Poter disporre di uno shop online è oggi indispensabile per qualsiasi tipo di realtà imprenditoriale, dalle grandi aziende ai piccoli artigiani. I consumatori sembrano amare particolarmente questa modalità d'acquisto, sia per l'immediatezza che per la comodità di farsi recapitare i prodotti comodamente a casa, di conseguenza è essenziale non farsi cogliere impreparati.
Molte sono le risorse disponibili online per realizzare un sito di e-commerce, anche con budget ridotti o sfruttando i più popolari CMS. Ma quali sono i dettagli di sicurezza a cui si deve prestare attenzione, affinché sia il business che l'esperienza dell'acquirente vengano protette da attacchi e malintenzionati esterni?
Quando si decide di realizzare uno shop online, per quanto ridotto possa essere, la sicurezza deve essere sempre messa al primo posto. Questo non solo perché ci si ritroverà a gestire delle transazioni virtuali, ma anche e soprattutto a proteggere i dati personali dei propri clienti.
Piattaforma e hosting
Il primo passo per rendere l'esperienza d'acquisto elettronico sicura è, come facile intuire, scegliere una piattaforma adeguata. Sono moltissime le alternative disponibili sul mercato, alcune anche gratuite o integrate con plugin nei CMS più popolari, ma non tutte garantiscono il medesimo livello di protezione sia per l'utente che per lo stesso commerciante.
Innanzitutto, si deve verificare che la piattaforma sia compatibile con lo standard di pagamento dei principali circuiti di carte di credito, come il Payment Card Industry Data Security Standard (PCI-DSS). Ancora, lo stesso servizio dovrebbe supportare il protocollo SSL per tutte le transazioni, nonché prevedere adeguati strumenti per evitare i più comuni tipi d'attacco: dovrà essere richiesta la creazione di password forti, l'uso di CAPTCHA o l'autenticazione a due fattori per evitare il password-guessing, nonché prevedere metodi affidabili per il recupero dei dati personali.
Ancora, indispensabile è anche l'implementazione di sessioni di login a scadenza, affinché dopo un tempo di inattività l'utente venga automaticamente scollegato.
Scelta la piattaforma, bisogna agire anche sul fronte dell'hosting. Il fornitore di servizi dovrà certificare tempi di uptime soddisfacenti, rendere pubbliche documentazioni di trasparenza sui sistemi di sicurezza e gli attacchi recenti ricevuti, nonché offrire funzionalità aggiuntive come il supporto di SSL, i backup di sicurezza, un supporto tecnico veloce, quindi servizi firewall, protezione da attacchi DDoS e crittografia.
Dati sensibili
Gestire uno store online significa avere continuamente a che fare con i dati sensibili dei propri clienti. Oltre alle informazioni sulle carte di credito, solitamente amministrate in modo sicuro e automatizzato dalle piattaforme, molti dettagli entrano in possesso del venditore: anagrafica, numeri di telefono, indirizzi e molto altro ancora. È importante evitare di memorizzare una quantità sovrabbondante di questi dati, utilizzando invece il minimo indispensabile affinché la transazione e la consegna possano avvenire.
Lo storage dovrà essere effettuato in un'area sicura e crittografata del sito, possibilmente su un server diverso da quello principale per rendere il furto da parte di malintenzionati ancora più difficile. Allo stesso modo, è bene effettuare dei ciclici backup, nonché mantenere log dettagliati di quel che accade sul sito.
Sul fronte dei pagamenti, invece, è bene affidarsi a intermediari terzi, affinché non si entri in diretto contatto con le informazioni riservate degli utenti e, ancora, queste rimangano protette in caso di attacco ai siti web.
Aggiornare frequentemente
Gli attacchi alle piattaforme di e-commerce nascono e muoiono a cadenza quotidiana, per questo è bene mantenere sempre aggiornata la propria piattaforma, applicando tutte le patch di sicurezza necessarie, nonché eseguendo tutti gli upgrade proposti dallo sviluppatore. Nella maggior parte dei casi, gli stessi servizi permettono di impostare un'implementazione automatica degli upgrade, affinché il sito sia sempre sicuro, anche quando non si può intervenire direttamente.