黑客正在窃取信用卡和电子商务网站等敏感信息。为了保护(及打消)你的客户,这是必须要知道如何保护你的电子商务,你的敏感的客户数据。电子商务和安全专家分享了如何防止欺诈15个技巧,并保持你的网站的安全。
似乎你每天都能听到有人或某个组织侵入网站,或从电子商务网站窃取信用卡和其他敏感数据。
那么,您如何保护您的电子商务网站不被黑客攻击和敏感的客户数据被盗?CIO.com邀请了几十位电子商务和安全专家来找出答案。以下是15条建议,保护你的电子商务网站免受黑客和诈骗。
1.选择安全的电子商务平台。“把你的电子商务网站,采用了成熟的面向对象编程语言的平台上,”肖恩·赫斯,软件开发经理说,VoIP供应。
“我们过去使用过很多不同的开源电子商务平台,我们现在使用的是迄今为止最安全的,”赫斯说。“攻击者无法访问我们的管理面板,因为它只能在我们的内部网络上使用,并且完全从我们的公共服务器上移除。”此外,它还有一个二级身份验证,用于验证我们内部Windows网络的用户。”
2.使用安全连接进行在线结帐——并确保您是符合PCI的。“使用强大的SSL [安全套接字层]验证Web和数据保护,”里克·安德鲁斯,技术总监,信托服务说,赛门铁克。
“它可以是信念,为客户飞跃相信,您的电子商务网站是安全的,特别是当基于网络的攻击去年增加了30%。因此,使用SSL证书“来验证你公司的身份并在传输过程中对数据进行加密”是很重要的,安德鲁斯说。“这可以保护你的公司和客户的财务信息或重要信息不被窃取。”Even better: "Integrate the stronger EV SSL [Extended Validation Secure Sockets Layer], URL green bar and SSL security seal so customers know that your website is safe."
“SSL证书对于事务来说是必须的,”Hess表示同意。他说:“为了验证我们的信用卡,我们使用了一种支付网关,它在我们的结账上使用实时地址验证服务。”“通过将网上输入的地址与信用卡公司存档的地址进行比较,这可以防止欺诈性购物。”
3.不要存储敏感数据。“没有理由来存储成千上万的记录在你的客户,尤其是信用卡号码,截止日期和CVV2 [卡验证值]代码,”克里斯·波格,在数字取证和事故响应的主任网络爬行。
“事实上,它是严格禁PCI标准“波格说,他建议为索回和退款清除从数据库中的旧记录并保持最小的数据量,就足够了。‘违约的风险在结账超过了对客户的便利性,’他说。”如果你有什么可偷,你会不会抢了“。
4.使用地址和卡片验证系统。“启用地址验证系统(AVS),并要求对信用卡交易的卡验证值(CVV),以减少欺诈性收费,”科林·奥德尔,导致Magento的开发商说:释放技术。
5.需要强有力的密码。“虽然保证客户信息安全是零售商的责任,但你可以通过要求最低数量的字符和符号或数字的使用来帮助客户自助,”at的网络安全小组高级营销经理Sarah Grayson说迈克菲。“更长,更复杂的登录将使它更难犯罪分子从前端违反您的网站,”她说。
6.为可疑活动设置系统警报。“设置从同一个IP地址来通过多次交易和可疑交易的警示通知,”建议温兆伦蕙,在数字广告公司总经理库实验室。类似地,为“同一个人使用不同信用卡下的多个订单,电话号码来自与账单地址明显不同的地区,以及收件人姓名与持卡人姓名不同的订单”设置系统警报。
7.你的安全层。格雷森说:“保护你的公司不受网络罪犯侵害的最好方法之一就是分层保护。”“从防火墙开始,这是阻止攻击者入侵你的网络并获取关键信息的一个重要方面。”Next, she says, "add extra layers of security to the website and applications such as contact forms, login boxes and search queries." These measures "will ensure that your ecommerce environment is protected from application-level attacks like SQL (Structured Query Language) injections and cross-site scripting (XSS)."
8.提供安全培训员工。该公司首席安全官兼副法律顾问杰恩•弗里德兰•霍兰德(Jayne Friedland Holland)表示,员工“需要知道,他们永远不应该通过电子邮件或短信发送敏感数据,也不应该在聊天过程中泄露客户的私人信息,因为这些通信方式都不安全。NIC . n:行情)。。
“员工还需要在法律和影响客户数据和采取的行动,以保证它的安全需要进行培训的政策所受到的教育,”荷兰说。最后,“用严格的书面协议和政策,加强和鼓励员工遵守规定的安全做法。”
9.使用跟踪所有订单号。“打击欺诈扣费,已追踪号码为您发送每一个订单,”建议乔恩西,CEO,AddShoppers,一个面向零售商的社交商务平台。“这对放弃发货的零售商尤其重要。”
10.监控你的网站定期 - 并确保无论是谁收留了它是也。“一定要有一个实时分析工具,”Punit Shah说,他是在线珠宝商的市场总监我的三个环。“这就相当于在你的商店里安装安全摄像头。像Woopra或Clicky这样的工具可以让你实时观察访问者的浏览方式,并与你的网站进行互动,从而发现欺诈或可疑行为。”“有了这样的工具,当出现可疑活动时,我们的手机甚至会收到警报,这让我们能够迅速采取行动,防止可疑行为造成伤害。”
此外,确保不管是谁托管您的电子商务网站“定期监控他们的服务器的恶意软件,病毒和其他有害软件,”伊恩·罗杰斯,SEO和Web开发人员表示,Mvestor媒体,搜索引擎优化和网站设计的公司。“问你目前或潜在的Web主机,如果他们有一个计划,其中包括至少每天扫描,检测和清除恶意软件和病毒的网站上。”
11.定期执行PCI扫描。韦斯特建议:“通过Trustwave等服务定期进行季度PCI扫描,以降低你的电子商务平台容易受到黑客攻击的风险。”他说:“如果你使用的是第三方下载的软件,比如Magento或PrestaShop,请继续使用增强了安全性的新版本。”“今天几个小时的开发时间可以潜在地挽救你未来的整个业务。”
12.您的系统。“补丁一切立即 - 从字面上的一天,他们发布一个新版本,”凯尔·亚当斯,首席软件架构师的Junos Web应用程序安全说,在瞻博网络。“这包括Web服务器本身,以及其他第三方代码如Java,Python和Perl中,的WordPress和Joomla,这是攻击者的首选目标。”
Pogue说:“经常会发现有漏洞的网站运行的是使用了三年之久的PHP或2007年的ColdFusion。”因此,在所有软件上安装补丁非常重要:“你的网络应用、Xcart、OSCommerce、ZenCart和其他任何软件都需要定期打补丁。”
13.确保你有一个DDoS防护和缓解服务。”DDoS(分布式拒绝服务)攻击的频率增加,成熟和范围的目标,这些电子商务网站应该转向基于云的DNS服务提供DDoS保护和管理事务处理能力主动缓解和消除需要重大投资设备、基础设施和技术,”肖恩·利奇说,技术副总裁Verisign。
“云计算方法将有助于[电子商务商家]修剪运营成本,同时强化他们的防御,甚至阻挠最大和最复杂的攻击,”他认为。“此外,有管理的,基于云的DNS托管服务可以帮助实现100%的DNS解析,提高了支持在线交易和通信网络为基础的系统的可用性。”
14.考虑欺诈管理服务。“欺诈行为发生。对于商家来说,最好的解决办法是确保你没有拿着袋子,”鲍勃·艾格纳说,他是沃尔玛的产品管理副总裁EPiServer,一个.NET的内容管理和电子商务产品的公司。“大多数信用卡公司提供的欺诈管理和费用分摊管理服务。这是拿,因为大多数安全专家知道有百分之百的安全没有这样的东西的实用方法。”
15.确保您或任何托管站点的人都对其进行了备份——并且有灾难恢复计划。“结果来自最近的一项研究据Carbonite公司透露,企业的数据备份计划存在很大漏洞——在断电、硬盘故障甚至病毒的情况下,这些漏洞可能会使企业面临丢失有价值信息的风险无忧。因此,要确保你的网站得到了适当的保护,就要定期备份——或者确保你的托管服务正在这样做。
詹妮弗·隆诺夫·希夫(Jennifer Lonoff Schiff)是CIO.com的常客,也是这家电子商务公司的老板PrepsterPineapple.com。
按照一切从CIO.com的Twitter@CIOonline, 上Facebook和上谷歌+。
阅读更多有关电子贸易的资料在CIO的电子商务追溯。
这篇文章名为“保护你的电子商务网站免受黑客和欺诈的15种方法”,最初发表于CIO 。