Andrzej Kasprzyk
Członek Zarządu ISSA Polska, pracuje jako Specjalista ds. bezpieczeństwa w instytucji finansowej
Polityka bezpieczeństwa
Przygotuj dokumenty uwzględniające szereg zabezpieczeń podnoszących poziom ochrony danych, m.in.:
– BCP/DR – plan utrzymania ciągłości działania sklepu internetowego (backupy, odtwarzanie danych),
– NDA (oświadczenie o zachowaniu poufności) dla wszystkich osób zaangażowanych w przetwarzanie danych (w tym zewnętrzne agencje i freelancerów),
– zwizualizowane procesy realizowane w firmie – pomogą w optymalizacji bezpieczeństwa przetwarzanych danych (kto, w jaki sposób i na jakim etapie przetwarza dane osobowe),
– instrukcję zarządzania firmową infrastrukturą informatyczną,
– lista osób mających dostęp do danych osobowych klientów,
– sposoby zabezpieczenia przetwarzanych danych,
– 2FA-2 składnik uwierzytelnienia (token lub program).
Konto Email
W pierwszym kroku zabezpiecz swoje konto mailowe za pomocą skomplikowanego hasła i dwuskładnikowego uwierzytelnienia (2FA). Zakup domeny internetowej u rejestratora domen wymaga podania adresu mailowego i założenia konta klienta w serwisie rejestratora.
Zakup domeny
Przed wyborem rejestratora domen sprawdź czy firma jest partnerem NASK (dla domen .PL). Zapytaj rejestratora domen czy oferuje dwuskładnikowe uwierzytelnienie do logowania się do konta klienta. Zarejestruj domenę na firmę prowadzącą sklep internetowy. Kup domenę na kilka lat – 5 lat, to również dodaje wiarygodności.
Wybór hostingu
Wybierz firmę obecną dłuższy czas na rynku, zapytaj ilu administratorów zatrudnia firma hostingowa i czy posiadają branżowe certyfikaty z zakresu bezpieczeństwa. Zapytaj firmę hostingową jak często aktualizuje serwery (OS, MySQL, PHP) i czy oferuje separację kont (uprawnienia). Wybierz hosting oferujący połączenia z serwerem poprzez bezpieczny protokół SSH. Zapytaj jak często firma hostingowa wykonuje backupy danych. Pamiętaj, że hosting współdzielony jest mniej stabilny i bezpieczny niż VPS. W przypadku sklepów z dużym ruchem – wybierz dedykowany serwer VPS lub serwer fizyczny. W tym przypadku zadbaj o zatrudnienie administratora serwera. Zadbaj o regularne wykonywanie kopii zapasowych – niezależnie od firmy hostingowej.
Certyfikat SSL
Zapewnia bezpieczeństwo transmisji pomiędzy komputerem Internauty i serwerem. Dopilnuj aby konfiguracja certyfikatu SSL uwzględniała nagłówki bezpieczeństwa i protokół TLS. W przypadku kilku sklepów internetowych kup certyfikat SSL dla każdego z nich na maksymalny okres 2 lat. W przypadku kompromitacji jednego certyfikatu, pozostałe pozostaną nie skompromitowane.
Skrypt sklepu internetowego
Zwróć uwagę na częstotliwość aktualizacji i szybkość reakcji producenta na wykryte podatności oprogramowania (sprawdź bazę CVE: www.cvedetails.com). Zadbaj aby wdrożenie sklepu internetowego obejmowało zabezpieczenia aplikacji: zapora ogniowa WAF, blokada agresywnych botów, zalecenia OWASP Top 10.
Regularnie aktualizuj oprogramowanie sklepu internetowego, względnie zatrudnij do tego celu profesjonalistów. Do płatności internetowych wykorzystuj usługi firm – procesorów płatności, nigdy nie zapisuj danych kart płatniczych w sklepie internetowym.
Dane osobowe
– Powołaj Inspektora Ochrony Danych Osobowych (IODO),
– przygotuj regulamin sklepu internetowego uwzględniające różne wymagania prawne,
– przygotuj procedurę wykrywania i reakcji na incydenty bezpieczeństwa,
– zbieraj potwierdzenia szkoleń pracowników w zakresie UODO/RODO,
– nie przechowuj danych klientów, w tym na serwerze w postaci niezaszyfrowanej.