Захист інформації для Інтернет-магазину
Поняття захисту інформації:
Захист інформації для Інтернет-магазину
Захист інформації — це, насамперед, комплекс заходів, спрямованих на забезпечення захисту та збереження інформації будь-якого виду, як технічної, так і інформації, озвученої людиною в усній формі.
Але в цій статті ми не розглядатимемо поняття «захист інформації» в настільки широкій формі, а обговоримо конкретно безпеку інформації Інтернет-проєктів, зокрема Інтернет-магазину.
Нагадаю, Інтернет-магазин відрізняється від інших типів проєктів тим, що зберігає контактні дані покупців, платіжні реквізити, ціни постачальників, облік товарів і внутрішні документи (рахунки, замовлення тощо). Ці дані вимагають особливої уваги до захисту та забезпечення їх безпечного зберігання.
З чого ж усе починається?
Коли вже описано завдання і чітко сплановано розробку Інтернет-магазину, потрібно приділити увагу організації захисту майбутнього проєкту та підготовці персоналу для правильної і безпечної роботи над майбутнім проєктом. Розглянемо детальніше, чому ж ми надаємо найбільше значення в організації захисту інформації (хоча жодна деталь не повинна залишитися поза увагою).
Усі вже розуміємо, що без доменного імені та хостингу сайт фактично не буде доступний для цільової аудиторії, та й в Інтернеті загалом. Тобто етап реєстрації доменного імені та розміщення файлів сайту на сервері просто неминучий. З цього етапу й почнемо.
Реєструючи доменне ім’я, необхідно визначитися з вибором гідного реєстратора, зазвичай його рекомендує виконавець, я вважаю, до його думки варто прислухатися, адже у розробника є досвід і розуміння в цій сфері.
Захист доменного імені
Що ж досить часто відбувається на практиці? «Ось вам гроші, реєструйте мені домен і хостинг, ну виберіть там який-небудь або ось такий-то». Повністю згоден, розробник дійсно внесе всі необхідні налаштування більш правильно, ніж недосвідчений користувач, та й сам алгоритм також треба розуміти.
Але... Залежно від зони, в якій реєструється доменне ім’я для Інтернет-магазину, реєстратором запитується різна контактна інформація, а в деяких випадках і реквізити (копії паспорта або копії реєстраційних документів і свідоцтв). Якщо цю інформацію від вас не вимагає розробник, є побоювання, що домен буде зареєстрований у його акаунті або загальному акаунті з безліччю вже раніше створених проєктів. У цьому випадку домен фактично не належить вам, і його власником є розробник. Під час реєстрації доменного імені вам необхідно брати участь у процесі та отримувати достовірну інформацію про методи проведення реєстрації.
А процес має бути таким. Щоб розробник згодом не відібрав у вас право володіння вашим Інтернет-магазином у разі його успішного прориву та завоювання доброї репутації в мережі, ви самі або у співпраці з розробником повинні зареєструвати доменне ім’я в окремому для вас акаунті з контактними даними та реквізитами саме власника (вас або відповідальної особи з вашого боку за проєкт). Якщо
доменне ім’я реєструється на організацію, рекомендую здійснювати оплату за реєстрацію від юридичної особи та зберігати виписки про оплату.
Після проведення реєстрації вам повинні передати доступи (шлях до кабінету керування доменним ім’ям, логін і унікальний пароль), у цьому випадку ви будете безпосереднім власником доменного імені. Щодо налаштувань правильної роботи доменного імені, це завдання вже сміливо можете доручити розробнику (найчастіше налаштування проводиться одноразово), після чого рекомендую змінити пароль у кабінеті керування доменним ім’ям і зберігати його конфіденційно.
Під час передачі (за потреби) доступів до доменного імені, та й усіх інших, використовуйте ті канали, які вважаєте найбільш захищеними та безпечними. Не рекомендую передавати доступи в соціальних мережах, особистими повідомленнями на форумах, порталах, за допомогою файлообмінників, у тілі електронної пошти. Архівуйте та запаролюйте архіви під час передачі, повідомивши пароль від архіву в телефонному режимі або в режимі скайп-чату. Передавати доступи в скайп-чаті за крайньої потреби в принципі можливо, але, звісно ж, попередньо переконавшись, що ваш співрозмовник по той бік дійсно є контактною особою, якій ви плануєте передати доступи.
Розробляємо і контролюємо
З доменом розібралися. Продовжимо про хостинг. Вже знаємо, що реєстрація хостинг-акаунта також повинна бути проведена в окремому від інших проєктів акаунті, а також на ваші контактні дані та реквізити. Існують різні варіанти розміщення файлів на сервері: загальний хостинг-акаунт, виділений віртуальний і виділений фізичний хостинг. Залежно від обраного варіанту, ви можете обзавестися «сусідами», і необхідно усвідомлювати той факт, що ваші «сусіди» можуть містити виконавчі файли, заражені вірусами або хакерськими маршрутизаторами, які дають їм безпосередній доступ до файлової структури сервера, де також будуть розташовані файли вашого Інтернет-магазину. Не шкодуйте коштів для безпеки вашого ресурсу. Це не той етап, на якому можна заощадити. Налаштувати ваш хостинг краще також довірити виконавцеві, не забудьте змінити доступи, передані розробнику, після виконання ним налаштувань. Доступами до хостингу є: доступи до панелі керування хостингом (шлях / ip, логін, пароль), FTP-доступи (шлях / хост, логін, пароль), доступи до баз даних (шлях, ім’я бази даних, ім’я користувача бази даних, пароль). Зберігаємо паролі надійно.
Розробляємо і контролюємо процес
Домен і хостинг підготовлено та захищено. Тепер контролюємо етап розробки. Тут важливо, щоб розробник організував весь план дій і повністю узгодив з вами всі етапи та технічні деталі розробки. Для вас же рекомендую звернути увагу на його підхід до вибору платформи розробки та CMS-системи для Інтернет-магазину. Чому? Вам потрібно розуміти, що поширені системи керування мають низку плюсів і мінусів, про які розробник чудово знає. Щоб не критикувати і не хвалити ту чи іншу CMS і середовище розробки, я просто порекомендую ретельно проконсультуватися у виконавця вашого проєкту, які є плюси та мінуси поширених систем і платформ (платних і безкоштовних), а також у чому перевага системи, якщо вона буде унікальною розробкою виконавця.
Коли йде написання коду сайту виконавцем — контролювати з точки зору безпеки цей процес має безпосередньо сам розробник, він і є надалі гарантом безпеки виконуваного коду та його безперебійного функціонування. Єдиний метод контролю
написаного коду — звернутися до сторонньої організації, що спеціалізується на технічній безпеці Інтернет-проєктів, за послугою технічного аудиту коду сайту та файлової структури після завершення робіт над проєктом. Виявлені «дірки» у файловій структурі або коді сайту за підсумками аудиту рекомендую одразу ж відправити розробнику на доопрацювання, навіть якщо це потребуватиме додаткової оплати та часу. Цей крок знову ж таки заощадить ваші витрати на обслуговування проєкту в майбутньому.
У процесі розробки виконавець часто використовує вже готові рішення або раніше створені сторонніми розробниками скрипти, файли, модулі, і це нормально, головне, щоб використовувані сторонні рішення були «чистими» від рекламного коду, виконавчих хакерських ділянок коду, що все частіше спостерігається при використанні безкоштовних готових рішень. Про це має подбати розробник. Але не зайвим буде «натякнути» йому про це.
Запуск проєкту та його життя
Отже, розміщений на сервері під вашим доменним ім’ям, протестований і налагоджений Інтернет-магазин запущено. На цьому забезпечення його безпеки не закінчилося, а лише почалося. Що можу порекомендувати? Звісно ж, укласти з розробником домовленість про його технічну підтримку та обслуговування і щомісяця вимагати від нього звітності щодо роботи сервера, програмного коду, стійкості системи керування. У цьому випадку відповідальність за технічну безпеку знову закріплюється за розробником, і ви можете бути впевненими, що будь-яка хакерська атака або заражений вірусом виконавчий файл завжди будуть виявлені та локалізовані.
Запуск проєкту та його життя
Обов’язково потрібно згадати і про вашу відповідальність як власника Інтернет-магазину. Вже знаємо про те, які є доступи, як їх зберігати та передавати, але щомісяця, щодня, щогодини роботи вашого проєкту з’являтиметься маса інформації, яку необхідно правильно фільтрувати, зберігати, пересилати, захищати.
Ми розглядаємо конкретно Інтернет-магазин і пам’ятаємо, що робота цього проєкту спрямована на продажі, залучення та обслуговування клієнтів, роботу з постачальниками, банками та службами доставки. Уся ця робота вимагає правильного поводження з інформацією. Якщо ваш штат складається з більш ніж однієї людини, кожен із учасників проєкту має усвідомлювати свою відповідальність за роботу з цією інформацією.
З адміністративною частиною Інтернет-магазину (адмін-панеллю) може працювати кілька людей, а може й одна, але в адміністративній частині відкривається доступ до інформації проєкту, яка залежно від прав користувача (адміністратора) відображається у відкритому вигляді, і безпосередньо адміністратор має пройти курс консультацій від спеціалістів виконавця щодо правильної роботи з даними сайту та відповідальності за їх коректне зберігання. Тут також рекомендується виробити внутрішні правила (політику компанії) щодо роботи з інформацією проєкту.
Для підтримки клієнтів і внутрішнього листування з постачальниками рекомендую завести корпоративні електронні скриньки, які використовуватимуться виключно з метою забезпечення комунікації компанії. З метою профілактики проводити контроль вхідної та вихідної пошти, використання особистих акаунтів у робочих процесах, змінювати доступи до поштових
акаунтів і адмін-панелі Інтернет-магазину.
Ви також зобов’язані нести відповід альність за розміщення контенту (текстового та графічного наповнення) на сайті. Контент має бути унікальним, оскільки претензії від правовласників розміщеного вами на сайті контенту доведеться приймати вам. Рекомендую також стежити за копіюванням уже розміщеного на вашому сайті контенту, якщо він є авторським і становить комерційну цінність, а також скористатися сервісами для захисту контенту, які надають провідні пошукові системи.
Бонус на замітку
Важливим моментом захисту вашої інформації є чарівне слово — «беккап», з англійської — резервне копіювання. Це запорука величезної економії часу та грошей. Якщо у вас завжди буде під рукою резервна копія файлів Інтернет-магазину, бази даних, листів, клієнтської бази, бази товарів, контенту і навіть записів у блокноті, ви в будь-який момент (який, як правило, настає в найневдаліший час) зможете відновити інформацію в найкоротші терміни і з мінімальними втратами.
На завершення хочу порекомендувати не упускати аналіз правових аспектів захисту вашої інформації, особливо персональних даних ваших клієнтів. Закони та юридичні нововведення, які в бурхливому розвитку Інтернет-комерції так активно «спрощують» діяльність кожної організації, все частіше почали зачіпати і діяльність у мережі Інтернет. Будьте пильними та дбайливими з інформацією, вона коштує дуже дорого.
