Quando si fa riferimento alla sicurezza di un eCommerce, si intende un insieme di protocolli stabiliti a livello globale che garantiscono all’utente di avere un’esperienza di acquisto sicura.
Offrire un eCommerce sicuro significa stabilire e mantenere rapporti duraturi con i clienti; infatti una perdita dei dati può avere un impatto negativo sulla fiducia e quindi provocare danni irreparabili.
I concetti alla base della sicurezza del commercio elettronico, che proteggono sia la tua azienda che il cliente, sono:
– autenticità: sia il cliente che il commerciante devono essere identità verificabili. L’azienda deve dimostrare di essere reale, così come i clienti devono fornire prove sulla loro identità.
– riservatezza: è la protezione dei dati dei clienti, la non condivisione di dati con terzi non autorizzati.
– integrità: si deve garantire che qualsiasi dato condiviso dai clienti non verrà in alcun modo modificato.
– non ripudio: principio legale che impedisce che l’origine delle informazioni possa essere contraffatta e negata dall’autore.
I rischi che si corrono quando si ha un eCommerce poco affidabile sono: pishing (i clienti ricevono email fraudolente), malware, furto dei dati dei clienti e frodi con carte di credito/transazioni non autorizzate.
1. Utilizza una connessione sicura (SSL) per proteggere le informazioni sensibili dei clienti
Quando un utente richiede di registrarsi sul tuo sito per poter fare un acquisto, affida al tuo eCommerce tutta una serie di dati personali. È molto importante che queste informazioni siano archiviate in sicurezza e protette da eventuali attacchi, sia per evitare sanzioni e sia per dimostrarsi credibili agli occhi di potenziali acquirenti. Quindi, quando decidi di creare uno shop online affidabile e con una connessione sicura, devi assicurarti di aggiungere un certificato SSL al tuo hosting.
1.1. Cos’è una connessione SSL e come funziona
Il certificato SSL, acronimo di Secure Sockets Layer, è un metodo per evitare la violazione dei dati sensibili personali. È un piccolo archivio di dati che vincola a livello digitale una chiave criptografica con i dati dell’azienda. Una volta installato nel server, il certificato attiva il lucchetto e il protocollo https. In questo modo si abilita una connessione sicura tra il server e il motore di ricerca, o nel nostro caso tra cliente ed eCommerce. Ogni messaggio trasmesso deve superare un controllo di integrità; se il controllo ha esito negativo (per dati corrotti o per tentativo di intercettare i dati), i dati crittografati non verranno trasmessi. Pur sembrando un processo lungo, in realtà questa attività si svolge in pochi millesimi di secondo.
Si distinguono tre categorie di certificati:
DV: sono i più economici e certificano il dominio.
OV: oltre al dominio, certificano l’organizzazione, quindi l’azienda.
EV: sono quelli con il più alto grado di sicurezza.
1.2. Perché è importante utilizzare una connessione SSL per il tuo eCommerce
Il certificato SSL si usa per proteggere le transazioni con le carte di credito e il trasferimento di dati. Sostanzialmente il certificato fa in modo che tutti i dati delicati come credenziali di accesso, numeri di carte o password siano illeggibili per tutti, tranne che per il server del destinatario.
Avere una connessione SSL è importante perché assicura al cliente di star visitando un sito sicuro e non corre pericoli di trovarsi intercettati dati sensibili, come quelli di pagamento o password. Questo incrementa la fiducia del visitatore, che non inserirebbe mai informazioni personali su un sito non protetto.
Inoltre, altro aspetto da non sottovalutare, Google premia i siti che hanno una connessione sicura e poter contare sull’uso di https (dal 2014 fa parte dei fattori che condizionano l’algoritmo di ricerca) ti aiuta ad ottenere un miglior posizionamento nei motori di ricerca e quindi ad avere una migliore SEO.
Inoltre serve per verificare l’autenticità di una pagina web e quindi aumenta la reputazione del tuo brand, convalidando la tua azienda da un’autorità di certificazione attendibile.
2. Utilizza il software di sicurezza per proteggere il tuo sito da attacchi informatici
Proteggere il tuo sito, chiave di successo della tua azienda, è di fondamentale importanza per evitare attacchi informatici in costante aumento.
Il tuo eCommerce immagazzina dati di visitatori e clienti (come nomi, email, numeri di telefono, geolocalizzazione) ed è importante che tali dati siano messi al sicuro. Esistono molti strumenti che ti permettono di implementare la sicurezza del tuo shop online, come i plugin (che rilevano bot, bloccano reti non affidabili e annullano malware), le politiche di controllo degli accessi e i software (che riducono al minimo i rischi davanti a una minaccia della rete e proteggono i dati in possesso dell’azienda).
2.1. Tipi di software di sicurezza disponibili per proteggere il tuo Store Online
È bene fare una distinzione tra i vari software di sicurezza a disposizione:
• software antivirus: questo tipo di software impedisce l’installazione di programmi malevoli nel sistema di dati della tua azienda. Rappresenta una prima difesa forte contro le minacce alla sicurezza, infatti cerca, individua e rimuove i virus prima che possano creare problemi.
Gli antivirus sono aggiornati costantemente e migliorati dai provider di servizi di sicurezza per essere al passo con l’evoluzione delle minacce informatiche.
Si trovano antivirus completi che ti proteggono contemporaneamente da molte minacce (spyware, virus, worm e ransomware) e altri più specifici che si concentrano su una determinata parte dell’infrastruttura, aggiungendo un ulteriore livello di protezione a email, cloud, endpoint e database.
• firewall: questa soluzione è fondamentale per garantire la sicurezza dei dati, perché monitora il traffico in entrata e in uscita da una rete, istituendo una barriera laddove potrebbero esserci eventuali tentativi di hackeraggio.
• software per protezione da DDoS: protegge il tuo sito dagli attacchi DDoS, identificando il traffico dannoso e impedendo che raggiunga applicazioni e il tuo eCommerce.
• software gestore di password: protegge le tue password di accesso e ne crea automaticamente altre efficaci per evitare che queste vengano hackerate, oltre ad avvisarti quando sono deboli.
2.2 Come scegliere il software di sicurezza giusto per il tuo eCommerce
Fondamentalmente è appropriato scegliere il software di sicurezza in base all’utilizzo che devi farne, al tuo sistema operativo e alle tue esigenze.
Queste sono le caratteristiche che deve possedere un buon software di sicurezza:
– non deve andare in conflitto con altri programmi installati o software in esecuzione sul tuo computer, perché questo comporterebbe malfunzionamenti o la momentanea sospensione della protezione del sistema.
– non deve essere complicato nell’utilizzo: deve avere un’interfaccia utente semplice e chiara e deve fornirti la possibilità di rivolgerti all’assistenza.
– deve garantire la protezione completa e costante su tutti i canali al computer (anche email, Internet…)
– deve essere aggiornato, in grado di rispondere a nuovi virus informatici che si evolvono di giorno in giorno.
– deve avere le scansioni automatiche, cioè deve entrare in azione in modo proattivo e automaticamente, senza però impedire all’utente di lanciare una scansione automatizzata quando lo richiede.
– deve includere la protezione dei firewall, plug-in e le estensioni per i browser per evitare le frodi informatiche e i tentativi di crimini.
Molte suite di sicurezza possiedono anche la raccolta e gestione password e l’archiviazione crittografata in sicurezza nel cloud, che sono due aspetti molto importanti che devi tenere in considerazione per il tuo eCommerce. Assicurati, però, di aver realmente bisogno di questi servizi extra (protezione dal furto d’identità, VPN, backup).
3. Utilizza politiche di password sicure per proteggere l’accesso al sito
Una password sicura è la principale barriera che impedisce l’hackeraggio al tuo sito. Infatti le password rappresentano una parte importante della sicurezza della tua azienda, visto che proteggono i dati dei clienti e non solo. Se le password non vengono gestite correttamente, possono causare problemi di sicurezza, come il furto di dati o l’accesso non autorizzato al sistema.
Una politica di password è un insieme di regole che stabiliscono i parametri che le password devono rispettare per garantire la sicurezza dei dati, sistemi e dispositivi della tua azienda. Non basta sviluppare e mettere in pratica una politica su come generare password sicure; tutta l’azienda deve anche registrare la sua politica delle password, metterla a disposizione di tutti gli impiegati e farla apprendere attraverso corsi di sensibilizzazione sulla sicurezza.
3.1. Consigli per creare password sicure
Come creare una password sicura? Ecco alcune semplici regole da seguire:
1. Crea una password di almeno 12 caratteri, 16 in caso di password che protegge dati sensibili. Più è lunga la chiave di sicurezza e più sarà difficile che venga rubata.
2. Cerca di alternare lettere, numeri, simboli e punteggiatura.
3. Non usare numeri o lettere consecutive, come 1,2,3,4 o a, b, c, d, e. Sono i primi tentativi di combinazione provate dai programmi di hackeraggio.
4. Usa maiuscole e minuscole.
5. Evita di scegliere parole comuni o informazioni personali (date di compleanno, nomi di figli o animali domestici…) che possono essere trovate facilmente. Gli hacker possono risalire a questi dati analizzando i tuoi profili social. Cerca di rendere la password il più possibile casuale.
6. Aggiorna frequentemente le tue password, almeno due volte all’anno, in questo modo gli hacker avranno meno tempo per provare a violarla.
Un altro errore molto comune è quello di usare la stessa password per siti diversi, ma se gli hacker riescono a decifrare la password, tenteranno di usarla per violare gli altri tuoi account. Per ogni account nuovo che crei, genera una nuova password.
Paura di dimenticarle? Puoi usare un gestore di password per avere salvate tutte le tue password e averle subito accessibili quando necessarie. Inoltre, un buon password manager funziona anche da generatore di password casuali.
Non usare browser per salvare le tue password ed evitare di inserirle automaticamente in un secondo momento. I browser non ti garantiscono gli standard di protezione che hai con un programma di gestione delle password.
Evita di ricorrere a password già usate in precedenza e magari già hackerate. Questo ti impedirà un attacco sfruttando la tua ultima modifica della password.
Infine, banalmente, ricordati di non condividere mai le tue password: più persone verranno a conoscenza della tua password e più sarai a rischio.
3.2. Come proteggere le password dei clienti
È importante formare e consigliare l’utente sull’utilizzo di password sicure, soprattutto perché
il sistema di autenticazione standard non è più sufficiente per proteggere in modo sicuro gli account dei tuoi clienti.
Per questo motivo è importante abilitare l’autenticazione a due fattori o, ancora meglio, quella multifattoriale.
L’autenticazione a due fattori associa l’uso di due diversi fattori: ad esempio, dopo aver provato a effettuare il login per accedere all’account, il cliente riceverà un SMS sul suo cellulare contenente un codice di lettere/numeri che gli consente di verificare la sua identità e completare l’accesso.
L’autenticazione multifattoriale stabilisce l’utilizzo, appunto, di più fattori durante il processo. I fattori sono di tre tipologie: 1) password, 2) il dispositivo per l’autenticazione 3) l’impronta digitale o un altro dato biometrico.
Solitamente le aziende con una sicurezza avanzata optano per l’autenticazione multifattoriale.
Altre scelte che puoi fare sono:
– la configurazione di un captcha per rendere l’accesso più sicuro: protegge gli utenti dallo spam e dalle automatizzazioni messe in atto dai bot. Il codice captcha riconosce l’assenza di un comportamento “umano” e blocca l’accesso al bot.
– la limitazione dei tentativi di accesso per impedire a un utente malintenzionato di indovinare la password dell’utente: gli hacker possono automatizzare gli attacchi di forza bruta alle password per provare migliaia di combinazioni di password per aggirare l’account del tuo utente. Ridurre i tentativi di accesso ti aiuta a prevenire minacce alla sicurezza.
– il blocco degli IP agli account dopo diversi tentativi di accesso non riusciti.
– l’archiviazione delle password in un formato crittografato difficile da intercettare da hacker o software malevoli.
