Понятие защита информации:

Защита информации для Интернет-магазина

Защита информации для Интернет-магазина

Защита информации — это, в первую очередь комплекс мер, создаваемых с целью обеспечения защиты и сохранности информации любого вида, как технической так и информации, озвученной человеком в устной форме.

Но в данной статье мы не будем рассматривать понятие «защита информации» в столь обширной форме, а обсудим конкретно безопасность информации Интернет-проектов, в частности Интернет-магазина.

Напомню, Интернет-магазин отличается от иных типов проектов тем, что хранит контактные данные покупателей, платежные реквизиты, цены поставщиков, товароучет и внутренние документы (счета, заказы и т. д.). Эти данные требуют особого внимания к защите и обеспечению их безопасного хранения.

С чего же все начинается?
Когда уже описана задача и четко спланирована разработка Интернет-магазина, требуется уделить внимание в организации защиты будущего проекта, и подготовке персонала для правильной и безопасной работы над будущим проектом. Рассмотрим детальнее, чему же больше всего придаем значение в организации защиты информации (хотя каждая деталь не должна быть упущена из виду).

Все уже понимаем, что без доменного имени и хостинга сайт будет фактически не доступен для целевой аудитории, да и в Интернете в целом. То есть, этап регистрации доменного имени и размещения на сервере файлов сайта просто неизбежен. С этого этапа и начнем.

Регистрируя доменное имя необходимо определиться с выбором достойного регистратора, обычно его рекомендует исполнитель, я думаю, к его мнению нужно прислушиваться, все же у разработчика есть опыт и понимание в этой области.

Защита доменного имени

Защита доменного имени

Что же довольно часто происходит на деле? «Вот Вам деньги, регистрируйте мне домен и хостинг, ну выберите там какой-либо или вот такой-то». Полностью согласен, Разработчик действительно внесет все необходимые настройки более правильно нежели неопытный пользователь, да и сам алгоритм тоже надо понимать.

Но… В зависимости от зоны, в которой регистрируется доменное имя для Интернет-магазина, регистратором запрашивается различная контактная информация, а в некоторых случаях и реквизиты (копии паспорта, или копии регистрационных документов и свидетельств). Если данная информация от Вас не требуется разработчиком, есть опасение что домен будет зарегистрирован в его аккаунте или общем аккаунте с множеством уже ранее созданных проектов. В этом случае домен фактически не принадлежит Вам, и владельцем его является разработчик. При регистрации доменного имени, Вам необходимо внедряться в процесс и получать достоверную информацию о методах проведения регистрации.

А процесс должен быть следующим. Чтобы разработчик в последующем не отобрал у Вас право владения Вашим Интернет-магазином в случае его успешного прорыва и завоевания хорошей репутации в сети, Вы сами или в содействии с разработчиком должны зарегистрировать доменное имя в отдельном для Вас аккаунте с контактными данными и реквизитами именно собственника (Вас или ответственного лица по проекту с Вашей стороны). Если
доменное имя регистрируется на организацию, рекомендую проводить оплату за регистрацию от юридического лица и хранить выписки оплат.

После проведения регистрации Вам должны быть переданы доступы (путь к кабинету управления доменным именем, логин и уникальный пароль), в этом случае, Вы будете являться непосредственным владельцем доменного имени. Что касается настроек правильной работы доменного имени, эту задачу уже смело можете поручить разработчику (чаще всего настройка производится единоразово), после чего рекомендую изменить пароль в кабинете управления доменным именем и хранить его конфиденциально.

При передаче (в случае необходимости) доступов к доменному имени, да и всех остальных, используйте те каналы, которые считаете наиболее защищенными и безопасными. Не рекомендую передавать доступы в социальных сетях, личными сообщениями на форумах, порталах, с помощью файлообменников, в теле электронной почты. Архивируйте и запароливайте архивы при передаче, сообщив пароль от архива в телефонном режиме или в режиме скайп-чата. Передавать доступы в скайп-чате при острой необходимости в принципе возможно, но конечно же предварительно убедившись, что Ваш собеседник на той стороне провода действительно контактное лицо, которому Вы планируете передать доступы.

Разрабатываем и контролируем
С доменом выяснили. Продолжим и про хостинг. Знаем уже, что регистрация хостинг-аккаунта должна быть также произведена в отдельном от других проектов аккаунте, а также на Ваши контактные данные и реквизиты. Существуют различные варианты размещения файлов на сервере: общий хостинг-аккаунт, выделенный виртуальный и выделенный физический хостинг. В зависимости от выбранного варианта, Вы можете обзавестись «соседями» и необходимо понимать тот факт, что Ваши «соседи» могут содержать исполнительные файлы, зараженные вирусами или хакерскими маршрутизаторами, которые дают им непосредственный доступ к файловой структуре сервера, где также будут расположены файлы Вашего Интернет-магазина. Не жалейте средств для безопасности Вашего ресурса. Это не тот этап, на котором можно сэкономить. Настроить Ваш хостинг лучше также доверить исполнителю, не забудьте сменить доступы, переданные разработчику, после выполнения им настроек. Доступами к хостингу являются: доступы к панели управления хостингом (путь / ip, логин, пароль), FTP-доступы (путь / хост, логин, пароль), доступы к базам данных (путь, имя базы данных, имя пользователя базы данных, пароль). Храним пароли надежно.

 

Разрабатываем и контролируем

Разрабатываем и контролируем процесс

Домен и хостинг подготовлен и защищен. Теперь контролируем этап разработки. Здесь важно, чтобы разработчик организовал весь план действий и полностью утвердил с Вами все этапы и технические детали разработки. Для Вас же рекомендую обратить внимание на его подход к выбору для Интернет-магазина платформы разработки и CMS-системы. Почему? Вам нужно понимать, что распространенные системы управления имеют ряд плюсов и минусов, о которых разработчик отлично знает. Чтобы не критиковать и не хвалить ту или иную CMS и среду разработки, я просто порекомендую тщательно проконсультироваться у исполнителя Вашего проекта, какие есть плюсы и минуса распространенных систем и платформ (платных и бесплатных), а также в чем преимущество системы, в случае, если она будет уникальной разработкой исполнителя.

Когда идет написание кода сайта исполнителем — контролировать в плане безопасности этот процесс должен непосредственно сам разработчик, он и является в последующем гарантом безопасности исполняемого кода и его бесперебойного функционирования. Единственный метод контроля
написанного кода — обратиться к сторонней организации, специализирующейся на технической безопасности Интернет-проектов за услугой технического аудита кода сайта и файловой структуры после завершения работ над проектом. Выявленные «дыры» в файловой структуре или коде сайта по итогам аудита, рекомендую сразу же отправить разработчику на доработку, даже если это потребует дополнительной оплаты и времени. Этот ход опять же сэкономит Ваши затраты на обслуживание проекта в будущем.

В процессе разработки, исполнитель часто использует уже готовые решения или ранее созданные сторонними разработчиками скрипты, файлы, модули и это нормально, главное, чтобы используемые сторонние решения были «чисты» от рекламного кода, исполняемых хакерских участков кода, что все чаще наблюдается при использовании бесплатных готовых решений. Об этом должен позаботиться разработчик. Но не лишним будет «намекнуть» ему об этом.

Запуск проекта и его жизнь
Итак, размещенный на сервере под Вашим доменным именем, протестированный и отлаженный Интернет-магазин запущен. На этом обеспечение его безопасности не закончилось, а только началось. Что могу порекомендовать? Конечно же заключить с разработчиком договоренность на его техническую поддержку и обслуживание и ежемесячно требовать от него отчетности по работе сервера, программного кода, устойчивости системы управления. В этом случае ответственность за техническую безопасность снова закрепляется за разработчиком и Вы можете быть уверенными, что любая хакерская атака или зараженный вирусом исполнительный файл всегда будут обнаружены и локализованы.

Запуск проекта и его жизнь

Запуск проекта и его жизнь

Обязательно необходимо упомянуть и об ответственности Вашей, как владельца Интернет-магазина. Уже знаем о том, какие есть доступы, как и хранить и передавать, но каждый месяц, день, час работы Вашего проекта, будет появляться масса информации, которую необходимо правильно фильтровать, хранить, пересылать, защищать.

Мы рассматриваем конкретно Интернет-магазин и помним, что работа этого проекта направлена на продажи, привлечение и обслуживание клиентов, работу с поставщиками, банками и службами доставки. Вся эта работа требует правильного обращения с информацией. Если Ваш штат состоит из более чем одного человека, каждый из участников проекта должен понимать свою ответственность за работу с этой информацией.

С административной частью Интернет-магазина (админ-панель) может работать несколько человек, а может и один, но в административной части открывается доступ к информации проекта, которая в зависимости от прав пользователя (администратора), отображается в открытом виде и непосредственно администратор должен пройти курс консультаций от специалистов исполнителя по правильной работе с данными сайта и ответственности за их корректное хранение. Здесь также рекомендуется выработать внутренние правила (политику компании) по работе с информацией проекта.

проводить контроль входящей и исходящей почтыДля поддержки клиентов и внутренней переписки с поставщиками рекомендую завести корпоративные электронные ящики, которые будут использоваться исключительно с целью обеспечения коммуникации компании. С целью профилактики проводить контроль входящей и исходящей почты, использования личных аккаунтов в рабочих процессах, изменять доступы к почтовым
аккаунтам и админ-панели Интернет-магазина.

Вы также обязаны нести ответственность за размещение контента (текстового и графического наполнения) на сайте. Контент должен быть уникальным, так как претензии от правообладателей размещаемого Вами на сайте контента придется принимать Вам. Рекомендую также следить за копированием уже размещенного на Вашем сайте контента в случае если он является авторским и составляет коммерческую ценность а также воспользоваться сервисами для защиты контента, предоставляемыми ведущими поисковыми системами.

Бонус на заметку
анализ правовых аспектов защиты Вашей информацииВажным моментом защиты Вашей информации является волшебное слово — «бэкап», с английского — резервное копирование. Это залог огромной экономии времени и денег. Если у Вас всегда будет под рукой резервная копия файлов Интернет-магазина, базы данных, писем, клиентской базы, базы товаров, контента и даже записей в блокноте, Вы в любой момент (который как правило приходит в самое неподходящее время) восстановите информацию в кротчайшие сроки и с минимальными потерями.

К завершению, хочу порекомендовать не упускать анализ правовых аспектов защиты Вашей информации, в особенности персональные данные Ваших клиентов. Законы и юридические новшества, которые в бурном развитии Интернет-коммерции так активно «упрощают» деятельность каждой организации, все чаще стали затрагивать и деятельность в сети Интернет. Будьте бдительными и бережными с информацией, она стоит очень дорого.