Czy bezpiecznie korzystasz z platformy CMS

Czy bezpiecznie korzystasz z platformy CMS

Czy bezpiecznie korzystasz z platformy CMS rozwiązania e-commerce oraz
hostingu/serwera/chmury
?
Broszura promująca przede wszystkim dobre praktyki
bezpiecznego korzystania z platformy CMS obsługującej
witrynę internetową e-sklepu
Broszura została dołączona do wpisu na blogu cyberlaw.pl
z dnia 09.10.2012
Autorka: Beata Marek
http://www.goldenline.pl/mikroblog/cyberlaw
http://twitter.com/cyberlawPL
Grafika: Alex Roman
http://www.facebook.com/roman.alexandru
Bezpieczne korzystanie z platformy e-sklepu oraz serwera ma znaczenie
O tym, że klientom należy zapewnić bezpieczne korzystanie z witryny wie lub powinien wiedzieć każdy kto poważnie myśli o e-biznesie. Jak się okazało
z raportu „Bezpieczny e-sklep 2012” przedsiębiorcy
mają problem z podstawowym aspektem jakim jest
szyfrowanie transmisji danych pomiędzy klientem,
a platformą e-sklepu (więcej przeczytać można
w wątku 15 + 15 faktów o polskim e-biznesie). A to
nie napawa optymizmem.
Brak zabezpieczania transakcji rodzi uzasadnione
obawy kupujących i jest lekkomyślne.
Beata Marek
www.cyberlaw.pl
Dlaczego ? Po pierwsze pokazujesz swoim klientom,
że nie zależy Tobie na bezpieczeństwie.
Po drugie ułatwiasz działanie robakom, których zadaniem jest podsłuch użytkownika (sniffing).
Działanie to prowadzi do łatwiejszego przechwycenia danych takich jak: imię, nazwisko, adres e-mail,
adres zamieszkania, numer karty kredytowej lub innych.
Po czwarte zwiększasz szanse na zainteresowanie
przestępców zapleczem Twojego sklepu, znalezienie
luki i podatności na SQL Injection, XSS czy CSRF.
Można by tak jeszcze długo wyliczać, a nie na tym dzisiaj chce się skupić.
Wyobraź sobie, że jesteś właścicielem sklepu i wybierasz lokalizację. Oczywiście będzie Cię interesowało takie miejsce, które jest jak najlepsze z punktu widzenia
dostępności do Twojej grupy docelowej oraz takie, na
które Ciebie stać. Hmm, ale także bezpieczne prawda ?
Co nam po tym jeśli miejsce będzie świetne pod względem lokalizacyjnym i czynsz będzie nam odpowiadał,
ale będzie to drewniana budka, do której przy mocniejszym kopnięciu będzie można się dostać ? No nic.
W tym właśnie sęk.
Tak samo jest z e-sklepem. Jeśli myślisz, że świetnie będzie zaoszczędzić na bezpieczeństwie to takie myślenie
z nawiązką obróci się przeciwko Tobie.
Ale sam certyfikat SSL nie załatwi sprawy.
Dlaczego ?
Ano dlatego, że Twój sposób korzystania z platformy
e-sklepu lub Twoich pracowników ma także znaczenie
dla tego by e-sklep był bezpiecznym miejscem nie tylko
dla klientów, ale i dla Ciebie.
Miejscem, które nie narazi na szwank Twojej reputacji i nie
zasłynie w Internecie pod hasłem „dane klientów XYZ wyciekły do sieci”. Taki news to sztylet dla Twojego e-sklepu
i konieczność budowania reputacji od początku albo (co
częściej się zdarza) wystartowania z nowym projektem, nowym szyldem etc.
Dlatego dzisiaj proponuję Tobie zabawę, która ma na celu
sprawdzić czy bezpiecznie korzystasz (lub Twoi pracownicy
korzystają) z platformy CMS, na której oparty jest system
zarządzania Twoim e-sklepem oraz czy dostęp do serwera,
na którym znajdują się dane także jest bezpieczny.
Przed Tobą 7 slajdów i 7 pytań. Oby liczba 7 okazała się
szczęśliwa :). Zasady zabawy są bardzo proste.
Każdy slajd zawiera pytanie oraz propozycje odpowiedzi. Ty wybierasz jedną odpowiedź oraz zapamiętujesz lub
zapisujesz kolor do niej przypisany. Kolor wskazuje biała
strzałka na czarnym tle :).
Na koniec podliczasz kolory, które przesądzą o Twoim wyniku.
Skoro jest to zabawa to dla najlepszych przygotowałam
nagrodę. Ponieważ w moich grach nie ma przegranych na
wszystkich czeka niespodzianka... No to gramy !
Twoje urządzenie i połączenie z Internetem
W jaki sposób zabezpieczasz sprzęt, na którym pracujesz ?
Korzystam z urządzenia, na którym
zainstalowane jest legalne oraz
zaktualizowane oprogramowanie
zapewniające ochronę
w trakcie korzystania
z Internetu
Nie wiem czy korzystam z urządzenia, na którym zainstalowane jest
legalne oraz zaktualizowane
oprogramowanie zapewniające
ochronę w trakcie korzystania
z Internetu
Nie korzystam z urządzenia, na
którym zainstalowane
jest legalne oraz zaktualizowane
oprogramowanie zapewniające
ochronę w trakcie korzystania
z Internetu
Twoje połączenie z providerem (hosting/serwer dedykowany/etc.)
Jak wygląda dostęp do danych zgromadzonych na serwerze ?
Łączę się z dostawcą za pomocą
transmisji szyfrowanej (SSL/TSL)
Łączę się z dostawcą za pomocą
transmisji szyfrowanej (SSL/TSL)
Nie łączę się z dostawcą za pomocą
transmisji szyfrowanej (SSL/TSL)
Mam podpisaną umowę o powierzaniu danych
osobowych z providerem
Mam podpisaną umowę o powierzaniu danych
osobowych z providerem
Nie mam podpisanej umowy o powierzaniu
danych osobowych z providerem
Baza danych klientów znajduje się w innym
miejscu aniżeli pliki platformy e-sklepu
Baza danych klientów znajduje się w tym samym miejscu co pliki platformy e-sklepu
Baza danych klientów znajduje się w tym samym miejscu co pliki platformy e-sklepu
Twoje połączenie z zapleczem witryny
W jaki sposób zabezpieczasz Twoje połączenie z panelem zarządzania ?
Łączę się za pomocą
transmisji szyfrowanej
(protokół SSL/TLS)
Proszę wybrać kolor zielony
albo
pomarańczowy
Nie łączę się za pomocą
transmisji szyfrowanej
(protokół SSL/TLS)
Zarządzanie dodatkami
W jaki sposób dodajesz nowe komponenty/wtyczki/pluginy ?
Instaluję komponenty napisane lub
polecane przez producenta
albo
zlecam napisanie oraz przetestowanie dodatku programistom*
*w przypadku rozwiązań open source
Nie instaluję żadnych dodatków
albo
nie aktualizuje już pobranych
Pobieram dodatki
z różnych miejsc w sieci
Zabezpieczenie CMSa
W jaki sposób zabezpieczasz platformę ?
Mam ustawione silne hasło dostępowe zarówno
do platformy jak i do serwera
(8 lub więcej znaków, małe i duże liery, cyfry
i znaki specjalne umiejscowione
w przypadkowy sposób)
Mam ustawione silne hasło dostępowe zarówno
do platformy jak i do serwera
(8 lub więcej znaków, małe i duże liery, cyfry
i znaki specjalne umiejscowione
w przypadkowy sposób)
Nie mam ustawionego silnego hasła dostępowgo zarówno do platformy jak i do serwera
(8 lub więcej znaków, małe i duże liery, cyfry
i znaki specjalne umiejscowione
w przypadkowy sposób)
Aplikacja platformy analizowana jest
pod kątem bezpieczeństwa np. wykrywania luk
Nie analizuję bezpieczeństwa aplikacji
Nie analizuję bezpieczeństwa aplikacji
Backup danych (kopia)
Czy wykonujesz backup danych ? Jak często ?
Kopia tworzona jest automatycznie
conajmniej raz dziennie
albo wykonywana jest ręcznie przez
administratora
Kopia wykonywana jest ręcznie, ale
nie mam wyznaczonego harmonogramu i wykonywana jest w różnych odstępach czasu
Kopia danych znajduje się w innym
miejscu aniżeli pliki macierzyste*
* np. na innym serwerze
Kopia danych przechowywana jest
na różnych dyskach *
* np. Twoim i administratora/pracownika
Kopia nie jest wykonywana
automatycznie ani
nie jest wykonywana ręcznie
Platforma w modelu SaaS (chmura)
Jeśli korzystasz z aplikacji w chmurze to ...
-> Komunikacja pomiędzy Tobą a providerem
jest szyfrowana
-> Dane znajdujące się na serwerze
(tzw. dane w spoczynku) także są szyfrowane
-> Wiem w jakim kraju znajduje się serwer
z danymi oraz mam podpisaną umowę o powierzaniu danych osobowych
-> Umowa o świadczenie usług spełnia moje
wymagania GRC *
* GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność
z legislacją, wymaganiami, przewidywanymi wydatkami
Proszę wybrać kolor zielony
albo
pomarańczowy
-> Komunikacja pomiędzy Tobą a providerem
nie jest szyfrowana
-> Dane znajdujące się na serwerze
(tzw. dane w spoczynku) nie są szyfrowane
-> Nie wiem gdzie oraz w jaki sposób są przetwarzane dane
-> Nie mam podpisanej umowy o powierzaniu
danych osobowych
-> Umowa o świadczenie usług została podpisana bez analizy moich wymagań GRC*
* GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność
z legislacją, wymaganiami, przewidywanymi wydatkami
Wyniki
Jeżeli Twój wynik to 7
zielonych zaznaczeń
Jeżeli wśród Twoich zaznaczeń jest co najmniej
jeden żółty kolor, ale nie ma żadnego czerwonego to warto pomyśleć o lepszej ochronie
Gratulacje!
Jeżeli wśród Twoich zaznaczeń jest co najmniej
jeden żółty kolor oraz co najmniej jeden czerwony to powinieneś poważnie pomyśleć
o bezpieczeństwie
7
-
Jeżeli wśród Twoich zaznaczeń jest co najmniej
jeden czerwony kolor, ale jest także co najmniej
jeden zielony to Twoje podejście do bezpieczeństwa nie jest spójne i należy dokonać
odpowiednich zmian
Jeżeli Twój wynik to 7 czerwonych zaznaczeń
poziom ochrony jest bliski zeru
--
Nagrody - proszę o kontakt mailowy: [email protected]
Brawo!
Poważnie podchodzisz do aspektów
bezpieczeństwa informacji
Wiesz, że poziom bezpieczeństwa
jest ważny, ale nie do końca wiesz
jak sobie z nim radzić
W nagrodę otrzymujesz ode mnie
1 bezpłatną konsultację związaną
z Twoim e-sklepem
Liczy się jednak Twoja chęć
dlatego zapisz się na
bezpłatne szkolenie online
i dowiedz się więcej
7
Niestety zwiększasz swoje ryzyko
na wyciek danych i inne zagrożenia
Tak nie może być !
dlatego zapisz się na
bezpłatne szkolenie online
i lepiej chroń informacje
-
--
Warunkiem niezbędnym do otrzymania nagrody jest podanie liczby kolorów
oraz kontakt z oficjalnego maila e-sklepu
Autorka nie ponosi odpowiedzialności za wykorzystywanie
zawartości broszury w jakikolwiek sposób.