Czy bezpiecznie korzystasz z platformy CMS
Transkrypt
Czy bezpiecznie korzystasz z platformy CMS
Czy bezpiecznie korzystasz z platformy CMS rozwiązania e-commerce oraz hostingu/serwera/chmury ? Broszura promująca przede wszystkim dobre praktyki bezpiecznego korzystania z platformy CMS obsługującej witrynę internetową e-sklepu Broszura została dołączona do wpisu na blogu cyberlaw.pl z dnia 09.10.2012 Autorka: Beata Marek http://www.goldenline.pl/mikroblog/cyberlaw http://twitter.com/cyberlawPL Grafika: Alex Roman http://www.facebook.com/roman.alexandru Bezpieczne korzystanie z platformy e-sklepu oraz serwera ma znaczenie O tym, że klientom należy zapewnić bezpieczne korzystanie z witryny wie lub powinien wiedzieć każdy kto poważnie myśli o e-biznesie. Jak się okazało z raportu „Bezpieczny e-sklep 2012” przedsiębiorcy mają problem z podstawowym aspektem jakim jest szyfrowanie transmisji danych pomiędzy klientem, a platformą e-sklepu (więcej przeczytać można w wątku 15 + 15 faktów o polskim e-biznesie). A to nie napawa optymizmem. Brak zabezpieczania transakcji rodzi uzasadnione obawy kupujących i jest lekkomyślne. Beata Marek www.cyberlaw.pl Dlaczego ? Po pierwsze pokazujesz swoim klientom, że nie zależy Tobie na bezpieczeństwie. Po drugie ułatwiasz działanie robakom, których zadaniem jest podsłuch użytkownika (sniffing). Działanie to prowadzi do łatwiejszego przechwycenia danych takich jak: imię, nazwisko, adres e-mail, adres zamieszkania, numer karty kredytowej lub innych. Po czwarte zwiększasz szanse na zainteresowanie przestępców zapleczem Twojego sklepu, znalezienie luki i podatności na SQL Injection, XSS czy CSRF. Można by tak jeszcze długo wyliczać, a nie na tym dzisiaj chce się skupić. Wyobraź sobie, że jesteś właścicielem sklepu i wybierasz lokalizację. Oczywiście będzie Cię interesowało takie miejsce, które jest jak najlepsze z punktu widzenia dostępności do Twojej grupy docelowej oraz takie, na które Ciebie stać. Hmm, ale także bezpieczne prawda ? Co nam po tym jeśli miejsce będzie świetne pod względem lokalizacyjnym i czynsz będzie nam odpowiadał, ale będzie to drewniana budka, do której przy mocniejszym kopnięciu będzie można się dostać ? No nic. W tym właśnie sęk. Tak samo jest z e-sklepem. Jeśli myślisz, że świetnie będzie zaoszczędzić na bezpieczeństwie to takie myślenie z nawiązką obróci się przeciwko Tobie. Ale sam certyfikat SSL nie załatwi sprawy. Dlaczego ? Ano dlatego, że Twój sposób korzystania z platformy e-sklepu lub Twoich pracowników ma także znaczenie dla tego by e-sklep był bezpiecznym miejscem nie tylko dla klientów, ale i dla Ciebie. Miejscem, które nie narazi na szwank Twojej reputacji i nie zasłynie w Internecie pod hasłem „dane klientów XYZ wyciekły do sieci”. Taki news to sztylet dla Twojego e-sklepu i konieczność budowania reputacji od początku albo (co częściej się zdarza) wystartowania z nowym projektem, nowym szyldem etc. Dlatego dzisiaj proponuję Tobie zabawę, która ma na celu sprawdzić czy bezpiecznie korzystasz (lub Twoi pracownicy korzystają) z platformy CMS, na której oparty jest system zarządzania Twoim e-sklepem oraz czy dostęp do serwera, na którym znajdują się dane także jest bezpieczny. Przed Tobą 7 slajdów i 7 pytań. Oby liczba 7 okazała się szczęśliwa :). Zasady zabawy są bardzo proste. Każdy slajd zawiera pytanie oraz propozycje odpowiedzi. Ty wybierasz jedną odpowiedź oraz zapamiętujesz lub zapisujesz kolor do niej przypisany. Kolor wskazuje biała strzałka na czarnym tle :). Na koniec podliczasz kolory, które przesądzą o Twoim wyniku. Skoro jest to zabawa to dla najlepszych przygotowałam nagrodę. Ponieważ w moich grach nie ma przegranych na wszystkich czeka niespodzianka... No to gramy ! Twoje urządzenie i połączenie z Internetem W jaki sposób zabezpieczasz sprzęt, na którym pracujesz ? Korzystam z urządzenia, na którym zainstalowane jest legalne oraz zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania z Internetu Nie wiem czy korzystam z urządzenia, na którym zainstalowane jest legalne oraz zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania z Internetu Nie korzystam z urządzenia, na którym zainstalowane jest legalne oraz zaktualizowane oprogramowanie zapewniające ochronę w trakcie korzystania z Internetu Twoje połączenie z providerem (hosting/serwer dedykowany/etc.) Jak wygląda dostęp do danych zgromadzonych na serwerze ? Łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL) Łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL) Nie łączę się z dostawcą za pomocą transmisji szyfrowanej (SSL/TSL) Mam podpisaną umowę o powierzaniu danych osobowych z providerem Mam podpisaną umowę o powierzaniu danych osobowych z providerem Nie mam podpisanej umowy o powierzaniu danych osobowych z providerem Baza danych klientów znajduje się w innym miejscu aniżeli pliki platformy e-sklepu Baza danych klientów znajduje się w tym samym miejscu co pliki platformy e-sklepu Baza danych klientów znajduje się w tym samym miejscu co pliki platformy e-sklepu Twoje połączenie z zapleczem witryny W jaki sposób zabezpieczasz Twoje połączenie z panelem zarządzania ? Łączę się za pomocą transmisji szyfrowanej (protokół SSL/TLS) Proszę wybrać kolor zielony albo pomarańczowy Nie łączę się za pomocą transmisji szyfrowanej (protokół SSL/TLS) Zarządzanie dodatkami W jaki sposób dodajesz nowe komponenty/wtyczki/pluginy ? Instaluję komponenty napisane lub polecane przez producenta albo zlecam napisanie oraz przetestowanie dodatku programistom* *w przypadku rozwiązań open source Nie instaluję żadnych dodatków albo nie aktualizuje już pobranych Pobieram dodatki z różnych miejsc w sieci Zabezpieczenie CMSa W jaki sposób zabezpieczasz platformę ? Mam ustawione silne hasło dostępowe zarówno do platformy jak i do serwera (8 lub więcej znaków, małe i duże liery, cyfry i znaki specjalne umiejscowione w przypadkowy sposób) Mam ustawione silne hasło dostępowe zarówno do platformy jak i do serwera (8 lub więcej znaków, małe i duże liery, cyfry i znaki specjalne umiejscowione w przypadkowy sposób) Nie mam ustawionego silnego hasła dostępowgo zarówno do platformy jak i do serwera (8 lub więcej znaków, małe i duże liery, cyfry i znaki specjalne umiejscowione w przypadkowy sposób) Aplikacja platformy analizowana jest pod kątem bezpieczeństwa np. wykrywania luk Nie analizuję bezpieczeństwa aplikacji Nie analizuję bezpieczeństwa aplikacji Backup danych (kopia) Czy wykonujesz backup danych ? Jak często ? Kopia tworzona jest automatycznie conajmniej raz dziennie albo wykonywana jest ręcznie przez administratora Kopia wykonywana jest ręcznie, ale nie mam wyznaczonego harmonogramu i wykonywana jest w różnych odstępach czasu Kopia danych znajduje się w innym miejscu aniżeli pliki macierzyste* * np. na innym serwerze Kopia danych przechowywana jest na różnych dyskach * * np. Twoim i administratora/pracownika Kopia nie jest wykonywana automatycznie ani nie jest wykonywana ręcznie Platforma w modelu SaaS (chmura) Jeśli korzystasz z aplikacji w chmurze to ... -> Komunikacja pomiędzy Tobą a providerem jest szyfrowana -> Dane znajdujące się na serwerze (tzw. dane w spoczynku) także są szyfrowane -> Wiem w jakim kraju znajduje się serwer z danymi oraz mam podpisaną umowę o powierzaniu danych osobowych -> Umowa o świadczenie usług spełnia moje wymagania GRC * * GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność z legislacją, wymaganiami, przewidywanymi wydatkami Proszę wybrać kolor zielony albo pomarańczowy -> Komunikacja pomiędzy Tobą a providerem nie jest szyfrowana -> Dane znajdujące się na serwerze (tzw. dane w spoczynku) nie są szyfrowane -> Nie wiem gdzie oraz w jaki sposób są przetwarzane dane -> Nie mam podpisanej umowy o powierzaniu danych osobowych -> Umowa o świadczenie usług została podpisana bez analizy moich wymagań GRC* * GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność z legislacją, wymaganiami, przewidywanymi wydatkami Wyniki Jeżeli Twój wynik to 7 zielonych zaznaczeń Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden żółty kolor, ale nie ma żadnego czerwonego to warto pomyśleć o lepszej ochronie Gratulacje! Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden żółty kolor oraz co najmniej jeden czerwony to powinieneś poważnie pomyśleć o bezpieczeństwie 7 - Jeżeli wśród Twoich zaznaczeń jest co najmniej jeden czerwony kolor, ale jest także co najmniej jeden zielony to Twoje podejście do bezpieczeństwa nie jest spójne i należy dokonać odpowiednich zmian Jeżeli Twój wynik to 7 czerwonych zaznaczeń poziom ochrony jest bliski zeru -- Nagrody - proszę o kontakt mailowy: [email protected] Brawo! Poważnie podchodzisz do aspektów bezpieczeństwa informacji Wiesz, że poziom bezpieczeństwa jest ważny, ale nie do końca wiesz jak sobie z nim radzić W nagrodę otrzymujesz ode mnie 1 bezpłatną konsultację związaną z Twoim e-sklepem Liczy się jednak Twoja chęć dlatego zapisz się na bezpłatne szkolenie online i dowiedz się więcej 7 Niestety zwiększasz swoje ryzyko na wyciek danych i inne zagrożenia Tak nie może być ! dlatego zapisz się na bezpłatne szkolenie online i lepiej chroń informacje - -- Warunkiem niezbędnym do otrzymania nagrody jest podanie liczby kolorów oraz kontakt z oficjalnego maila e-sklepu Autorka nie ponosi odpowiedzialności za wykorzystywanie zawartości broszury w jakikolwiek sposób.