Zaloguj się aby uzyskać dostęp do dodatkowych opcji [zamknij]

Jak zabezpieczyć Twoją stronę i dane Twoich klientów?

Data: 2013-10-30
Daniel Hydzik

Daniel Hydzik

W obecnym czasie, gdy użytkownicy sieci internetowej posiadają znaczną wiedzę z zakresu ochrony danych osobowych, praw konsumenta czy łamania zabezpieczeń stron internetowych, ważne jest, aby zapoznać się z podstawowymi zagadnieniami związanymi z prowadzeniem strony lub sklepu internetowego.

Artykuł ten to jedynie wprowadzenie do owej tematyki, gdyż jest to temat rzeka. Na wstępie sugerujemy, aby bezpieczeństwem Twojej strony zajęli się odpowiedni specjaliści z poszczególnych dziedzin.

Zadbaj o bezpieczeństwo danych Twoich klientów

Jeśli sprzedajesz w internecie lub dajesz klientom dostęp do logowania na swojej stronie, zastanów się nad tym, czy klient czuje się na niej bezpiecznie. Zapoznaj się z kilkoma poradami, które warto zastosować w Twoim sklepie internetowym:

1. Certyfikat SSL

Standardem stało się stosowanie certyfikatu SSL, który zabezpieczy dane przesyłane przez Twoich klientów (szyfruje dane przesyłane przez klienta do Twojego sklepu np. przez formularz zamówienia). Ze względu na to, że SSL generuje większe obciążenie serwera, warto uruchomić SSL przynajmniej dla takich stron jak: koszyk, formularz zamówienia, formularz logowania, formularz rejestracji itp.

Każdy Twój klient może sprawdzić w swojej przeglądarce czy Twoja strona posiada certyfikat i tożsamość Twojej witryny jest zweryfikowana. W przeglądarce Chrome wygląda to następująco:

SSL

Coraz częściej zdarzają się klienci, którzy posiadają wiedzę na temat SSLa i omijają sklepy bez takiego certyfikatu. Wiedzą bowiem, że administrator sklepu nie dba o ich bezpieczeństwo a tymbardziej o bezpieczeństwo ich danych osobowych.

No SSL

OpenSolution podjęło współpracę z firmą Unizeto, która wystawia certyfikaty SSL. Kupując Quick.Cms.Ext lub Quick.Cart.Ext możesz otrzymać rabat 15% na taki certyfikat.

We wdrożeniu szyfrowanego połączenia (SSL) pomóc Ci może osoba, która wykonała dla Ciebie stronę lub jeden z partnerów OpenSolution »

2. Informowanie o ciastkach i polityka prywatności

Aby pokazać swoim klientom, że dbasz o ich bezpieczeństwo, poinformuj go o ciastkach (COOKIES), które w Twoim sklepie są wykorzystywane (a są na pewno). Ważne jest także, aby poinformować go o tym co się dzieje z jego danymi po wysłaniu zamówienia.

Najczęściej informacje te zawiera się na podstronie sklepu zatytuowanej polityka prywatności. Opracowanie poprawnej polityki prywatności wymaga wiedzy na temat wykorzystanych ciastek (COOKIES) w Twoim sklepie internetowym, a także jakie dane są przesyłane przez formularze.

Więcej informacji na ten temat znajdziesz w artykule czy muszę informować o ciastkach?

OpenSolution podjęło współpracę z firmą Lexlab », która świadczy usługi pisania polityki prywatności. Kupując Quick.Cms.Ext lub Quick.Cart.Ext możesz otrzymać rabat 13% na ich usługi.

3. Zabezpieczenie danych klientów przed dostępem dla osób trzecich

Opracuj zasady bezpieczeństwa, aby strzec danych swoich klientów przed dostępem osób trzecich. Quick.Cart.Ext i Quick.Cms.Ext posiadają dodatek admins », który umożliwia założenie kont poszczególnym administratorom sklepu z prawami dostępu do poszczególnych działów jak zamówienia, produkty, klienci, konfiguracja itp. Jest to szczególnie przydatne, gdy panel administracyjny obsługuje kilka osób np. pracownik, wykonawca strony internetowej i właściciel sklepu.

Lista administratorów

Przydzielanie praw do poszczególnych działów jest bardzo proste co demonstruje poniższy zrzut ekranu.

Edycja administratora

Prowadząc sklep internetowy najprawdopodobniej będziesz musiał zgłosić zbiór danych osobowych do GIODO. Potrzebne będzie stworzenie procedur i uprawnień dostępu do tych danych. Więcej informacji na temat obowiązku rejestracji zbioru danych do GIODO w artykule: GIODO i ochrona danych osobowych - co przedsiębiorca powinien wiedzieć?

Zabezpiecz stronę przed włamaniem i wykradzeniem danych

Od wielu miesięcy OpenSolution prowadzi kampanię pod tytułem "Wskazówki bezpieczeństwa". Ma ona na celu uświadomienie wszystkim właścicielom stron, a także początkującym webmasterom, że problem włamywania się na stronę w celu jej zainfekowania wirusami lub wykradania danych zamówień i klientów jest powszechny.

Zapoznaj się z kilkoma zasadami, które zwiększą bezpieczeństwo Twojej strony i danych Twoich klientów. Oto kilka z nich:

  1. korzystaj z programów antywirusowych
  2. nie zapisuj hasła do konta FTP do programów Total Commander, Filezilla itp.
  3. zmieniaj hasło do FTP systematycznie np. raz w miesiącu
  4. ogranicz dostęp do FTP dla konkretnych adresów IP. Profesjonalne firmy hostingowe jak np. kei.pl » posiadają takie opcje.
  5. stosuj w pliku .htaccess instrukcję "Options -Indexes", która zabezpieczy Twoją stronę przed przeglądaniem listy plików w podkatalogach
  6. wprowadzaj poprawki błędów, które udostępniamy na naszej stronie, a najlepiej aktualizuj skrypt do najnowszej wersji i korzystaj z dostępu do nowych dodatków oraz skórek.
  7. starannie filtruj skrypty, które instalujesz i współdzielisz z naszym oprogramowaniem. Wielokrotnie otrzymaliśmy informację, że ktoś włamał się na stronę sklepu opartego o nasz skrypt wykorzystując lukę na podstronie, która funkcjonowała na innym skrypcie np. Wordpress. Takie sytuacje mają miejsce gdy na jednym koncie na serwerze znajduje się kilka stron.
  8. ustaw adresy IP z których jedynie możliwe będzie logowanie do panelu administracyjnego.
  9. zmień login i hasło do administracji z "admin" na inny, a także zmień nazwę pliku, który uruchamia panel administracyjny z "admin.php" na inny.

Więcej wskazówek znajdziesz w dokumentacji ».

Opracuj poprawny i wolny od klauzul niedozwolonych regulamin

Osobie, która nie jest zorientowana w tematyce praw konsumentów i klauzul niedozwolonych zalecamy, aby zrezygnowała z korzystania ze wzorów regulaminów, a tymbardziej z kopiowania regulaminów z innych sklepów internetowych (np. konkurencji).

Wzory regulaminów rzadko są aktualizowane i nie odpowiadają bieżącym przepisom, a kopiując regulamin z innego sklepu internetowego nie masz także gwarancji, że jest poprawny. Dodatkowo narażasz się na naruszenie praw autorskich osoby, która ten regulamin opracowała. Do teraz pokutuje twierdzenie: "skoro większość sklepów ma podobny regulamin tzn, że jest zgodny z prawem".

Niestety statystyki pokazują, że zdecydowana większość sklepów internetowych posiada klauzule niedozwolone w swoich regulaminach, których stosowanie wiąże się z konsekwencjami prawnymi. Sami nie jesteśmy specjalistami w tej dziedzinie ale znalezienie niedozwolonych zapisów w regulaminie nie zajmuje nam więcej niż kilka minut. Proszę więc wyobrazić sobie jak proste to będzie dla osoby, która zna się na tej tematyce...

Niektórzy prawnicy i stowarzyszenia działające dla "dobra konsumenta", wyszukują sklepy z takimi klauzulami niedozwolonymi, a następnie pozywają do sądu właściciela sklepu internetowego. W ostatnim czasie stała się to dość powszechna praktyka. Najczęściej właściciel sklepu nie był świadomy, że stosuje klauzule niedozwolone lub myślał, że jego sklep jest zbyt mały, aby ktoś się nim zainteresował.

Praktyka pokazuje, że że nie istnieje inny sposób, jak zlecenie opracowania regulaminu i polityki prywatności profesjonaliście, który odpowie za swoją pracę w przypadku ewentualnych sporów z np. konsumentem.

Obecnie liczba klauzul niedozwolonych przekroczyła 5300 i dostępna jest na stronie UOKiK. Parę miesięcy temu głośno było o dużym sklepie internetowym sprzedającym w Polsce, który dostał 360 000 zł kary m.in. za stosowanie klauzul niedozwolonych. To świadczy o tym, że nawet najwięksi zaniedbują te sprawy.

Przeczytaj koniecznie artykuł - co powinien zawierać regulamin serwisu lub sklepu internetowego?

Firma Lexlab » świadczy usługi audytu prawnego i tworzenia regulaminów a także udziela 13% rabatu dla użytkowników Quick.Cms.Ext lub Quick.Cart.Ext. Ważne jest to, że odpowiadają za swoją pracę i monitorują regulaminy swoich klientów pod kątem rosnącej liczby klauzul niedozwolonych.

Jeśli posiadasz sklep internetowy, zleć wykonanie audytu prawnego Twojej strony profesjonalistom zanim będzie za późno. Takie są niestety realia, że znalezienie sklepu z klauzulą niedozwoloną ogranicza się do wpisania takiej klauzuli w Google. Jeśli posiadasz jedną z ponad 5300 klauzul niedozwolonych i Twoja strona jest widoczna w Google, to jesteś narażony na otrzymanie pozwu sądowego od kogoś kto "dba o dobro konsumenta".

Pamiętaj o tworzeniu kopii zapasowych

Wykonywanie kopii zapasowych bazy danych, a od czasu do czasu całej strony internetowej, powinno stać się Twoim nawykiem. Pamiętaj, że uszkodzenia i awarie wszędzie się zdarzają. Skorzystaj z darmowego dodatku simpleBackup », który umożliwi Ci pobranie bazy danych produktów, zamówień w postaci archiwum ZIP na Twój komputer. Edycja płatna posiada bardziej zaawansowaną funkcjonalność tworzenia kopii zapasowej w postaci dodatku backup »

Niestety użytkownicy często zapominają, że kilka sekund pracy może oszczędzić kilka godzin, a nawet dni żmudnej pracy przywracania strony do stanu sprzed awarii. Są ostateczną formą wyrafinowania. Jeśli na Twojej stronie dojdzie do włamania (a tak się zdarza niestety), będziesz posiadać kopie zapasową strony sprzed zainfekowania jej wirusami. Jeśli dojdzie do uszkodzenia bazy danych, to posiadając kopię zapasową w ciągu kilku minut przywrócisz dane.

Nie polegaj tylko na swojej firmie hostingowej. Wiele firm przechowuje kopie zapasową tylko przez 3 dni. Wyobraź sobie, że do uszkodzenia bazy zamówień doszło w piątek, a dowiadujesz się o tym dopiero w poniedziałek wieczorem lub we wtorek. Może się okazać, że nie odzyskasz już utraconych danych. Dlatego pilnuj, aby przynajmniej raz w tygodniu wykonać kopię zapasową a raz w miesięcu kopię całej strony internetowej.

Wybierz sprawdzony hosting

Do prowadzenia sklepu internetowego bardzo ważne jest, aby serwer był stabilny i posiadał bardzo dobre wsparcie techniczne (szybkie i merytoryczne odpowiedzi). Nie poznasz lepiej firmy hostingowej jak w sytuacji, gdy nastąpi awaria Twojej strony internetowej.

Znane są sytuacje gdy firma hostingowa: blokuje dostęp do usługi smtp (wysyłania emaili), blokuje serwer gdy stronę odpowiedził robot indeksujący witrynę (np. GoogleBot) generując przy okazji spore obciążenie, nie posiada kopii zapasowej strony itp.

Na podstawie tych doświadczeń opracowana została lista firm hostingowych, które warte są polecenia. Najbardziej polecana jest hosting Kei.pl », który od lat świadczy usługi na wysokim poziomie. Obsługa znana sie z elastyczności i życzliwości zwłaszcza w sytuacji, które budzą panikę klientów np. awaria strony. Kompletna lista polecanych firm hostingowych dostępna jest w dziale popularne pytania »

Zapoznaj się z kuponami rabatowymi » na hosting, które można uzyskać kupując Quick.Cms.Ext lub Quick.Cart.Ext

Podsumowanie

Życzymy Ci, abyś nie podpadł pod przysłowie "mądry Polak po szkodzie". Zainwestuj czas i pieniądze na opracowanie regulaminu, certyfikat SSL, sprawdzony hosting, zabezpieczenia sklepu / strony, a inwestycja ta Ci się opłaci. Zaoszczędzisz wiele nerwów, pieniędzy i czasu, a dodatkowo możesz pozyskać nowych klientów, którzy coraz bardziej są zorientowani w swoich prawach i zagadnieniach związanych z bezpieczeństwem danych.

Podjeliśmy współpracę ze sprawdzonymi firmami hostingowymi », z firmą świadczącą profesjonalną obsługę prawną » oraz z firmą wydającą certyfikaty SSL ». Systematycznie szkolimy naszych partnerów » z zagadnień bezpieczeństwa, abyś mógł być obsłużony kompetentnie i kompleksowo.

Autor: Daniel Hydzik, OpenSolution

 
regulamin o nas kontakt