Een online winkel bouwen zou een aangename en spannende ervaring moeten zijn, maar u moet rekening houden met een aantal belangrijke zaken om het bedrijf – en uw klanten – zo veilig te mogelijk houden. U wilt toch niet dat uw gloednieuwe winkel en bedrijfsmerk verwoest worden door hackers, beveiligingslekken of verlies van gegevens?
Een veilige online winkel opbouwen begint bij het kiezen van een hostingprovider en loopt verder tot het dagelijkse gebruik van de website. Hieronder vindt u de vijf belangrijkste zaken waarmee u rekening houdt bij het bouwen van een veilige online winkel:
1. SSL en een veilige hostingservice
Een van de belangrijkste aspecten van het ontwikkelen van een website is een goede hostingprovider kiezen. Dat is nog crucialer bij een online winkel omdat mensen betalingen uitvoeren via de site, waardoor beveiliging een topprioriteit wordt.
Een hostingprovider bewaart de bestanden van uw site op zijn servers. Zonder dit zou u de site niet op internet kunnen zetten. Providers doen echter veel meer dan een website enkel 'hosten'. Ze moeten ervoor zorgen dat de site live blijft, omgaan met pieken in het dataverkeer, de snelheid van de site behouden en nog meer.
Hoewel u best niet volledig vertrouwt op hostingproviders om uw online winkel te beveiligen, kiest u best een kwaliteitsprovider die al het mogelijke doet om de site veilig te houden. Veel van de beste providers gebruiken SSL-certificaten (Secure Sockets Layer) in al hun plannen, terwijl anderen extra beveiligingsmaatregelen nemen zoals:
- Firewalls
- Automatische back-ups
- Bescherming tegen hacks
- DDoS-bescherming (Distributed Denial of Service)
- Detectie en verwijdering van malware
SSL-beveiliging is een absolute vereiste voor een online winkel.
SSL-certificaten versleutelen alle gegevens die via de website verwerkt worden, inclusief logingegevens en betalingsgegevens. Zonder SSL zijn persoonlijke gegevens kwetsbaar voor hackers en lekken. Controleer altijd welk type SSL-certificaat bij het hostingplan hoort. De meeste providers bieden de basisversie aan, maar voor online verkoop zijn investeringen in meer geavanceerde opties nodig. Extended Validation (EV) SSL is een goede keuze. Dit is het hoogste beschermingsniveau dat SSL kan bieden en omvat een grondige validering en verificatie van het bedrijf.
2. TLS-encryptie en PSD2-ondersteuning om financiële transacties te beveiligen
Als het over veiligheid online gaat, verdienen klanten het beste. Daarvoor hebt u Transport Layer Security (TLS) nodig. Dit is vergelijkbaar met SSL-beveiliging, maar dan een verbeterde versie. De termen worden vaak door elkaar gebruikt, omdat TLS de gegevensoverdracht tussen klanten en een winkel beveiligt – net zoals SSL.
TLS doet eigenlijk drie dingen: Het zorgt ervoor dat beide partijen zijn wie ze beweren te zijn, controleert of de gedeelde gegevens niet beschadigd zijn en versleutelt informatie zodat deze veilig van de ene partij aan de andere kan worden doorgegeven. Wat heb je nodig om TLS te installeren? Het goede nieuws is dat dit meestal samen met het SSL-certificaat wordt geïnstalleerd en u dus niets extra hoeft te doen.
Wat wel extra werk kan betekenen, is de nieuwe PSD2-richtlijn, die van kracht werd in september 2019. Dit staat voor Payment Services Directive, of richtlijn voor betaaldiensten, en is bedoeld om consumenten te helpen, fraude te voorkomen en betaalmiddelen toegankelijk en veiliger te maken. Betalingsfraude neemt jaar na jaar toe en daarom zou PSD2 een zegen moeten zijn voor uw winkel. Als u niet voorbereid bent, kan de nieuwe verordening echter een nachtmerrie in plaats van een droom zijn.
Het belangrijkste aspect is de verbeterde bescherming voor financiële transacties, Strong Customer Authentication (SCA) genoemd. Dit gebruikt 3D Secure 2.0 om betalingen te verwerken en introduceert een identificatiesysteem met meerdere stappen voor klanten als ze geld uitgeven in de Europese Economische Ruimte. Dit maakt betalingen veiliger en zorgt ervoor dat ze verwerkt worden door de bank van de klant – u hoeft zich dus geen zorgen te maken over hoe u kunt nagaan of een winkel conform SCA werkt.
Wat u wel moet doen, is ervoor zorgen dat de afhandeling dit nieuwe verificatiesysteem met meerdere fasen ondersteunt. Bereid u voor op 3D Secure 2.0 door uw klanten de juiste velden te laten invullen. Dit moet de weg vrijmaken voor veiligere transacties, zonder klanten extra lastig te vallen. GlobalSign biedt binnenkort ook PSD2-certificaten aan!
3. Bescherming tegen DDoS-aanvallen
DDoS staat voor Distributed Denial of Service en is een aanvalsmethode waarbij hackers een site overspoelen met dataverkeer om de server te laten crashen, waardoor deze ontoegankelijk wordt voor bezoekers. Dit kan uw merk en reputatie beschadigen door klanten die de site proberen te gebruiken te verontrusten, om nog maar niet te spreken van de financiële schade die voortvloeit uit alle gemiste verkopen. DDoS-aanvallen worden ook vaak gebruikt als afleiding terwijl andere doelwitten worden aangevallen.
Enkele hostingproviders bieden DDoS-bescherming aan als onderdeel van hun pakketten. Als uw provider geen DDoS-bescherming aanbiedt, gebruikt u best een externe cloudoplossing. Deze filtert het verkeer, detecteert dreigingen en reageert op DDoS-aanvallen. U moet voor deze service betalen, maar dat is het zeker waard want DDoS-aanvallen vormen een heel reële dreiging voor online winkels.
4. Privacybeginselen van gegevensminimalisering
Voor bedrijven in de Europese Unie betekende de invoering van de GDPR (General Data Protection Regulation) een hele verandering in 2018. Een van de belangrijkste aspecten van deze verordening was gegevensminimalisering. Dit is belangrijk om het risico op beveiligingslekken en lekken van persoonlijke gegevens te kunnen beperken.
Gegevensminimalisering betekent beperken hoeveel persoonlijke gegevens verzameld worden en deze gegevens enkel bewaren gedurende de periode dat deze nodig zijn. Of u nu moet voldoen aan de GDPR in de EU of de regels van de Federal Trade Commission in de VS, gegevensminimalisering is cruciaal om een veilig bedrijf te runnen. Door gegevens te hamsteren en langer te bewaren dan nodig, stijgt de kans dat die gegevens kwetsbaar worden. U loopt ook het risico om de deur open te zetten voor frauduleuze, niet-geverifieerde gegevens die de kwaliteit van databases kunnen aantasten.
Door alleen relevante, essentiële gegevens te verzamelen, kunt u bedrijven en klanten beschermen. Bij de omgang met gegevens moet u de volgende vragen stellen:
- Zijn de gegevens noodzakelijk voor een specifiek doel? Is het bijvoorbeeld echt nodig om de geboortedatum van een bezoeker te verzamelen om een product te kopen?
- Zijn er voldoende gegevens om de actie te voltooien? U hebt bijvoorbeeld het adres van een klant nodig voor de verzending, of een e-mailadres om een ontvangstbevestiging te sturen.
- Worden niet-kritische gegevens bewaard? Controleer de gegevens op uw systeem. Zijn er gegevens die verouderd of niet langer relevant zijn? Als dat zo is, verwijder deze!
Om deze reden mag u nooit betalingsgegevens van klanten bewaren. Een externe betalingsdienst verwerkt meestal de betalingsgegevens en daarom hoeft u deze niet te vragen. Als deze gegevens vereist zijn om de transactie te voltooien, bewaart u deze best niet. Als u dat wel doet, lopen de gegevens een enorm risico.
Als online winkel zullen veel verschillende mensen de site bezoeken. Zorg ervoor dat u de privacy van klanten respecteert door alleen gegevens te verzamelen met hun toestemming en hen alleen om noodzakelijke gegevens te vragen. Controleer de gegevens waar mogelijk en hamster geen gegevens.
5. Interne beveiliging en gebruikersschap
Ook al doet u al het mogelijke om de online winkel te beveiligen, als er intern fouten worden gemaakt, stelt u uw bedrijf bloot aan dreigingen van buitenaf. Het eerste wat u moet doen, is ervoor zorgen dat alle wachtwoorden sterk en veilig zijn. Gebruik nooit gedeelde wachtwoorden. Verschillende beheerders moeten unieke wachtwoorden hebben. Daarvoor gebruikt u best een wachtwoordmanager, die u kan helpen bij de beveiliging van wachtwoorden. Wijzig wachtwoorden regelmatig en gebruik waar mogelijk tweeledige verificatie.
Het sterkste wachtwoord is echter nutteloos als de persoon die het veiligheidslek veroorzaakt de eigenaar van dat wachtwoord is. Uw personeel kan uw grootste zwakte zijn – elke dag vinden er in de VS 2.500 interne veiligheidslekken plaats. Sommige werknemers stellen werkgevers opzettelijk bloot aan gevaren, maar meestal gebeurt dit onopzettelijk – zoals klikken op een phishingbericht, logingegevens delen of een werklaptop kwijtraken. De beste manier om u tegen deze interne dreigingen te beschermen is uw personeel opleiden, regelmatig opleidingen organiseren en actieplannen opstellen voor wanneer er zich een lek voordoet.
Slotbeschouwingen
Cyberdreigingen gaan niet meer weg – ze blijven evolueren, groeien en veranderen. Er zijn wel manieren om de risico's te minimaliseren. In een fysieke winkel ziet u winkeldieven komen – u kunt de camerabeelden controleren en de politie bellen als iemand producten onder zijn jas steekt. In een online winkel gaan dieven veel subtieler te werk – en ze blijven meestal ongezien tot het te laat is. Als u zich bewust bent van de risico's, kunt u maatregelen nemen om deze risico's te voorkomen en te beheren, en ervoor zorgen dat uw online winkel een succes wordt – en geen cybercorruptie.
Nu is het tijd om de volgende stap te nemen. Leer meer over hoe u uw bedrijf kunt beveiligen in deze dynamische online wereld. Lees de onderstaande informatie om aan de slag te gaan of neem contact op met GlobalSign voor meer informatie:
https://www.globalsign.com/nl-nl/blog/hoe-spoor-je-malware-op/
https://www.globalsign.com/nl-nl/blog/voordelen-van-multi-factor-authenticatie/
https://www.globalsign.com/nl-nl/blog/een-start-up-beschermen-tegen-ransomware/
https://www.globalsign.com/nl-nl/blog/cyberbeveiligingstools-en-diensten-van-belang-voor-bedrijven/
https://www.globalsign.com/nl-nl/blog/10-simpele-tips-om-uw-wordpress-website-te-beveiligen/