We’re Hiring!

להגן על הפעילות האינטרנטית של העסק: כך לא תגמרו כמו אשלי מדיסון

אוקטובר 2015

הפריצה לאתר הבגידות אשלי מדיסון וחשיפת פרטים אודות המשתמשים הרשומים הזכירה לעסקים מקוונים ולא מקוונים ברחבי העולם את התחושה שאין אתר חסין. מעל ל-30 מיליון חשבונות משתמש דלפו בפריצה, איתם פרטים אישיים, כרטיסי אשראי, סיסמאות ועוד. מעבר לנזק לכל משתמש באופן אישי, הפריצות הללו הרסניות במיוחד לחברה הנפרצת. התחושה של הלקוחות שהם לא יכולים יותר לבטוח בחברה, ואין אפשרות להעביר לרשותה כרטיסי אשראי, או אפילו כתובות אימייל, יכולה להנחית מכת מוות על הפעילות האינטרנטית בפרט או על הפעילות בכלל. ואם ענקי האינטרנט נפרצים האחד אחרי השני מה יכול לעשות בעל אתר קטן או בינוני כדי להתגונן?

הנה ארבעה כללי זהב ששמירה עליהם יכולה לפתור את רוב בעיות האבטחה ולהגן על המידע שלכם ושל הלקוחות שלכם:
1. אל תשמרו מספרי כרטיסי אשראי במאגר הנתונים

לא פעם אנחנו נתקלים בבעלי עסקים שמבקשים מהלקוחות שלהם להעביר אליהם מספרי כרטיסי אשראי בדוא"ל או דרך טופס אינטרנטי באתר, ולאחר מכן מקלידים את המספרים לתוך המסוף הפיזי בחנות או במפעל. ובכן, מתברר שזה פשוט אסור. טיפול ואחסנת מספרי כרטיסי אשראי נמצאים תחת רגולציה כבדה וסדרה ארוכה של תקנות הקובעות כיצד מותר לשמור אותם.

למעשה, אם אתם עסק קטן או בינוני, סביר להניח שלא כדאי אפילו להיכנס לזה. התקנים מסובכים מידי והאבטחה כבדה מידי. אז מה עושים? ובכן, מספר רב של חברות, כגון PayPal ואחרות, מאפשרות לכם להטמיע עמוד תשלום באתר כך שהתשלום מתבצע בדף האתר אבל אינכם מחזיקים במספרי כרטיסי האשראי ונחסכת מכם החובה לאבטח אותו. יש לזה אמנם עלות מסוימת, אבל היא כאין וכאפס לעומת עלויות האבטחה של שרתי סליקה משלכם. עם זאת, אם אתם חייבים לבצע חיוב של כרטיס אשראי באמצעות מסוף פיזי שנמצא אצלכם, בקשו את הפרטים בשיחת טלפון ולא בצורה מקוונת.

2. החליפו סיסמאות

פשוט, טריוויאלי, אבל תמיד נכון. בדיווחי ההאקרים שפרצו לאשלי מדיסון נטען כי באתר השתמשו בסיסמה pass1234 לכל מערכות הניהול שלהם, מה שהקל מאוד על הפורצים לעשות את העבודה. החליפו את הסיסמאות מידי פעם, או השתמשו במשפט סיסמה, מה שיקל עליכם לזכור ובמקביל יהפוך את משימת ניחוש הסיסמה לכמעט בלתי אפשרית.

3. עדכנו את מערכת ניהול התוכן

למעשה, אין מערכות אינטרנטיות שלא ניתן לפרוץ אליהן. פרצות האבטחה, כמו פרצות בגדר של בסיס צבאי, עשויות להיעלם מעיניהם של אנשי האבטחה וגם של הפורצים במשך שנים. כאשר פרצה כזו מתגלה, מערכות ניהול התוכן מפיצות עדכון אבטחה, שסוגר את הפרצה ומתקן אותה. אם תקפידו להתקין את העדכונים המופצים מעת לעת, אתם בטוחים.

4. בדקו שאישורי האבטחה בתוקף

מרבית אתרי האינטרנט מאבטחים את אזורי מילוי הפרטים, באמצעות שימוש ב-SSL המצפין את הנתונים שהלקוחות ממלאים בדרך אל האתר שלכם. אם האישור בתוקף, תוכלו לראות סמל של מנעול קטן, לרוב בצבע ירוק, על שורת הכתובת בדפדפן. אם המנעול אדום, או לא נמצא, אישור האבטחה אינו בתוקף, או כלל לא נמצא שם. במקרה הזה חשוב לפנות למתכנת אשר מתחזק עבורכם את האתר ולדרוש את חידוש תעודת האבטחה. אגב, חשוב לדעת כי לאחרונה Google החלה לשים לב לנושא הזה והחלה לשפר את דירוג האתרים המאובטחים ב-SSL בחיפוש האורגני שלה.

במקור פורסם ב TheMarker

רשימת התפוצה שלנו

פעם בחודש ורק דברים מעניינים

הבלוגים של שותפים שלנו

Operad’s Blog