ده روش مهم برای بالا بردن امنیت تجارت الکترونیکی

به عنوان شرکت یا فردی که یک فروشگاه اینترنتی یا هر تجارت آنلاینی را رهبری می‌کنید، باید برای امنیت برند و سایت خود اهمیت ویژه ای قایل شوید. پس این ده نکته حیاتی را برای افزایش ضریب امنیتی سیستم خود، از دست ندهید:

۱‫‬- به جای سرورهای اشتراکی، از یک سرور اختصاصی برای سایت خود استفاده کنید
اکثر شرکت های سرویس دهنده‌ی هاست، فایل‌ها و سایت‌های زیادی را به صورت اشتراکی بر روی یک سرور قرار می‌دهند که علت اصلی این کار، افزایش درآمد است. بدین ترتیب سایت‌های مختلفی بر روی یک سرور در حال سرویس‌گیری هستند و علاوه بر سخت افزار، برخی نرم‌افزارها و اسکریپت‌ها برای اجرای برنامه‌های همه سایت‌ها(مواردی مانند سرویس‌های ایمیل و کنترل پنل‌ها) در حال اجرا هستند. این بدین معنی است که فقط شما و شرکت شما به سرور مربوطه دسترسی ندارد و احتمالاً صدها شخص و کمپانی دیگر به این سرور دسترسی‌هایی دارند. اگر یکی از این مشتریان که سایتش به صورت مشترک با شما روی یک سرورقرار دارد، مسایل امنیتی را رعایت نکند و هک شود، سایت و اطلاعات شما را نیز در معرض خطر قرار داده است.

استفاده از یک سرور اشتراکی به این معنی است که فردی که برای دسترسی به اطلاعات شما تلاش می‌کند، بخاطر وجود سایت‌های زیاد، انتخاب‌های زیادی برای دسترسی به سرور داشته باشد.

در مقابل، استفاده از سرور اختصاصی، یک امتیاز امنیتی برای سایت شما محسوب می‌شود. وقتی شما از سرور اختصاصی استفاده کنید، فقط سایت شما است که به سرور و برنامه‌های آن دسترسی دارد. بدین ترتیب شما می‌توانید به طور کامل بر سرور و برنامه تحت اجرای آن نظارت داشته و از امنیت سایت خود مطمئن باشید.

۲‫‬-همیشه گوش به زنگ بسته های به روزرسانی و وصله‌های امنیتی برنامه‌های سرورتان باشید و به سرعت آن‌ها را نصب کنید
امنیت اطلاعات و سرور، که مهمترین مساله برای یک مشتری است، اغلب اوقات کمترین اهمیت را برای شرکت‌های ارائه دهنده‌ی هاست، دارد. (و حتی شاید برایشان مهم نباشد!)
شرکت‌های ارائه دهنده هاست، هنگام قرارداد می گویند که از امن‌ترین و بهترین نرم‌افزارهای امنیتی برای حفاظت از اطلاعات سایت شما استفاده می‌کنند، اما اگر آن‌ها برنامه‌های در حال اجرا را به روز نکنند و وصله‌های امنیتی را روی آنها نصب ننمایند، سایت شما در برابر انواع خطرات آسیب‌پذیر خواهد بود. (دقت کنید که نصب وصله‌های امنیتی باید در اولین فرصت و کمترین زمان ممکن انجام شود، زیرا هکر محترم هم همزمان با ارائه بسته امنیتی از سوراخ موجود در سایت تان مطلع خواهد شد!)

وقتی‌که شرکت ارائه دهنده یک نرم‌افزار، بسته‌های امنیتی‌ای را برای ترمیم ایراد‌های امنیتی نرم‌افزارش ارسال می‌کند، لازم است که این بسته‌ها به سرعت نصب شوند تا مبادا هکر بتواند زودتر اقدام کند و به سایت شما نفوذ کرده و اطلاعات تان را به سرقت ببرد. پس در صورته‌ی مهم در مورد تغییراتی که بر روی سرور و سایت اعمال می‌شود (هرچند کوچک و کم اهمیت)، این است که بدانید دقیقاً چه کسی و در چه زمانی تغییر مزبور را انجام داده است. با استفاده از سیستم کنترل تغییرات، تصحیح خطاهای احتمالی سایت ساده‌تر و سریعتر انجام می‌شود. همچنین شما می‌توانید هر گونه بدافزار و فایل مخرب احتمالی رادر سریعترین زمان ممکن شناسایی کنید.

به یاد داشته باشید که فقط خطرات خارجی برای شما دردسر ساز نیستند؛ در صورتیکه شما دسترسی‌های زیادی را برای همکاران و کارمندان غیرقابل اعتماد خود در نظر گرفته باشید، خطری که متوجه سایت شما است، از خطر هر هکری بیشتر است. پس علاوه بر بررسی مکرر فایلها و سایت خود، از درستکاری همکاران خود مطمئن شوید و حداقل دسترسی‌های لازم را به آنها بدهید.

۶‫‬-‬ از امنیت فیزیکی سرور و داده‌های خود مطمئن شوید
به همان اندازه که محدود کردن دسترسی به اسناد و مدارک شرکت تان اهمیت دارد، کنترل دسترسی به کامپیوتری که سایت تان روی آن میزبانی می‌شود هم مهم است.

شاید سرور شما از امنیت بالا و سیستم‌های رمزنگاری مناسبی برخوردار باشد، اما آیا در اتاق سرور هم قفل است؟ به یاد داشته باشید که در نهایت اطلاعات شما بر روی یک سری سخت‌افزار ذخیره شده‌اند. آیا می‌دانید شرکت هاستینگ شما با یک هارددیسک سوخته چه کار می‌کند؟ اگر آنها این هارددیسک را به طرز صحیحی نابود نکنند، ممکن است اطلاعات شما به دست چه کسانی بیفتد؟

به هر حال در صورتی که چنین اتفاقی بیافتد، شما بطور قانونی حقی برای شکایت ندارید. راه حل این است که قبل از انتخاب شرکت هاستینگ، مطمئن شوید که آن شرکت دارای گواهینامه‌های امنیتی ISO‪/‬IEC 27001 و 27002 باشد. فقط شرکت‌هایی که استانداردهای امنیت مجازی و فیزیکی اطلاعات مشتریان را رعایت می‌کنند، دارای این گواهینامه‌ها هستند. پس در صورتی که شرکت ارائه دهنده فضای سایت شما دارای این دو گواهینامه‌ی معتبر باشد، قابل اعتماد است.

۷‫‬-‬ برای امنیت داده‌های کاربران، با شرکت هاستینگ قرارداد رسمی ببندید
مطمئناً شما برای فروش کالاها و خدماتی که به کاربران می‌دهید، اطلاعاتی همانند نام، ایمیل، آدرس، تلفن و .. را دریافت می‌کنید که این داده‌ها در هاست ذخیره می‌شوند. اما در صورتی که با وجود اقدامات امنیتی و حفاظتی، به هر دلیلی اطلاعات سایت شما دزدیده شود، تکلیف اطلاعات شخصی کاربران و خریداران شما (Personally Identifiable Information ‪-‬ PII) چیست؟ شاید جالب باشد که بدانید در بسیاری از کشورها حتی اگر شما هم در این زمینه مقصر نباشید و لو رفتن اطلاعات از طرف شرکت هاستینگ اتفاق افتاده باشد، باز هم مسئولیت حقوقی این مساله با شما است و باید پاسخگو باشید.

اغلب شرکت‌های هاستینگ معمولاً زیر بار مسئولیت این اطلاعات نمی‌روند و حتی در صورت هک شدن سرورشان، مسئولیتی را متقبل نمی شوند. اما شما باید این نکته را هم در قراردادی رسمی که با شرکت هاستینگ می‌بندید، ذکر کنید. یعنی قرارداد باید طوری نوشته شود که مسئولیت امنیت این اطلاعات مهم مشخص باشد.

۸‫‬-‬ پیاده‌سازی Code Sanitizing برای فیلدهای ورود اطلاعات
code sanitizing اصطلاحی رایج به معنای پاکسازی کدها از اسکریپت‌ها و کدهای مخرب است که اجازه ورود هر داده‌ای را به دیتابیس(پایگاه داده ها) نمی‌دهد‫، بلکه ابتدا کارکترها و رشته‌های ورودی را بررسی می‌کند و در صورت وجود کد مخرب یا به درد نخور، آن را پاکسازی می‌کند و یا از ورود آن به پایگاه داده‌های سایت، جلوگیری می‌کند.‬

باید توجه داشته باشید، هر کجا که کاربر می‌تواند اطلاعات وارد کند، به صورت بالقوه می‌تواند حفره ورودی خطرناکی باشد. فرض کنید همه ورودی‌های یک صفحه با نیت‌های بدخواهانه و خرابکارانه پر شوند، بدین ترتیب، اگر code sanitizing را رعایت نکرده باشید، امکان دارد کاربران خواسته یا ناخواسته کارکتر یا رشته‌ای را وارد دیتابیس سایت شما کنند. با این وضع تصور کنید که یک دستور SQL اجرا شود و قسمتی از داده‌ها را پاک کند. بدون شک تحمل چنین فاجعه‌ای برای هر مدیر سایتی غیرممکن است. پس برای جلوگیری از چنین مواردی، باید اصول code sanitizing را رعایت کنید، تا از خطر در امان بمانید.

۹‫‬-‬ سایت خود را هم به لیست سایت‌هایی که روزانه مرور می‌کنید، اضافه نمایید
لازم است که سایت خود را در بازه‌های زمانی مشخص بررسی کرده و وجود Malware و اسکریپت‌های خطرناک در آن را کنترل کنید. برای این کار سرویس‌های مختلفی ‪(malware checking service)‬ وجود دارد که به شما امکان بررسی سایت تان را می‌دهد. شما می‌توانید با استفاده از سرویس‌هایی که به این منظور طراحی شده‌اند، از وضعیت سلامت و امنیت سایت خود مطلع شوید. البته استفاده از بسیاری از این سرویس‌ها مستلزم پرداخت هزینه خواهد بود که کار را برای ایران کمی مشکل می کند.

اما گوگل سرویسی ساده و رایگان برای مرور سایت، ارائه می‌دهد که چنین مواردی را بررسی می‌کند و تا حدودی به مدیران سایت کمک می‌نماید. برای استفاده از این سرویس گوگل می‌توانید به آدرس زیر مراجعه کرده و سایت خود را در انتهای لینک وارد کنید.

http://google.com/safebrowsing/diagnostic?site=www.yoursite.com


۱۰‫‬-‬ همیشه ایمیل‌هایی را که از سرور شما فرستاده می شوند، اسکن کنید.
در صورتی که هکر یا یکی از کارمندان تان، اقدام به ارسال ایمیل‌های اسپم از سرور شما کند، سرور شما در لیست ارسال کننده‌های اسپم قرار گرفته‫ و از آن به بعد کلیه ایمیل‌هایی که از سرور شما ارسال می‌شود، در سرویس دهنده های عمومی و اختصاصی ایمیل مستقیماً به پوشه اسپم فرستاده شده و مشاهده نمی شوند.

همچنین در صورتی که شما یکی از قربانیان هرزنامه ها (اسپم) باشید و این نکته امنیتی را به کار نبندید، ناخواسته به یکی از عاملان انتشار آن خواهید بود. پس همیشه و همه ایمیل‌هایی را که از سرورتان ارسال می گردند، با برنامه‌های مناسب کنترل کنید و اطمینان حاصل کنید که حاوی هیچ کد مخربی نیستند