网络安全——以及安全漏洞——仍然是一个热门话题。而小型电子商务企业,尤其是使用开源平台的企业,尤其容易受到黑客攻击和入侵的影响。那么,小型电子商务商店该如何保护自己的网站以及任何敏感(客户)数据呢?以下是来自电子商务安全专家的10条建议。
[相关:防范高级持续威胁的5个技巧]
1.教育员工。“网络攻击正变得越来越复杂,人们很容易被看起来像日常业务请求的电子邮件、链接和附件所欺骗,”首席传播官诺曼•瓜达尼奥(Norman Guadagno)表示。Carbonite.“恶意软件、病毒和勒索软件只需点击一下鼠标,就会渗入你的系统,危及重要的业务数据。”
因此,“保护你的数据不受网络攻击的第一步是教育你的员工,确保他们了解网络罪犯使用的最新方法,”他说。“最好的方法之一是通过创建真实的场景来测试员工检测钓鱼邮件或可疑链接的能力。这将帮助你洞察常见的错误,并找出需要改进的地方。”
[相关:钓鱼邮件利用独特的主题行,办公室文档]
还可以考虑“聘请第三方来进行社会工程或设施入侵演习,[这]可以帮助你了解你的安全政策和意识程序是否真的会阻止外部人士直接从你的员工那里获得有价值的客户信息,”董事总经理兼全国IT实践负责人克里斯托弗•罗奇表示,CBIZ风险与咨询服务.
2.确保你的托管公司支持你。安全研究公司的经理特洛伊·吉尔说:“只使用值得信任的供应商作为你网站的主机。”AppRiver该公司专门从事电子邮件和网络安全。“确保他们认真对待安全问题。例如,他们使用加密吗?”
3.使用安全的电子商务平台。“使用托管购物车,”校长克里斯托弗·弗莱明说,Onlinestorehelp.com.大多数托管购物车,如Shopify、Bigcommerce和3dcart,都通过了PCI合规审计。他们中的大多数是PCI-DSS Level 1兼容。他们有全职员工修补安全漏洞,让你有时间做最重要的事情,推广你的业务。”
4.部署SSL加密。网络安全副总裁多迪·格伦表示:“通过SSL/HTTPS协议,确保你网站上的所有交易都是安全的。PC进站.“在选择电子商务平台时,要确保它能够支持通过SSL进行安全交易。这将使你安全地进行金融交易,而不会有敏感信息以明文形式发送的风险。”
更好的做法是,“确保你的整个网站都使用SSL证书,而不仅仅是支付网关,”他说尼克莱弗勒他是一位商业品牌顾问。“这样做的好处是,可以保证所有用户数据在互联网上传输时的安全(甚至包括他们的电子邮件地址),谷歌将随着时间的推移,把这作为一个排名因素,更加关注这一点。”
5.确保你的电子商务网站符合PCI DSS标准。”任何处理、存储或传输支付卡数据的电子商务都需要遵守PCI DSS(支付卡行业数据安全标准),”罗奇说。“遵守PCI DSS可以保护商户整个支付网络的数字数据安全,而不仅仅是一张卡。使用qsa认证的公司来帮助您遵守PCI DSS标准可以帮助增加您的资源,但要确保评估他们的测试的完整性和准确性,”他说。“如果你一方确实发生了数据泄露,不遵守规定可能会受到处罚和罚款。”
6.利用Web应用防火墙(was)。电子商务企业应该“利用WAFs来保护他们的网站免受各种攻击,比如跨站脚本攻击、拒绝服务攻击或暴力破解攻击,”Glenn说。“有几家公司提供WAF保护,但费用很少,甚至没有。WAF的配置可以在几分钟内完成。”
7.让员工定期更改密码。要求“管理员经常修改密码,”首席执行官约翰·阿罗约说,阿罗约实验室这是一家数字机构。“大多数黑客都是由社会设计的,或者是由于密码太弱。要求强大的密码,并强制他们定期更改。这是一种保持安全的低成本方法。例如,Magento Enterprise有一个密码寿命特性。设置为90天或更短。”