Qualche settimana fa vi abbiamo illustrato 8 modi semplici per proteggere il vostro sito di eCommerce, questo perché gli spazi web dedicati al commercio elettronico restano uno dei bersagli preferiti dai criminali informatici. Per le aziende di tutte le dimensioni, il costo di una violazione, sia per la perdita di dati che per la fiducia dei clienti, risulta essere particolarmente oneroso.
I proprietari di e-commerce sono fin troppo consapevoli di questi problemi e stanno cercando di aumentare le loro misure di sicurezza. Nell’ultimo anno, un rapporto sulla sicurezza di VMWare. Ci dice che nel 2020 il 77% delle aziende intervistate ha acquistato nuovi prodotti/servizi di sicurezza e che il 69% ha aumentato il personale addetto alla sicurezza informatica.
In quello che sembra una continuo “gioco del gatto e del topo”, mentre i commercianti online aggiungono tecnologie sempre più innovative ai loro siti per rimanere competitivi, i criminali informatici, in parallelo, continuano ad affinare le proprie capacità trovando ogni giorno sempre nuove vulnerabilità da sfruttare. Il modo migliore per stare al passo è essere consapevoli delle migliori pratiche di sicurezza da attuare in ambito e-commerce e dei tipi di attacchi che potrebbero essere utilizzate dai criminali.
Cos’è la sicurezza per l’e-commerce?
La frequenza e la complessità degli attacchi informatici, negli ultimi anni, sono aumentate in maniera esponenziale. Quando parliamo di sicurezza di un e-commerce ci si riferisce alle misure adottate per proteggere l’azienda che vende online e i suoi clienti, dalle minacce informatiche.
Vediamo, brevemente, la terminologia e agli acronimi comuni che ogni proprietario di e-commerce dovrebbe conoscere:
Standard di protezione dei dati del settore delle carte di pagamento (PCI DSS)
PCI DSS (spesso indicato semplicemente come “PCI”) è uno standard di settore che garantisce che le informazioni sulle carte di credito raccolte online vengano trasmesse e archiviate in modo sicuro.
Direttive europee sui servizi di pagamento (PSD)
La seconda direttiva sui servizi di pagamento, cosiddetta PSD2, entrata in vigore nell’Unione Europea il 13 gennaio 2016, si inserisce nell’ambito degli interventi di modernizzazione del quadro legislativo del mercato europeo dei pagamenti al dettaglio, volti a sviluppare sistemi di pagamento elettronico sicuri, efficienti, competitivi ed innovativi per consumatori, imprese ed esercenti.
Gli ambiti di maggiore novità della PSD2 rispetto alla prima direttiva sui servizi di pagamento sono relativi alle nuove procedure di sicurezza per l’accesso al conto online ed i pagamenti elettronici e ai nuovi servizi di pagamento offerti nell’area dell’e-commerce e dello shopping online dalle banche e da nuovi operatori di mercato. La PSD2 è stata recepita da ogni Stato membro e nell’ordinamento italiano ciò è avvenuto con il D. lgs. n.218 del 15 dicembre 2017, entrato in vigore il 13 gennaio 2018. Le norme che regolano le nuove misure di sicurezza e la comunicazione sicura tra i soggetti coinvolti nella prestazione dei servizi di pagamento disciplinati dalla PSD2 sono contenute nel Regolamento delegato (UE) 2018/389 che ha trovato applicazione il 14 settembre 2019.
Organizzazione internazionale per la standardizzazione (ISO)
ISO è un organismo internazionale di definizione degli standard che crea requisiti che guidano le aziende nell’assicurarsi che i loro prodotti e processi siano adatti allo scopo. Uno dei loro standard, ISO / IEC 27001, riguarda la sicurezza dei dati. Il conseguimento di questa certificazione significa che un’azienda dispone di sistemi di gestione di alta qualità, sicurezza dei dati, strategie di avversione al rischio e pratiche commerciali standardizzate.
Dati personali
I dati e le informazioni personali si riferiscono a tutti i dati che possono rendere identificabile un individuo specifico – più semplicemente, questo include nomi, indirizzi e-mail, numeri di telefono etc. – ma non solo. Qualsiasi insieme di dati, anche privo di nomi o numeri specifici, che può identificare una determinata persona, viene considerato dato personale (Art.4 GDPR). La protezione dei dati personali è particolarmente importante e sottoposta, a seconda del luogo in cui vengono trattati i dati, di dove si trova il titolare e dall’identità dell’interessato, a specifiche norme a cui è necessario attenersi (GDPR 697/2016, Legge Federale Russa N.152-FZ, CCP Act AB-375 etc.)
Transport Layer Security (TLS), Secure Sockets Layer (SSL) e autenticazione HTTPS.
L’utilizzo di SSL aiuta ad autenticare e crittografare i collegamenti tra i computer in rete. Dopo aver ottenuto un certificato SSL per il tuo sito di e-commerce, puoi passare da HTTP a HTTPS. Oltre a rappresentare un miglioramento effettivo della sicurezza delle comunicazioni tra il browser dei clienti e il sito web, la presenza del certificato SSL funge anche da segnale di fiducia per i navigatori delle pagine web.
Autenticazione a più fattori (MFA), autenticazione a 2 fattori (2FA) o verifica in 2 passaggi (2SV).
MFA, 2FA e 2SV sono talvolta usati in modo intercambiabile – e sono simili – ma, chiaramente, ci sono differenze tra questi sistemi. Oltre a inserire un nome utente e una password, tutti e tre questi metodi richiedono almeno un ulteriore metodo di verifica dell’identità di un utente che accede a un sito, come potrebbe essere il tuo e-commerce.
Ecco una spiegazione hi-level delle differenze:
- La verifica in due passaggi potrebbe richiedere all’utente di inserire un codice monouso, consegnato tramite e-mail, SMS o telefonata.
- 2FA fa un ulteriore passo avanti e potrebbe richiedere all’utente di riconoscere il proprio tentativo di accesso tramite un altro dispositivo, come l’apertura di un’app specifica su un dispositivo mobile durante l’accesso da un laptop.
- MFA è simile a 2FA ma può fare riferimento all’implementazione di più di due fattori di autenticazione.
Denial of Service distribuito (DDoS).
Un attacco DDoS si riferisce a un’interruzione del server, del servizio o del traffico di rete utilizzando con un flusso di traffico inatteso molto pesante. Utilizzando come esempio il traffico veicolare di una città, un attacco DDoS è come un ingorgo imprevisto che intasa l’autostrada, impedendo al traffico regolare di arrivare a destinazione.
Gli attacchi DDoS raggiungono l’efficacia utilizzando più sistemi informatici compromessi come fonti di traffico di attacco. Le macchine sfruttate possono includere computer e altre risorse di rete inclusi dispositivi IoT.
Malware e ransomware.
Il malware, o “software dannoso”, è un software che gli aggressori installano sul tuo sistema. Il ransomware è un tipo di malware che blocca la vittima fuori dal proprio sistema o impedisce l’accesso ai dati fino a quando non viene pagato un riscatto all’aggressore. Ecco alcuni sintomi che potresti riscontrare se il tuo sistema viene infettato:
- I link portano a pagine di destinazione errate e/o non disponibili.
- Nuove barre degli strumenti o pulsanti vengono visualizzati nel browser oppure nuove icone vengono visualizzate sul desktop.
- Si riscontrano popup di annunci pubblicitari inattesi.
- Il sistema è lento o si blocca ripetutamente oppure il browser si blocca frequentemente e non risponde.
- Problemi con le comunicazioni email.
Conformità e sicurezza: quali differenze?
I concetti di conformità e sicurezza informatica sono spesso usati in modo intercambiabile e, in qualche modo, sono correlati. Ma è importante dire che ci sono alcune differenze importanti.
La conformità si riferisce alla capacità di soddisfare una serie specifica di standard stabiliti da governi o istituzioni private e possono esserci ripercussioni legali in caso di mancato rispetto. Ma il rispetto di tali standard di conformità non significa necessariamente che un sito di e-commerce sia completamente sicuro.
Standard di protezione dei dati del settore delle carte di pagamento (PCI-DSS).
Qualsiasi azienda che gestisce le transazioni con carta di credito deve rispettare i requisiti PCI-DSS relativi alla protezione dei dati dei titolari di carta, indipendentemente dalle entrate o dal volume delle transazioni con carta di credito. Questi standard di sicurezza dei dati sono definiti dal PCI Security Standards Council (PCI SSC) e applicati dalle società di carte di credito.
Regolamento generale sulla protezione dei dati (GDPR).
Il GDPR è una norma relativamente recente emanata nell’Unione Europea per garantire la protezione dei dati personali e della privacy dei cittadini dello Spazio economico europeo (SEE) e non si applica solo alle imprese nell’UE. Se vendi prodotti a livello internazionale a un cittadino europeo, dovrai rispettare il GDPR quando gestisci i loro dati.
California Consumer Privacy Act (CCPA).
Dopo l’implementazione del GDPR nell’UE, lo stato della California ha iniziato a muoversi verso l’attuazione della propria legge sulla protezione dei dati. La scadenza per le aziende che lavorano con o che impiegano residenti in California per conformarsi al CCPA è stata il 1° gennaio 2020.
Lo spirito del CCPA è simile al GDPR in quanto è dedicato alla protezione dei dati e della privacy dei privati cittadini, ma ci sono alcune differenze importanti. Sebbene questo sia lo standard di protezione dei dati più recente e di più ampia portata negli Stati Uniti, almeno altri 15 stati hanno delle norme privacy o standard di protezione dei dati locali.
Le principali minacce alla sicurezza dei siti e-commerce
I tipi e i metodi di attacco informatico sono ampi e vari e sarebbe quasi impossibile, ma anche dispersivo, approfondirli tutti in un post come questo. Tuttavia, ce ne sono alcuni che possiamo indicare come tra i più importanti da conoscere per una predisporre misure di sicurezza valide.
Phishing.
Il phishing è un tipo di ingegneria sociale e si riferisce ai metodi utilizzati dagli aggressori per indurre le vittime, in genere tramite e-mail, SMS, Whatsapp o telefono, a fornire informazioni private come password, numeri di account e altro ancora.
Solitamente, chi offre servizi non invia mai un’e-mail non richiesta con un collegamento per aggiornare il proprio profilo o le proprie credenziali di accesso. Se si riceve un’e-mail, una telefonata o un SMS in cui vengono richieste informazioni personali, potrebbe essere meglio contattare direttamente l’assistenza clienti per la convalida di questa richiesta.
Malware e ransomware.
Quando il tuo dispositivo o rete viene infettato da malware o ransomware, l’accesso ai tuoi dati e/o ai server potrebbe essere interdetto. I tempi di inattività sono costosi, ma backup regolari dei dati del tuo sito possono aiutarti a evitare che eventi del genere diventino devastanti per la tua attività come invece è successo di recente ad OVH. Inoltre un sistema di antivirus e anti-malware oggi come oggi è imprescindibile.
SQL Injection.
Potresti essere a rischio se il tuo sito di e-commerce memorizza in modo insicuro i dati in un database SQL. Se non adeguatamente convalidata, una query dannosa iniettata in un payload pacchettizzato può fornire all’autore dell’attacco l’accesso per visualizzare e persino manipolare qualsiasi informazione in un database.
Cross-site scripting (XSS).
“XSS” implica l’inserimento di un pezzo di codice dannoso (tipicamente JavaScript) in una pagina web. A differenza di altri tipi di attacchi, questo non ha alcun impatto sul sito stesso mentre lo avrà sugli utenti di quella pagina, ovvero i tuoi clienti o potenziali tali, esponendoli a malware, tentativi di phishing e altro ancora.
E-skimming
Con il termine “E-skimming” ci si riferisce a un metodo per rubare le informazioni della carta di credito e i dati personali dalle pagine di elaborazione delle carte di pagamento sui siti di e-commerce. Gli aggressori accedono al tuo sito tramite un tentativo di phishing riuscito, un attacco brute-force, XSS o una compromissione di terze parti, dopodiché acquisiscono in tempo reale le informazioni di pagamento che gli acquirenti inseriscono nella pagina di pagamento.
Best practice per la sicurezza dell’e-commerce
Gli standard di conformità sopra menzionati sono destinati ad essere continuamente aggiornati. In effetti, le tendenze in materia di privacy e protezione dei dati personali, ci dicono che in futuro aumenteranno le norme e quelle che ci sono diverranno sempre più integrate in quanto le persone, di tutte le età, sono sempre più interessate a dove vanno i loro dati e come vengono trattati.
? Verizon relativo alle violazioni di dati personali indica che le tendenze degli attacchi informatici privilegiano le informazioni inerenti i pagamenti e che i siti di e-commerce sono sotto pressione continua.
Se una violazione della sicurezza del tuo sito di e-commerce porta a una perdita di dati dei clienti, le sanzioni associate, il danno materiale delle perdita di dati e le conseguenze reputazionali sul tuo marchio potrebbero essere devastanti.
Implementa password complesse e univoche e assicurati che lo facciano anche i tuoi clienti.
Sempre secondo il report di Verizon (2020) il 37% delle violazioni ha visto l’utilizzo credenziali rubate o deboli. Vale la pena fare uno sforzo in più per assicurarsi che tutti (Titolare, dipendenti e clienti) implementino buone pratiche per utilizzare password complesse:
- Le password complesse sono costituite da almeno otto caratteri e contengono lettere maiuscole e minuscole, numeri e simboli.
- Le password non dovrebbero mai essere condivise: ogni utente dovrebbe avere il proprio nome utente e password univoci e privati per il login.
- Non riutilizzare la stessa password per servizi differenti.
- Se possibile utilizzare un gestore di password.
- Non condividere mai pubblicamente informazioni personali come la tua data di nascita, il numero di previdenza sociale o qualsiasi altra informazione che potrebbe essere utilizzata come risposta alle domande di sicurezza.
Infine, non utilizzare alcun account amministratore così come ti viene fornito in maniera predefinito. Gli aggressori scrivono script che vengono eseguiti giorno e notte cercando più e più volte di accedere al pannello di amministrazione, se hai usato qualcosa di simile a “admin”, è più probabile che lo violino.
Proteggi i tuoi dispositivi.
Indipendentemente dal fatto che tu abbia un computer in un ufficio a casa, che sia in rete locale oppure no, assicurati che i tuoi dispositivi siano protetti con software antivirus, firewall o un altro metodo appropriato di protezione dalle minacce.
Formazione contro le truffe basate sull’ingegneria sociale.
Uno dei modi migliori per evitare infezioni da malware è evitare di cadere nelle trappole di phishing. Non fornire mai alcun tipo di informazione personale a meno che tu non abbia verificato l’identità del destinatario. Inoltre, nessuna organizzazione legittima ti chiederà mai di condividere la tua password.
Non fare mai clic sui collegamenti nelle e-mail sospette, in quanto potrebbero portarti a una pagina web che ha l’aspetto di una pagina di accesso familiare il cui obiettivo è invece rubare le tue informazioni. E non scaricare allegati che non ti aspettavi già.
Esistono alcuni modi per distinguere i tentativi di phishing dalle e-mail legittime; ecco cosa cercare:
- Evidenti errori di ortografia e grammaticali nella riga dell’oggetto o nel corpo di un’e-mail potrebbero indicare un mittente sospetto.
- Guarda attentamente il dominio del mittente dell’email. Spesso sono fatti per sembrare un dominio familiare ma sono differenti per una sola lettera (ad esempio, FinData.it potrebbe diventare FimData.it).
- Lo stesso vale per qualsiasi URL su cui potresti fare clic. A prima vista, possono sembrare legittimi, ma l’ortografia potrebbe essere sbagliata di una lettera nella speranza che non te ne accorga e clicchi comunque su un dominio pericoloso.
- Le e-mail sospette potrebbero chiederti di fare qualcosa come trasferire denaro o autorizzare un addebito; di solito troverai anche un motivo per cui tutto questo deve essere fatto immediatamente.
Implementa fattori di autenticazione aggiuntivi.
A volte può sembrare un peso, ma l’utilizzo della verifica in due passaggi, dell’autenticazione a due fattori o dell’autenticazione a più fattori offre un’ulteriore garanzia che tu e i tuoi utenti autorizzati siete le uniche persone che accedono a un servizio. Considerando le potenziali conseguenze di una violazione, ne vale la pena.
Memorizza solo i dati personali di cui hai bisogno.
Quando si tratta di archiviare i dati, l’approccio dovrebbe essere di non gestire mai più del necessario per erogare i servizi richiesti in modo ottimale, marketing incluso. Ma nel decidere cosa significhi esattamente per ogni e-commerce, ci sono molti fattori da considerare.
In particolare, con il numero crescente di normative sulla privacy dei dati, è importante stabilire con attenzione la filosofia della propria attività per bilanciare l’esperienza del cliente, la convenienza aziendale e la sicurezza.
Tieni sempre i dati critici dei tuoi clienti separati dalle altre informazioni segmentando la tua rete.
Assicurati che il tuo sito sia sempre aggiornato.
Ogni giorno vengono scoperte decine di nuove vulnerabilità che, dopo un po’ e a seconda della gravità, vengono “patchate” dai fornitori. Ricorda che Tu e i tuoi fornitori di servizi SaaS siete responsabili dell’implementazione di eventuali aggiornamenti, correzioni di bug o patch di vulnerabilità al software utilizzato per gestire il tuo e-Commerce.
Passa a HTTPS.
L’hosting HTTPS sicuro, che richiede un certificato SSL, contribuirà a proteggere il tuo sito web. È anche un vantaggio per il tuo reparto marketing perché Google penalizza i siti Web con HTTP nelle classifiche di ricerca organiche. Un sito HTTPS fornisce un segnale di fiducia ai tuoi acquirenti, in particolare agli esperti di digitale.
Eseguire il backup dei dati.
Se malauguratamente il tuo e-commerce venisse violato e perdessi l’accesso ai dati, desidererai come acqua nel deserto un backup aggiornato che funzioni. Ecco, non aspettare: fai in modo di averlo prima che ciò accada.
Rivedi regolarmente tutti i plugin e le integrazioni di terze parti.
Fai un inventario di tutte le soluzioni di terze parti che utilizzi nel tuo sito e-commerce. Assicurati di sapere cosa sono e valuta il livello di affidabilità di quella terza parte. Se non le utilizzi più, rimuovi tali integrazioni dal tuo sito. L’approccio dovrebbe essere quello di consentire al minor numero di terze parti di avere accesso ai dati dei tuoi clienti.
Raddoppia la sicurezza durante le festività
Le festività sono, sfortunatamente, un periodo in cui puoi aspettarti volumi più elevati di tentativi di frode e criminalità informatica. Tutti sono davvero impegnati e ci sono enormi picchi di traffico sui siti di e-commerce, rendendo più difficile la protezione di comportamenti anomali. Gli aggressori lo sanno e vedono ciò come un’opportunità.
Ecco alcune cose che puoi fare per garantire la sicurezza del sito web durante le vacanze:
Fai un controllo di sicurezza prima delle vacanze.
Fai un controllo circa la presenza di malware nei sistemi e il miglioramento della sicurezza dei server web. Il controllo sulla sicurezza nei periodi festivi dovrebbe includere anche un esame di chi ha accesso a cosa. Assicurati di esaminare gli account e i privilegi a livello di amministratore, il software utilizzato per il marketing e gli altri tools 3PP. Disabilita o elimina gli account inutilizzati. Aggiorna le autorizzazioni per riflettere i flussi di lavoro effettivi per determinati utenti.
Aumenta la tua protezione dalle frodi.
Un forte aumento degli acquirenti è spesso accompagnato da un aumento delle attività fraudolente. Un’altra forma di rischio informatico e uno dei maggiori rischi per i marchi di e-commerce oggi è la truffa del “chargeback”. Gli aggressori acquisiscono le informazioni della carta di credito insieme alle credenziali e vanno a spendere. Il rivenditore riceve un ordine e spedisce per poi ricevere uno storno di addebito in futuro perché l’addebito è stato contrassegnato come frode. Il rivenditore non può discutere ed è costretto a rimborsare l’ordine e la merce è sparita da tempo. Ci sono vari sistemi per prevenire questo genere di truffa, tra cui delle assicurazioni e delle APP che utilizzano AI.
Prepara il tuo team di assistenza clienti.
Assicurati che tu e il tuo team siate preparati per le minacce comuni, inclusa una procedura chiara per la verifica dell’identità dei clienti che richiedono modifiche ai loro ordini o account.
Avere un piano di aggiornamento della sicurezza.
È un buon consiglio che il tuo e-commerce non subisca troppe modifiche tecniche durante i periodi festivi. Questo consiglio non si applica, ovviamente, quando si tratta di sicurezza e di applicare patch a copertura di eventuali vulnerabilità. Devi disporre di un piano per gli aggiornamenti del sito se diventano necessari.
Concludendo
La sicurezza dei siti web e in particolare degli e-commerce è di vitale importanza per il successo della tua attività imprenditoriale. Nel 2021 non si può perdere la fiducia dei propri clienti esponendo i loro dati personali.
Gestire correttamente le password, stare attenti alle comunicazioni email che si ricevono, rivedere regolarmente le integrazioni di terze parti e revisionare le policy di gestione interne sono tutte attività fondamentali per mantenere sicuro un ambiente.
Seguendo i suggerimenti contenuti in questo articolo e rimanendo aggiornati e consapevoli di ciò che sta accadendo nel panorama internazionale della sicurezza informatica, potrai offrire ai tuoi clienti un’esperienza di acquisto sicuro e affidabile.
Legal Disclaimer: Questo materiale non costituisce una consulenza legale, fiscale, professionale o finanziaria e l’autore declina ogni responsabilità in relazione a questi contenuti. Per questioni legali, professionali o finanziarie specifiche si prega di consultare il proprio avvocato o consulente professionale.
