При создании интернет-магазина заботу о безопасности мы передаем программисту. Он что-то там устанавливает и говорит о готовности сайта к использованию. Якобы платежи проходят безопасно, сайт защищен. Доверяй, но проверяй! Поэтому журналист Бизнес.Ру вместе со специалистом по информационной безопасности составили чек-лист для владельца интернет-магазина.
Основная цель статьи - представить перечень пунктов, по которым человек, который не разбирается в программировании и информационной безопасности, сможет проверить, защищен ли его интернет-магазин.
О том, как открыть интернет-магазин, учитывая современные тенденции, читайте в этой статье >>
Как провести аудит информационной безопасности в компании, написано здесь >>
Безопасность сайта (https и SSL сертификат)
Если вы спросите у клиентов, какой интернет-магазин они считают безопасным, то они ответят, что тот, который защищает финансовую и личную информацию покупателя.
По статистике, до трети покупок не совершается, так как клиент считает, что сайт не защищен. Покупатели должны быть уверены, что их личные данные и информация о карте не утекут злоумышленникам и мошенникам.
Основной функцией безопасности сайта является его работа на защищенном сервере (с подключенном SSL сертификатом). Проще говоря, владелец магазина должен проверить, что URL-адрес сайта начинается с обозначения "https", а не " http", а браузер пишет, что соединение с сайтом безопасно.
Если вы создали интернет-магазин, но видите, что сайт не защищен при помощи SSL-сертификата, можно настроить его самостоятельно.
- Если у вас сайт-конструктор. В настройках у каждого конструктора есть функция подключения SSL. Например, так устроено у WIx, LPgenerator, uKit и других.
- Сайт на популярном (или не очень) движке на вашем хостинге. В этом случае надо подключить сертификат безопасности на хостинге. На каждом хостинге есть инструкция, также можно обратиться в службу поддержки.
Обработка заказов в вашем интернет-магазине занимает много времени? Воспользуйтесь специальным решением от Бизнес.ру и настройте автоматический обмен с магазином, не упустив ни один новый заказ! Оперативно обновляйте информацию о статусе заказа и отправляйте на сайт. Попробуйте прямо сейчас спец. решение от Бизнес.ру для интернет магазинов >>
Есть ли разница в том, какой сертификат установлен?
Существует три вида сертификатов, их разница в скорости выдачи и степени проверки вашей компании.
- Первый тип предполагает проверку домена (Domain Validation — DV). Это самый недорогой вариант (можно получить и бесплатно), получить сертификат можно моментально. Подойдет небольшим интернет-магазинам, которые не заинтересуют мошенников.
Опасность простого сертификата в том, что он защищает только домен. И мошенники могут сделать аналогичный поддельный магазин на схожем домене, принимать оплату, а покупатели не заметят разницу.
- Второй тип - проверка организации (Organization Validation — OV). Этот сертификат предполагает, что вы отправляете информацию о вашей компании и форме владения бизнесом. Покупатель может получить сведения, что это сайт, принадлежащий вашей компании, если кликнет на замочек в строке браузера.
- Третий тип - расширенная проверка (Extended Validation — EV), который предполагает более тщательную проверку безопасности компании. Обычно такой сертификат приобретают для финансовых организаций, крупных интернет-магазинов. В некоторых видах браузеров высвечивается зеленая надпись, что сайт принадлежит такой-то компании. SEO-специалисты говорят, что сайты с расширенным сертификатом (по сравнению с DV сертификатом) больше любят поисковики (но это неточно).
В общем, начинающему интернет-магазину можно сэкономить (пока он не станет большим) и выбрать самый недорогой сертификат. Ведь “замочки” сертификатов в браузере для пользователя выглядят практически одинаково. Цена стандартного сертификата до 500 рублей в год, иногда можно попасть на акцию хостинга. Поделиться мнением и обсудить статью в >>
Где еще можно взять бесплатный SSL сертификат? Лучший вариант - настроить бесплатный сертификат от Let’s Encrypt, сделать это самостоятельно не так просто, но в интернете есть инструкции.
Программист может посоветовать воспользоваться сервисом Cloudflare, который дает бесплатный сертификат на срок до 15 лет.
Однако у бесплатной услуги от Cloudflare есть существенные минусы:
- весь трафик идет через него, возможны не только задержки, но и возможность Cloudflare считывать трафик (а это может расцениваться как нарушение российского закона о персональных данных, хотя подобных инцидентов еще не было);
- ваш сайт находится на одном ip с другими, есть шанс, что Роскомнадзор заблокирует какой-нибудь из ip Cloudflare (и ваш магазин станет недоступным для пользователей из России).
Вариант сертификата от Cloudflare подходит для небольших, начинающих интернет-магазинов, желающих сэкономить.