Para proteger (y asegurar) a sus clientes, es importante saber cómo proteger su negocio electrónico y los datos de sus clientes. Los expertos en comercio electrónico y seguridad comparten 15 tips sobre cómo usted puede prevenir le fraude y mantener seguro su sitio.
No hay día en que no escuchamos sobre alguien o algún grupo que viola un sitio web o roba información de tarjetas de crédito y otros datos sensibles de los sitios de comercio electrónico.
Entonces, ¿cómo proteger su sitio de comercio electrónico para que no sea hackado y no se robe información sensible de los clientes? CIO.com consultó a decenas de expertos en seguridad y comercio electrónico para saberlo. A continuación, sus 15 tips para protegerse contra los hackers y los fraudes.
1. Elija una plataforma de comercio electrónico segura. “Ponga su sitio de comercio electrónico sobre una plataforma que utilice un lenguaje de programación orientado a objetos sofisticado”, sugiere Shawn Hess, gerente de desarrollo de software de VoIP Supply.
“Hemos utilizado muchas plataformas de comercio electrónico de código abierto diferentes en el pasado y una que estamos usando ahora es, por el momento, la más segura”, señala Hess. “Nuestro panel de administración es inaccesible para los hackers porque sólo está disponible en nuestra red interna y la quitamos por completo de nuestros servidores a los que tiene acceso el público. Además, tiene una autenticación secundaria que valida a los usuarios con nuestra red Windows interna”.
2. Utilice una conexión segura para la revisión en línea – y asegúrese que cumple con PCI. “Utilice una autenticación SSL [Secure Sockets Layer] robusta para la protección de la Web y los datos”, dice Rick Andrews, director técnico de Trust Services de Symantec.
“Puede ser un acto de fe para que los clientes confíen en que su sitio de comercio electrónico es seguro, en particular cuando los ataques basados en la Web se incrementaron 30 por ciento el año pasado. Así que es importante usar certificados SSL “para autentificar la identidad de su negocio y encriptar los datos en tránsito”, señala Andrews. “Esto protege a su compañía y a sus clientes para que su información financiera o importante no sea robada”. Aún mejor: “Integre una EV SSL [Extended Validation Secure Sockets Layer] más robusta, una barra verde para el URL y el sello de seguridad SL para que los clientes sepan que su sitio web es seguro”.
“Los certificados SSL deben estar en las transacciones”, señala Hess. “Para validar nuestras tarjetas de créditos usamos una terminal de pago que utiliza servicios de verificación de dirección directamente cuando pagamos”, añade. “Esto evita las compras fraudulentas al comparar la dirección capturada en línea con la dirección que tienen archivada con su compañía de tarjeta de crédito”.
3. No almacene datos sensibles. “No hay razón para almacenar cientos de registros de sus clientes, especialmente los números de tarjetas de crédito, fechas de expiración y los códigos CVV2”, dice Chris Pogue, director de Forense Digital y Respuesta a Incidentes de Trustwave.
“De hecho, está estrictamente prohibido por los PCI Standards,” dice Pogue. Recomienda purgar los viejos registros de su base de datos y mantener una cantidad mínima de datos, sólo los suficientes para las devoluciones y reembolsos. “El riesgo de una brecha sopesa la conveniencia de sus clientes en el momento de pagar”, dice. “Si usted no tiene nada que le roben, no le robarán”.
4. Utilice una dirección y un sistema de verificación de tarjetas. “Habilite un sistema de verificación de direcciones (AVS) y exija al valor de verificación de tarjetas (CVV) para las transacciones con tarjetas de crédito para reducir los cargos fraudulentos”, sugiere Colin O’Dell, desarrollador líder de Magento de Unleashed Technologies.
5. Exija contraseñas robustas. “Si bien es responsabilidad del vendedor mantener segura la información de los clientes en el back-end, usted puede ayudar a los clientes a ayudarse al requerir un número mínimo de caracteres y el uso de símbolos o números”, señala Sarah Grayson, gerente de mercadotecnia del Grupo de Seguridad Web de McAfee. “Las contraseñas más largas y complejas le dificultará a los criminales violar su sitio desde el front-end”, dice.
6. Configure el sistema para que mande alertas sobre la actividad sospechoso. “Configure una alerta para transacciones múltiples y sospechosas que vengan de la misma dirección IP”, sugiere Deric Loh, director de la agencia digital Vault Labs. De igual forma, configure alertas del sistema para “múltiples órdenes hechas por la misma persona usando diferentes tarjetas de crédito, números telefónicos que sean de diferentes áreas que la dirección de facturación, y órdenes en las que el nombre del receptor sea distinto al del nombre en la tarjeta de crédito”.
7. Refuerce su seguridad. “Una de las mejores formas de mantener seguro su negocio es fortaleciendo su seguridad”, comenta Grayson. “Comience con los firewalls, un aspecto esencial para detener a los atacantes antes de que puedan violar su red y tener acceso a su información crítica”. En seguida, dice, “añada capas extra de seguridad al sitio web y a las aplicaciones como formas de contacto, cuadros de inicio de sesión y búsquedas”. Estas medidas “asegurarán que su entorno de comercio electrónico esté protegido contra los ataques al nivel de aplicaciones como las inyecciones de SQL y cross-site scripting (XSS)”.
8. Capacite a los empleados en seguridad. Los empleados “necesitan saber que nunca deberían enviar por correo electrónico o por mensajes de texto datos sensibles o revelar información privada de los clientes en sesiones de chat pues ningunos de estos métodos de comunicación es seguro”, dice Jayne Friendland Holland, director de seguridad y consejero general asociado de la firma de tecnología NIC Inc..
“Los empleados también necesitan ser educados sobre las regulaciones y políticas que afectan a los datos de los clientes y ser capacitados en las acciones necesarias para mantenerlos seguros”, apunta Holland. Finalmente, “utilice protocolos y políticas estrictas para reforzar e invitar a los empleados a apegarse a las prácticas de seguridad obligatorias”.
9. Utilice números de seguimiento para todas las órdenes. “Para combatir el fraude por cargos a tarjetas de crédito, tenga los números de seguimiento de cada orden que envía”, sugiere Jon West, CEO de AddShoppers, una plataforma de comercio social para retailers. “Esto es particularmente importante para las tiendas que envían mercancía”.
10. Monitoree regularmente su sitio – y asegúrese de que quien lo esté hospedando también lo haga. “Tenga siempre una herramienta de analítica en tiempo real”, dice Punit Shag, director de mercadotecnia de la joyería en línea My Trio Rings. “Es el equivalente a instalar cámaras de seguridad en su tienda. Herramientas como Woopra o Clicky le permiten observar cómo están navegando los visitantes e interactuando con su sitio en tiempo real, lo que le permite detectar el comportamiento fraudulento o sospechoso. “Con herramientas como estas incluso recibimos alertas en nuestros teléfonos cuando hay una actividad sospechosa, lo que nos permite actuar rápidamente e impedir que se haga algún daño”.
Asimismo, asegúrese de que quien esté hospedando su sitio de comercio electrónico “monitoree regularmente sus servidores para detectar malware, virus y otro software dañino”, señala Ian Rogers, SEO y desarrollador Web de Mvestor Media, una compañía de diseño de sitios Web. “Pregunte a su actual servicio de hospedaje Web si tienen un plan que incluya por lo menos el análisis, detección y eliminación diarios de malware y virus en el sitio Web”.
11. Realice análisis PCI regular. “Realice análisis PCI trimestrales mediante servicios como Trustware para reducir el riesgo de que su plataforma de comercio electrónico sea vulnerable a los intentos de hackeo” sugiere West. “Si está usando software descargado de un tercero como Magento o PrestaShop, esté al día con las nuevas versiones que contienen mejoras en cuestiones de seguridad”, señala. “Unas horas de desarrollo hoy pueden salvar a su negocio en el futuro”.
12. Parchee sus sistemas. “Parchee todo inmediatamente – literalmente el día que se libera una nueva versión”, dice Kyle Adams, arquitecto de software de Junos WebApp Segure de Juniper Networks. “Eso incluye al servidor Web, así como al código de terceros como Java, Python, Perl, WordPress y Joomla, que son los blancos preferidos de los atacantes”.
“Constantemente, los sitios comprometidos corren una versión de tres años de antigüedad de PHP o ColdFusion de 2007”, señala Pogue. Es muy importante instalar parches en todo el software: “Sus aplicaciones Web, Xcart, OSCommerce, ZenCart y todas las que necesitan parcharse regularmente”.
13. Asegúrese de tener una protección contra DDoS y un servicio de mitigación. “Conforme los ataques DDoS aumentan su frecuencia, su sofisticación y la gama de objetivos, los sitios de comercio electrónico deben recurrir a la protección contra DDoS y servicios DNS administrados basados en la nube para ofrecer la capacidad transaccional para manejar la mitigación proactiva y eliminar la necesidad de inversiones importantes en equipo, infraestructura y conocimiento”, apunta Sean Leach, vicepresidente de Tecnología de Verisign.
“La nube ayudará a las empresas de comercio electrónico a reducir costos operativos al tiempo de fortalecer sus defensas para impedir incluso los ataques más grandes y más complejos”, argumenta. “Además, un servicio de hosteo de DNS basado en la nube puede ofrecer una resolución de DNS de 100 por ciento, mejorando la disponibilidad de los sistemas basados en Internet que soportan las transacciones y comunicaciones en línea”.
14. Considere un servicio de manejo de fraudes. “El fraude sucede. Y para los vendedores, la mejor solución es asegurarse de que no lo tome por sorpresa”, dice Bob Egner, vicepresidente de Administración de Productos de EPiServer, una compañía de productos de administración de contenido y de comercio electrónico .NET. “La mayoría de las compañías de tarjetas de crédito ofrecen servicios de administración de fraudes y de administración de cargos. Este es un enfoque práctico porque la mayoría de los expertos de seguridad saben que no existe el concepto de 100 por ciento seguro”.
15. Asegúrese de que quien hospeda su sitio lo respalde – y que tenga un plan de recuperación de desastres. “Los resultados de un estudio reciente de Carbonite reveló que las empresas tienen grandes brechas en sus planes de respaldo de datos – lo que las pone en riesgo de perder información valiosa en caso de un apagón, de una falla del disco duro o incluso de virus”, dice David Friend, CEO de Carbonite. Para asegurarse de que su sitio esté protegido adecuadamente, respáldelo regularmente; o asegúrese de que su servicio de hospedaje lo haga.
– Jennifer Lonoff Schiff es colaboradora de CIO.com y propietaria del sitio de comercio electrónico PrepsterPineapple.com.
