיות, דבר שמעביר מסר שלילי שקשה אחר כך לתקן. לכן, שווה להקדיש לנושא החשוב הזה תשומת לב ראויה.
בין אם אתה עומד להקים חנות מקוונת ובין אם כבר יש לך חנות פעילה, בדוק את הנקודות הבאות:
1. SSL (Secure Sockets Layer) – זהו הסטנדרט המקובל להעברת מידע מאובטח באינטרנט. פרוטוקול SSL מאפשר לדפדפן של הגולש לתקשר עם האתר שלך ולהקים ערוץ תקשורת מוצפן. באופן כזה מידע פיננסי עובר בצורה מאובטחת בין הגולש (הקונה) לבין האפליקציה (החנות) באתר. הצפנה זו יכולה להתבצע עם SSL שיתופי או פרטי. SSL שיתופי הוא אמנם זול יותר אבל יש לו חסרון משמעותי: במקרה שמפילים את השרת, כל המידע של כל הלקוחות, נחשף בבת אחת. כך שגם אם אף אחד לא התכוון לגנוב נתונים דווקא מהעסק שלך, הם ייחשפו בכל מקרה. לעומת זאת, SSL פרטי מאפשר אבטחה ברמה גבוהה יותר וללא "שותפים" בלתי רצויים.
2. שמירת נתונים רגישים במערכת ניהול תוכן – תקן PCI DSS (Security Standards Council Payment Card Industry), קובע את דרישות אבטחת המידע לנתוני כרטיס אשראי, שנמצאים ברשותו של בית העסק. התקן חל על כל הגורמים הקשורים למערכות התשלומים בכרטיסי אשראי, והוא מגדיר את כללי הטיפול, האחסון, וההגנה על הנתונים הרגישים של כרטיסי האשראי – מספר הכרטיס, תאריך תוקף, מספר בטחון ומספר זהות. חברות האשראי אוסרות על אתרים שבהם מתנהלות עסקאות אונליין, שמירה של נתוני אשראי מלאים במערכת ניהול תוכן. לדוגמה, שמירה בטוחה של מספר כרטיס אשראי מפצלת באופן אוטומטי את המספר כך שמחציתו נשלחת למערכת ניהול התוכן, ואילו החצי השני נשלח באימייל למנהל המערכת. כתוצאה מכך, כדי לחשוף את מספר הכרטיס המלא, צריך לפרוץ גם לאתר וגם לאימייל וזה כבר הרבה יותר מסובך.
כדי לוודא כיצד מתבצעת שמירת נתונים במערכת, בעלי אתרים פונים בדרך כלל לחברה לבניית אתרים או לחברה שמספקת אותם כשירות תמורת דמי מנוי חודשיים, ומקבלים את המידע הרלוונטי.
יחד עם זאת, פה ושם יש חברות שמבטיחות ללקוח שמירת נתונים תקנית בעוד שבפועל הנתונים נשמרים במערכת ניהול התוכן במלואם ועלולים להיחשף לגורם שלישי. כך קורה שבעלי אתרים חותמים על טופס התחייבות לחברת האשראי, בתום לב כמובן, בעוד שבפועל המערכת שלהם לא עומדת בדרישות.
איך תוכל לבדוק את זה? אם החברה מאפשרת תקופת ניסיון, זו הזדמנות מצוינת עבורך לבדוק את האתר המוצע, ולבצע כמה עסקאות אונליין כהדמיה. לאחר מכן, כנס למערכת ניהול התוכן ובדוק כיצד נשמרו הנתונים הרגישים. אם הם נשמרו במלואם זה אומר שהמערכת אינה בטוחה, מפני שבמקרה של פריצה לאתר, כל מי שקנה דרכו נחשף למעשי מרמה. במידה והחברה אינה מציעה תקופת ניסיון, לא תוכל לבדוק את שמירת הנתונים ולכן הפתרון הוא לעבוד עם חברה מומלצת בעלת מוניטין עם רשימת לקוחות ידועה.
מספר הולך וגדל של מקרי הונאות כרטיסי אשראי מחייבים בעלי עסקים להקפיד על עקרונות אבטחה בלתי מתפשרים.
ארגון APW (Anti-Phishing Working Group) דיווחה על "Avalanche" כינוי לכנופיית ההונאות המקוונות הפעילה ביותר בעולם. ל-Avalanche יש תשתית מתקדמת והיא אחראית לשני שליש מכל התקפות ההונאה שתועדו במהלך 2009. במשך אותו זמן, היא פגעה ביותר מ-40 מוסדות פיננסיים, בשירותי אונליין ובאתרים של מחפשי עבודה. זאת ממש מלחמה – ככל שהתעצמו ההתקפות, כך השתכללו גם אמצעי ההגנה ונעשו יעילים יותר. ולאחר שהתשתית של הכנופיה נפגעה בסוף 2009, פחתה פעילותה בצורה משמעותית במהלך 2010.
האינטרנט היא מערכת ציבורית שבה ניתן לעקוב ולאתר כל עסקה – לכן פרטיות, הגנה ואמינות הם כה חשובים. כשהלקוח שלך ישאל את עצמו "לקנות – או לא לקנות?" עליך לתת לו את כל הסיבות המצוינות להישאר באתר ו-לקנות!
הכותבת הינה מנכ"לית פרומו ומנהלת פרויקט GetID – אתרים מעוצבים בבניה מקצועית, בדמי מנוי חודשיים. מערכת ניהול התוכן של GetID מיישמת את תקן PCI DSS.