Så skapar du en säker e-handel

En trygg och säker digital kundupplevelse

Kunden måste känna att hos dig är köpet och den data som kunden lämnar ifrån sig i trygga händer. Det är därför viktigt att ditt säkerhetstänk syns och genomsyrar hela kundupplevelsen.

Prestanda, responsivitet & pålitlighet

Alla kan nog känna igen upplevelsen av att ha klickat på ”slutför köp” och sedan tar det tid innan något händer. Kanske är det bara några sekunder, men mycket hinner gå igenom huvudet på den lilla tiden.

Vad gör jag om det inte går igenom? Hur länge ska jag vänta? Om det kraschar, hur svårt kommer det vara att lösa?Känns din webshop genomgående snabb? Är den alltid uppe utan avbrott? Och om du har avbrott i driften, kommuniceras det tydligt mot kunderna? Kommer mail från din e-handelsplattform alltid fram när de ska? Om en betalning inte går igenom, är det tydligt för kunden varför? Om man kontaktar din kundtjänst, får man relevanta svar inom rimlig tid (24h)?

Om din webshop upplevs trygg genom hela köpresan, desto tryggare blir besökaren med att handla från dig.

HTTPS – Säker kommunikation

Säker webbtrafik med https har blivit ett måste i dagens internetlandskap. De flesta stora webbläsare idag varnar användaren för siter som inte använder https. Google Chrome markerar t ex en sida som har någon form av inloggning eller betalning som rätt och slätt ”osäker” om inte https används. Att använda korrekt implementerad https på alla siter är en självklarhet idag.

Https är dock inte enbart fernissa, utan i själva verket en mycket central komponent i en säker webb-infrastruktur. Förenklat kan man prata om att https levererar tre stora säkerhetsfunktioner;

• Verifierar webbplatsens

   

  identitet med hjälp av ett certifikat som utfärdas av en betrodd tredje part. Certifikatet intygar för besökaren att det är sitens riktiga ägare du utbyter information med. För företag, och kanske speciellt för e-handlare, som ytterligare vill trygga sin närvaro på webben finns även Extended Validation (EV) som är ett

   

  extra lager validering

   

  som kan beställas av en certifikatutfärdare. Där vanlig validering i princip endast intygar att ja, det är du som äger den här siten, så intygar även ett EV-certifikat validiteten hos det företag som ligger bakom siten.

• Insynsskyddad kommunikation

   

  mellan besökare och webbplats. All data som skickas mellan din webshop och besökare är krypterad och kan inte läsas av tredje part.

• Säkerställer integriteten

   

  hos den information som utbyts mellan din site och dess besökare. Du kan vara trygg med att den data din webshop skickar är den som kommer fram till besökaren, och dina kunder kan vara trygga med att den data de skickar till din webshop är exakt den som kommer komma fram. Data kan inte manipuleras på vägen av tredje part.

Personuppgifter – Att förvalta kundens hemligheter

Som e-handlare sitter du på mycket information om dina kunder, och det ligger på ditt ansvar att du hanterar och använder denna information på ett säkert och ansvarsfullt sätt. Hur lagras kundens uppgifter? Vem har tillgång till denna information? Använder ni säkra vägar för att utbyta information med kunden? Är kunden medveten om vilken information ni sparar, och hur kommunicerar ni, och tar vara på, kundens rättigheter?

Certifiering – Trygg E-handel

Trygg e-handel är en certifiering för svenska nätbutiker som skapats av branschorganisationen Svensk Digital Handel. I certifieringen ingår såväl validering av företaget och dess finansiella stabilitet, som verifiering av säljprocesser, kundtjänst och hantering av kundärenden, korrekta priser och produktbeskrivningar, etc.

En säker e-handelsbackend

Angrepp mot och intrång i dina miljöer är en risk du alltid behöver vara medveten om. Din data är värdefull, och downtime i din e-handel blir fort dyrt. Som e-handlare behöver du en IT-miljö du kan lita på står upp mot trycket.

Ordning och reda i din driftmiljö

Underhålls dina servrar kontinuerligt, och installeras alltid de senaste säkerhetsuppdateringarna? Såväl operativsystem som övriga programvaror behöver hållas så säkra som möjligt. Nya säkerhetsbrister i programvara uppenbarar sig hela tiden, och det gäller att försöka hänga med. Den första försvarslinjen mot intrång är en modern driftmiljö som uppdateras kontinuerligt.

Att löpande få in fixar mot kända säkerhetshål minskar angreppsytorna, och med dagens landskap där vi ser miljonbelopp gå upp i rök världen över på grund av system som inte uppdaterats i tid så måste detta tankesätt vara en självklarhet. Ett ständigt överhängande säkerhetshot är det som kallas för en DDOS-attack (Distributed Denial-Of-Service attack). I korthet handlar det om att en angripare skickar abnormt stora mängder trafik mot din site för att sänka den.

Många internetleverantörer idag erbjuder olika former av DDOS-skydd där de kan filtrera delar av den skadliga trafiken. Att använda sig av en CDN-tjänst (Content Delivery Network) ger en extra försvarslinje eftersom den ligger mellan besökaren och din webshops faktiska IP-adress. Men framför allt är det bästa försvaret vid en DDOS-attack en alert leverantör som snabbt kan identifiera problemet och sätta in åtgärder för att hålla dina siter rullande.

Säker hantering av din och dina kunders data

Din data är värdefull och måste vara säker. Det betyder först och främst att den hanteras säkert och efter sunda principer om minsta möjliga åtkomst (Principle of Least Privilege). Bara de som behöver komma åt verksamhets- och kunddata ska kunna göra det, och bara exakt så mycket som behövs i den kontexten.

Säker hantering av data betyder också en sund struktur för backup och återställning. Backup ska finnas på flera geografiskt och nätverksmässigt åtskilda platser, och det måste finnas en hållbar strategi för återställning vid en katastrof. Hur lång tid tar det att komma upp igen efter ett komplett haveri av hela din driftmiljö? Hur lång tid tillbaka har du råd att förlora data om en katastrof är framme?

Penetrationstestning – Sluta aldrig leta efter svagheter

I ett levande e-handelssystem tillkommer ny funktionalitet ständigt. Samtidigt uppkommer nya säkerhetshål och nya tekniker för angripare hela tiden. Säkerhetslandskapet förändras, därför kan man aldrig vila. Att löpande leta efter, identifiera och åtgärda säkerhetshål är en absolut nödvändighet för en modern e-handelsplattform idag.

Den mänskliga faktorn – Säkerhetsmedvetenhet i din organisation

I det moderna IT-landskapet måste säkerhet vara allas angelägenhet. Din data är värdefull, och alla individer som deltar i processen har någon form av åtkomst. Därmed är de även en tänkbar måltavla, både för riktade och slumpmässiga angrepp. Därför är det viktigt att säkerhetstänk genomsyrar hela organisationen.

Upp i molnet

Molntjänster erbjuder en flexibilitet och trygghet som är svår att matcha med fysiska miljöer. Georedundant datalagring ger säkerhet när katastrofen är framme. Serverlösa Plattform as a Service-lösningar (PaaS) ger frihet från många problem med opatchade servrar och system. Skalbarheten i molnlösningar ger verktyg för att hantera både naturliga trafiktoppar och DDOS-attacker; att ta fram en ny fysisk server är svårt, att beställa mer resurser i molnet är som mest en knapptryckning bort. För den som vill framtidssäkra sin drift finns många fördelar med ett molnbaserat upplägg, såväl säkerhetsmässiga som praktiska.

Övervakning och beredskap

Att hålla sig uppe 24/7

Downtime kostar. Din webshop behöver vara uppe 24/7, och dina kunder behöver kunna lita på att den är det. Därför behövs övervakning. Får man samma resultat från olika platser, såväl fysiska som nätverksmässiga? Går köp att genomföra i alla lägen? Internet är stort och felkällorna kan vara många, därför behöver du övervakningslösningar som snabbt ger dig en bild av var problem uppkommer, och i vilka skeden.

Incidenter kommer ske – Var förberedd

Bästa försäljningstiden för e-handel är sällan kontorstid. Ett driftavbrott på kvällstid kan vara en dyr historia. Därför behöver du eller din en e-handelsleverantör vara med på noterna när något händer. Med beredskap dygnet runt kan du som e-handlare vara säker på att problem identifieras och åtgärdas när du som mest behöver det, och hålla de kostsamma avbrotten nere.