Zeven handvaten om uw webshop te beveiligen

Tom Obdam •  6 april 2017

De laatste maanden, of misschien zelfs jaren, verschijnen er regelmatig berichten in het nieuws over hacken. Een zeer recent tot de verbeelding sprekend voorbeeld is de berichtgeving over de inmenging van Rusland in de verkiezingen in Amerika. Het lijkt erop dat zelfs overheden het niet voor elkaar krijgen om hun gegevens voldoende te beschermen tegen kwaadwillenden. Zelfs overheidsinstellingen die gespecialiseerd zijn in beveiliging en geheimhoudingen blijken ‘hack-baar’ te zijn, getuige de informatie die Wikileaks heeft weten te bemachtigen.

Het is een utopie dat gegevens tegen iedereen te beveiligen zijn. Er zijn altijd specialisten die mogelijkheden zien om in te breken. Maar dat is natuurlijk geen reden om er niet alles aan te doen om de gegevens van klanten te beschermen. Het beschermen van de gegevens van uw klanten is namelijk een verantwoordelijkheid die ieder bedrijf heeft vanuit fatsoen. Elke consument heeft recht op privacy en mag er vanuit gaan dat bedrijven vertrouwelijk omgaan met haar gegevens.

Wet Meldplicht Datalekken
De wetgever probeert dat al jaren in wisselende wetgevingen vast te leggen, waarbij de Wet Meldplicht Datalekken de laatste variant is. Een belangrijk onderdeel van die wet is de meldplicht wanneer onbevoegden toegang hebben gekregen tot gegevens van klanten. Een lek op zich is al vervelend, en dan zorgt de meldplicht er ook nog voor dat iedereen er van op de hoogte is. Wanneer in het openbaar bekend is dat er een datalek bij een webshop is geweest, dan is dat natuurlijk negatief voor het beeld dat consumenten van die webshop hebben. Kortom, er zijn voldoende redenen om het beveiligen van de e-commerce omgeving serieus te nemen.

Handvatten voor webshop beveiliging
Webshop beveiliging zit op meerdere niveaus:

E-commerce platform
De e-commerce software dient veilig te zijn. Die veiligheid zit in:

1. Opslag van data
Wanneer de gegevens van consumenten die worden bewaard versleuteld worden opgeslagen in de database, is het voor onbevoegden lastig om klantgegevens te lezen wanneer ze zich toegang hebben verschaft tot de database.

2. Toegang tot de database
Een webshop is een applicatie die gebruik maakt van een database. Voor toegang tot die database is een gebruiker met een wachtwoord nodig. Voor de content management omgeving zijn vaak meer rechten nodig dan voor de website omgeving. Het is dus verstandig om daar aparte gebruikers met eigen rechten voor in te stellen.

3. Communicatie met (onderdelen van) het e-commerce platform
Nagenoeg elke serieuze webshop communiceert met systemen in de backoffice van de organisatie. Bijvoorbeeld voor voorraad, het verwerken van de orders of het communiceren van klantgegevens. Communicatie verloopt in grote lijnen op twee manieren: er worden berichten uitgewisseld of er worden bestanden uitgewisseld. Omdat de communicatie bijna altijd over internet verloopt is het belangrijk om het uitwisselen van berichten en bestanden goed te beveiligen.

4. Open source
Een deel van webshop software is open source. Omdat de broncode van dergelijke software voor iedereen inzichtelijk is, is het voor kwaadwillenden mogelijk om de zwakke plekken op te sporen. Dat wordt veelvuldig gedaan en van de zwakke plekken wordt dus veel gebruik gemaakt.

5. Inrichting hostingomgeving
De infrastructuur en de partij die dat verzorgt spelen een belangrijke rol in de veiligheid van de klantgegevens van de webshop. Een database die direct toegankelijk is via internet is altijd minder veilig dan een database die alleen te benaderen is vanaf de webserver.

6. Bouw webshop
Elke bouwer van een webapplicatie heeft de verantwoordelijkheid om een veilige applicatie te bouwen. Er is voldoende bekend over hoe dat moet. Bij het kiezen van een bouwer is het daarom belangrijk om te vragen hoe zij dat aanpakken.

7. Organisatie
De belangrijkste oorzaken bij datalekken, hacks en fraude zijn niet fouten in de techniek, maar dat zijn de mensen die er mee werken. Slordig omgaan met wachtwoorden, USB-sticks, laptops of gewoon bewuste diefstal of fraude komen helaas nog heel veel voor. Een mogelijke oplossing hiervoor is het kiezen voor e-commerce software waar de beheeromgeving kan omgaan met meerdere rollen. Het aanmaken van vouchers of het aanpassen van orders kunnen bijvoorbeeld fraudegevoelig zijn en dienen dus bij de juiste medewerkers te liggen.

De e-commerce security van ecManager
Wat doet ecManager onder andere om de beveiliging te waarborgen? Binnen ecManager is webshop beveiliging een geïntegreerd onderdeel van het e-commerce platform. Dit houdt in dat alle calls naar het platform, waaronder ook de koppelingen met externe systemen, geautoriseerd worden. Binnen ecManager kan per rol bepaald worden welke entiteiten gelezen, bewerkt of verwijderd mogen worden. Tenslotte hebben toonaangevende partijen zoals SIG en PWC door middel van uitgevoerde audits de beveiliging en betrouwbaarheid van ecManager onderschreven.

Benieuwd wat ecManager voor u kan betekenen?