Czy bezpiecznie korzystasz z platformy e-sklepu oraz hostingu/serwera/chmury ? Weź udział w zabawie i przekonajmy się :)

1. Czy bezpiecznie korzystasz z platformy CMS -
rozwiązania e-commerce oraz
hostingu/serwera/chmury
?
Broszura promująca przede wszystkim dobre praktyki
bezpiecznego korzystania z platformy CMS obsługującej
witrynę internetową e-sklepu
Broszura została dołączona do wpisu na blogu cyberlaw.pl
z dnia 09.10.2012
Autorka: Beata Marek Grafika: Alex Roman
http://www.goldenline.pl/mikroblog/cyberlaw http://www.facebook.com/roman.alexandru
http://twitter.com/cyberlawPL

2. Bezpieczne korzystanie z platformy e-sklepu oraz serwera ma znaczenie
O tym, że klientom należy zapewnić bezpieczne ko- Można by tak jeszcze długo wyliczać, a nie na tym dzi- Miejscem, które nie narazi na szwank Twojej reputacji i nie
rzystanie z witryny wie lub powinien wiedzieć każ- siaj chce się skupić. zasłynie w Internecie pod hasłem „dane klientów XYZ wy-
dy kto poważnie myśli o e-biznesie. Jak się okazało ciekły do sieci”. Taki news to sztylet dla Twojego e-sklepu
z raportu „Bezpieczny e-sklep 2012” przedsiębiorcy Wyobraź sobie, że jesteś właścicielem sklepu i wybie- i konieczność budowania reputacji od początku albo (co
mają problem z podstawowym aspektem jakim jest rasz lokalizację. Oczywiście będzie Cię interesowało ta- częściej się zdarza) wystartowania z nowym projektem, no-
szyfrowanie transmisji danych pomiędzy klientem, kie miejsce, które jest jak najlepsze z punktu widzenia wym szyldem etc.
a platformą e-sklepu (więcej przeczytać można dostępności do Twojej grupy docelowej oraz takie, na
w wątku 15 + 15 faktów o polskim e-biznesie). A to które Ciebie stać. Hmm, ale także bezpieczne prawda ? Dlatego dzisiaj proponuję Tobie zabawę, która ma na celu
nie napawa optymizmem. sprawdzić czy bezpiecznie korzystasz (lub Twoi pracownicy
Co nam po tym jeśli miejsce będzie świetne pod wzglę- korzystają) z platformy CMS, na której oparty jest system
Brak zabezpieczania transakcji rodzi uzasadnione dem lokalizacyjnym i czynsz będzie nam odpowiadał, zarządzania Twoim e-sklepem oraz czy dostęp do serwera,
obawy kupujących i jest lekkomyślne. ale będzie to drewniana budka, do której przy moc- na którym znajdują się dane także jest bezpieczny.
niejszym kopnięciu będzie można się dostać ? No nic.
Dlaczego ? Po pierwsze pokazujesz swoim klientom, W tym właśnie sęk. Przed Tobą 7 slajdów i 7 pytań. Oby liczba 7 okazała się
że nie zależy Tobie na bezpieczeństwie. szczęśliwa :). Zasady zabawy są bardzo proste.
Beata Marek Tak samo jest z e-sklepem. Jeśli myślisz, że świetnie bę-
Po drugie ułatwiasz działanie robakom, których za- dzie zaoszczędzić na bezpieczeństwie to takie myślenie Każdy slajd zawiera pytanie oraz propozycje odpowie-
www.cyberlaw.pl daniem jest podsłuch użytkownika (sniffing). z nawiązką obróci się przeciwko Tobie. dzi. Ty wybierasz jedną odpowiedź oraz zapamiętujesz lub
zapisujesz kolor do niej przypisany. Kolor wskazuje biała
Działanie to prowadzi do łatwiejszego przechwyce- Ale sam certyfikat SSL nie załatwi sprawy. strzałka na czarnym tle :).
nia danych takich jak: imię, nazwisko, adres e-mail,
adres zamieszkania, numer karty kredytowej lub in- Dlaczego ? Na koniec podliczasz kolory, które przesądzą o Twoim wy-
nych. niku.
Ano dlatego, że Twój sposób korzystania z platformy
Po czwarte zwiększasz szanse na zainteresowanie e-sklepu lub Twoich pracowników ma także znaczenie Skoro jest to zabawa to dla najlepszych przygotowałam
przestępców zapleczem Twojego sklepu, znalezienie dla tego by e-sklep był bezpiecznym miejscem nie tylko nagrodę. Ponieważ w moich grach nie ma przegranych na
luki i podatności na SQL Injection, XSS czy CSRF. dla klientów, ale i dla Ciebie. wszystkich czeka niespodzianka... No to gramy !

3. Twoje urządzenie i połączenie z Internetem
W jaki sposób zabezpieczasz sprzęt, na którym pracujesz ?
Korzystam z urządzenia, na którym Nie wiem czy korzystam z urządze- Nie korzystam z urządzenia, na
zainstalowane jest legalne oraz nia, na którym zainstalowane jest którym zainstalowane
zaktualizowane oprogramowanie legalne oraz zaktualizowane jest legalne oraz zaktualizowane
zapewniające ochronę oprogramowanie zapewniające oprogramowanie zapewniające
w trakcie korzystania ochronę w trakcie korzystania ochronę w trakcie korzystania
z Internetu z Internetu z Internetu

4. Twoje połączenie z providerem (hosting/serwer dedykowany/etc.)
Jak wygląda dostęp do danych zgromadzonych na serwerze ?
Łączę się z dostawcą za pomocą Łączę się z dostawcą za pomocą Nie łączę się z dostawcą za pomocą
transmisji szyfrowanej (SSL/TSL) transmisji szyfrowanej (SSL/TSL) transmisji szyfrowanej (SSL/TSL)
Mam podpisaną umowę o powierzaniu danych Mam podpisaną umowę o powierzaniu danych Nie mam podpisanej umowy o powierzaniu
osobowych z providerem osobowych z providerem danych osobowych z providerem
Baza danych klientów znajduje się w innym Baza danych klientów znajduje się w tym sa- Baza danych klientów znajduje się w tym sa-
miejscu aniżeli pliki platformy e-sklepu mym miejscu co pliki platformy e-sklepu mym miejscu co pliki platformy e-sklepu

5. Twoje połączenie z zapleczem witryny
W jaki sposób zabezpieczasz Twoje połączenie z panelem zarządzania ?
Łączę się za pomocą Proszę wybrać kolor zielony Nie łączę się za pomocą
transmisji szyfrowanej albo transmisji szyfrowanej
(protokół SSL/TLS) pomarańczowy (protokół SSL/TLS)

6. Zarządzanie dodatkami
W jaki sposób dodajesz nowe komponenty/wtyczki/pluginy ?
Instaluję komponenty napisane lub
polecane przez producenta Nie instaluję żadnych dodatków Pobieram dodatki
albo albo z różnych miejsc w sieci
zlecam napisanie oraz przetestowa- nie aktualizuje już pobranych
nie dodatku programistom*
*w przypadku rozwiązań open source

7. Zabezpieczenie CMSa
W jaki sposób zabezpieczasz platformę ?
Mam ustawione silne hasło dostępowe zarówno Mam ustawione silne hasło dostępowe zarówno Nie mam ustawionego silnego hasła dostępo-
do platformy jak i do serwera do platformy jak i do serwera wgo zarówno do platformy jak i do serwera
(8 lub więcej znaków, małe i duże liery, cyfry (8 lub więcej znaków, małe i duże liery, cyfry (8 lub więcej znaków, małe i duże liery, cyfry
i znaki specjalne umiejscowione i znaki specjalne umiejscowione i znaki specjalne umiejscowione
w przypadkowy sposób) w przypadkowy sposób) w przypadkowy sposób)
Aplikacja platformy analizowana jest Nie analizuję bezpieczeństwa aplikacji Nie analizuję bezpieczeństwa aplikacji
pod kątem bezpieczeństwa np. wykrywania luk

8. Backup danych (kopia)
Czy wykonujesz backup danych ? Jak często ?
Kopia tworzona jest automatycznie Kopia wykonywana jest ręcznie, ale
conajmniej raz dziennie nie mam wyznaczonego harmono-
albo wykonywana jest ręcznie przez gramu i wykonywana jest w róż- Kopia nie jest wykonywana
administratora nych odstępach czasu automatycznie ani
nie jest wykonywana ręcznie
Kopia danych znajduje się w innym Kopia danych przechowywana jest
miejscu aniżeli pliki macierzyste* na różnych dyskach *
* np. na innym serwerze * np. Twoim i administratora/pracownika

9. Platforma w modelu SaaS (chmura)
Jeśli korzystasz z aplikacji w chmurze to ...
-> Komunikacja pomiędzy Tobą a providerem
-> Komunikacja pomiędzy Tobą a providerem nie jest szyfrowana
jest szyfrowana -> Dane znajdujące się na serwerze
-> Dane znajdujące się na serwerze (tzw. dane w spoczynku) nie są szyfrowane
(tzw. dane w spoczynku) także są szyfrowane Proszę wybrać kolor zielony -> Nie wiem gdzie oraz w jaki sposób są prze-
-> Wiem w jakim kraju znajduje się serwer albo twarzane dane
z danymi oraz mam podpisaną umowę o po-
wierzaniu danych osobowych
pomarańczowy -> Nie mam podpisanej umowy o powierzaniu
danych osobowych
-> Umowa o świadczenie usług spełnia moje -> Umowa o świadczenie usług została podpi-
wymagania GRC * sana bez analizy moich wymagań GRC*
* GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność * GRC: zarządzanie danymi, zarządzanie ryzykiem, zgodność
z legislacją, wymaganiami, przewidywanymi wydatkami
z legislacją, wymaganiami, przewidywanymi wydatkami

10. Wyniki
Jeżeli wśród Twoich zaznaczeń jest co najmniej Jeżeli wśród Twoich zaznaczeń jest co najmniej
Jeżeli Twój wynik to 7 jeden żółty kolor, ale nie ma żadnego czerwo- jeden czerwony kolor, ale jest także co najmniej
zielonych zaznaczeń nego to warto pomyśleć o lepszej ochronie jeden zielony to Twoje podejście do bezpie-
czeństwa nie jest spójne i należy dokonać
Jeżeli wśród Twoich zaznaczeń jest co najmniej odpowiednich zmian
jeden żółty kolor oraz co najmniej jeden czer-
Gratulacje! wony to powinieneś poważnie pomyśleć Jeżeli Twój wynik to 7 czerwonych zaznaczeń
o bezpieczeństwie poziom ochrony jest bliski zeru
7 - --

11. Nagrody - proszę o kontakt mailowy: beata.marek@cyberlaw.pl
Brawo! Wiesz, że poziom bezpieczeństwa Niestety zwiększasz swoje ryzyko
Poważnie podchodzisz do aspektów jest ważny, ale nie do końca wiesz na wyciek danych i inne zagrożenia
bezpieczeństwa informacji jak sobie z nim radzić
Tak nie może być !
W nagrodę otrzymujesz ode mnie Liczy się jednak Twoja chęć
1 bezpłatną konsultację związaną dlatego zapisz się na dlatego zapisz się na
z Twoim e-sklepem bezpłatne szkolenie online bezpłatne szkolenie online
i dowiedz się więcej i lepiej chroń informacje
7 - --
Warunkiem niezbędnym do otrzymania nagrody jest podanie liczby kolorów
oraz kontakt z oficjalnego maila e-sklepu

12. Autorka nie ponosi odpowiedzialności za wykorzystywanie
zawartości broszury w jakikolwiek sposób.