Black Friday, Cyber Monday…¿está preparada tu tienda online?
Finalizando ya el mes de Noviembre y teniendo en cuenta que nos encontramos en fechas cercanas a la Navidad,aparecen dos días muy conocidos por compradores y vendedores. Nos referimos al Black Friday y al Cyber Monday.
Desde el punto de vista del empresario, estas fechas generan un elevado número de ventas a través de Internet donde además, los clientes cada vez tienen una mayor preocupación por comprar en lugares seguros. Por esa razón INCIBE aconseja revisar y repasar una serie de puntos de tu página web de ventas online relacionados con la ciberseguridad.
¿Te crees exento de riesgos?
Seguramente seas de aquellos que son conscientes de la multitud de riesgos a los que está expuesta una empresa que base su actividad en el comercio electrónico. Pero también es cierto que no son pocos los que creen “a mi estas cosas no me pasan” o “quién va a venir a hacerme esto a mí, si mi empresa es muy pequeña”.
Hay que tomar conciencia de ciberseguridad y en primer lugar, ser conocedores de los riesgos asociados al comercio electrónico:
Web fuera de servicio: debido a fallos de nuestro servidor o por ser víctima de un ataque (Denegación de Servicio).
Compras fraudulentas: mediante tarjetas robadas.
Robo de información de clientes: mediante páginas que simulan nuestra página web. A través del conocido como phishing suplantan nuestra identidad con enlaces hacia páginas fraudulentas. El fin será robar información personal y bancaria.
Acceso a nuestra página de administración o “back-end”: normalmente mediante mecanismos de ingeniería social o valiéndose de alguna vulnerabilidad en el gestor de contenidos utilizado.
Defacement: si han accedido a nuestro gestor de contenidos, podrían cambiar completamente el aspecto de nuestra web (y hacerla pasar por un banco, un grupo yihadista, etc.), con el correspondiente daño a nuestra imagen incluso pudiendo llegar a ser incluidos en listas negras.
Infección: contar con software desactualizado es una invitación a acabar infectados por malware, ransomware o incluso formar parte de una botnet.
¿Podemos hacer algo por evitarlo?
La respuesta es muy sencilla: sí.
Revisar frecuentemente aspectos como los siguientes:
Contratar servicios de empresas especializadas en pagos online denominadas IPSP (Internet Payment Service Providers), como Paypal, Google Wallet, Amazon Payments, etc.
Si utilizas en tu web el pago virtual con tarjetas de crédito, asegúrate que cumple con el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS. Este conjunto de requerimientos garantiza que los titulares de tarjetas realizan compras de forma segura y que la información de sus tarjetas está protegida frente a fraudes online. Aunque siempre es preferible hacer uso de pasarelas de pago de entidades bancarias que no obligan a guardar datos bancarios.
Contad con copias de seguridad de nuestra web y saber restaurarlas.
Disponer de software actualizado, con todos los parches de seguridad instalados.
Contar con un certificado web y verificar que está vigente. Así garantizamos la identificación de nuestra web (candado), y que las comunicaciones entre el cliente y el servidor irán cifradas (https://). Además, es recomendable hacer uso de certificados web con validación extendida, donde la verificación de seguridad es más exhaustiva ofreciendo mayores garantías de seguridad ofreciendo de ese modo más confianza al cliente.
Cambiar las contraseñas a los administradores del panel de control del gestor de contenidos o del servicio de alojamiento “hosting”, y comprobar que éstas son robustas. Si es posible, utilizar autenticación de doble factor.
Establecer mecanismos para que los administradores accedan a las páginas de gestión mediante mecanismos seguros y canales cifrados. Además es muy aconsejable saber quién accede a los paneles de administración y para qué.
Disponer de una planificación periódica de auditorías de seguridad.
Comprobar diariamente el aspecto de tu página web, verificando que no hay modificaciones en contenidos.
Revisar las opiniones de tus clientes en redes sociales. A través de sus comentarios podrías determinar si te están suplantando en otra web, y serás testigo del servicio que ofreces.
Asegurarse de que los empleados saben cómo combatir técnicas de ingeniería social.
Cumplimiento legal: asegúrate de cumplir todo lo marcado en el RGPD (Reglamento General de Protección de Datos), y en la LSSI-CE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico).
Utilizar los sellos de confianza para el comercio electrónico. Se trata de distintivos proporcionados tanto por empresas privadas, como por empresas públicas o por organizaciones sin ánimo de lucro. Para obtenerlos se suelen realizar auditorías cuyo fin es comprobar si la página web cumple con unos requisitos necesarios para la consecución del sello o bien, ofrecer mecanismos para adherirse a códigos de buenas prácticas.
Para llegar a conseguir un nivel alto de seguridad habrá que establecer este tipo de medidas y así transmitir confianza a nuestros clientes. Desde Hard2bit podemos ayudarte tanto en auditorías de seguridad, implantación y adecuación de PCI-DSS, así como con el cumplimiento del RGPD.