חדשות מג'נטו

חשיבות אבטחת חנות מג'נטו

הלקוחות המקוונים של חנות מג'נטו תלויים בבעלי האתר ומנהלי האתר כדי להגן על הנתונים שלהם באופן מלא. בעלים של אתר מסחר אלקטרוני נדרש לעמוד בדרישות התאימות של PCI-DSS (ראשי תיבות של Payment Card Industry Data Security Standard - תקן שנוצר על ידי חברות כרטיסי האשראי הגדולות כדי להבטיח העברה מאובטחת, אחסון וטיפול במידע של בעל כרטיס האשראי) גם אם אתר מג'נטו אינו מעבד את התשלומים בעצמו אלא באמצעות צד שלישי.

הפרות מצד בעלי אתר מג'נטו של תאימות PCI אינן ההשפעה השלילית היחידה אותה ניתן לצפות במקרה של סיכון או פרצת אבטחה. השפעות פוטנציאליות אחרות כוללות הכנסה לרשימות שחורות של גוגל או של רשויות אחרות, אובדן אמון הלקוחות ומוניטין המותג והשפעות על תעבורת אתר מג'נטו.

מדוע חשובה אבטחת אתר מסחר אלקטרוני?

אמון הוא המפתח לעסק מקוון. אובדן מוניטין מסחר מקוון או הכנסה לרשימה שחורה עלולה להיות הרסנית עבור כל אתר מג'נטו. ברוב המקרים, האקרים אינם בוחרים אתרים לצורך תקיפה וגניבת פרטים מכיוון שזה לוקח זמן רב. רוב ההתקפות כנגד אתרי מסחר אלקטרוני הן אוטומטיות ומבוצעות על ידי בוטים המחפשים אתרים עם פגיעויות ידועות. סקריפטים אוטומטיים אלו מקלים על האקרים למצוא אתרים, לתור אחר אחר נקודות תורפה ולקבל גישה בלתי מורשית. גם חנויות אינטרנט קטנות אינן פטורות היות והאקרים הם אופורטוניסטים - הם יכוונו לכל אתר אינטרנט או משאב שרת נגיש. נוסף על כך, אם נמצא כי אתר מסחר אלקטרוני אינו תואם PCI-DSS, תיתכנה מספר סנקציות כגון קנסות ואיבוד היכולת המקוונת לעבד תשלומים.

עקרונות אבטחה לחנות מג'נטו:

אתרי מסחר כמו WIX פועלים באופן בו שרת אחסון האתר והתוכנות המותקנות עליו הן קנייניות ובעל האתר אינו נושא באחריות לתצורת האבטחה אלא משלם תשלום חודשי עבור קבלת השירות. אתרי מג'נטו מחייבים עמידה בתנאים הבאים:

צמצום שטח ההתקפה: עם PCI, הכל נוגע לצמצום שטח ההתקפה. עבור אתר מסחר אלקטרוני, הדבר כרוך במיוחד בסביבת נתוני הכרטיסים (CDE) - האופן שבו מטפלים בכרטיסי אשראי באתר. גם שימוש בשירותים של צד שלישי כמו PayPal או אפשרות תשלום מאובטחת אחרת, חובה על בעל אתר מג'נטו לעקוב אחר הדרישות שנקבעו על ידי PCI DSS.

שמירה על שטח ההתקפה של האתר קטן ככל האפשר הינו צעד ראשון מהותי לשיפור אמצעי האבטחה. המשמעות היא צמצום מספר הנקודות השונות שהאקרים יכולים להזין או לחלץ נתונים מהסביבה שלהן. אלו יכולים להגיע בצורה של אישורים לא מאובטחים, רכיבי צד שלישי שאינם פעילים, תוספים או הרחבות, פגיעויות תוכנה ופגיעויות ה- CMS ואפילו, תצורות שרת.

בכל פעם שמוסיפים תכונות או רכיבים חדשים לאתר, הדבר מציג גם פוטנציאל לפגיעות שעלולה להיות מנוצלת. יש לשקול כל רכיב שמתקינים (או רוצה להתקין) ולשאול השאלות הבאות: האם אני באמת זקוק לתוסף, נושא או רכיב זה? האם לספק התוכנה יש תוכנית ניטור ועדכוני גירסה אם נחשפת פגיעות? האם יש תיקונים ופרסומים תכופים והאם מפתחי התוכנה מציבים אבטחה בעדיפות גבוהה? האם יש PATCHES חדשים? האם אני מתכנן לפקח ולהחיל עדכוני אבטחה ברגע שפורסמו?

אם רכיב של צד שלישי הוא האפשרות היחידה לביצוע המשימה, יש להשתמש במקורות אמינים בעלי רקורד של תמיכה ופעילות בפורום, לוודא כי בוצעו עדכונים לאחרונה וכן, כי קיימות ביקורות חיוביות המעידים על אמינות התוסף.

תאימות PCI ותשלומים מאובטחים: הציות ל- PCI אינו מוכתב על ידי היקף העסקאות או מוגבל אך ורק לאחסון, העברה ועיבוד - הוא חל על כל עסק המקבל כרטיסי אשראי! כדי לשמור על תאימות, יש לוודא שאתר מג'נטו עומד בדרישות הבאות כפי שנקבעו על ידי המועצה לתקני אבטחת נתונים בתעשיית כרטיסי התשלום (PCI-DSS).

דרישה 1: בניה ותחזוקת רשת מאובטחת.

דרישה 2: אין להשתמש בברירות מחדל המסופקות על ידי ספק.

דרישה 3: הגנה על נתוני בעל כרטיס האשראי.

דרישה 4: הצפנת העברת נתוני מחזיק כרטיס האשראי.

דרישה 5: קיום תוכנית לניהול פגיעויות.

דרישה 6: פיתוח ותחזוקה של מערכות ויישומים מאובטחים.

דרישה 7: הגבלת הגישה לנתוני מחזיקי כרטיסי האשראי לפי הצורך העסקי לדעת.

דרישה 8: זיהוי ואימות גישה לרכיבי מערכת.

דרישה 9: יישום אמצעי בקרת גישה חזקים.

דרישה 10: מעקב אחר כל גישה למשאבי רשת ונתוני מחזיקי כרטיסי האשראי.

דרישה 11: בדיקה קבועה של מערכות ותהליכי אבטחה.

דרישה 12: הקפדה על מדיניות אבטחת מידע.

יש לציין כי חנויות מקוונות רבות משתמשות בשער תשלומים אמין כדי לסייע בתהליך ביצוע תשלומים וכרטיסי אשראי. הדבר אמנם יכול לעזור לעמוד במספר דרישות PCI, אבל אין זה אומר כלל כי קיימת תאימות PCI מלאה!