Planujesz e-biznes? Mądrze wybierz dostawcę hostingu

Zobacz na co zwracać uwagę przy wyborze firmy hostingowej, co to jest certyfikat SSL i dlaczego jest tak ważny dla prowadzenia biznesu w Internecie oraz jak zabezpieczają się polskie e-sklepy.

Przedsiębiorcy prowadzący biznesy w Internecie muszą borykać się z poważnymi zagrożeniami. Co ciekawe, najmniej problematyczne są kwestie związane z płatnościami online - większa bolączka to phishing (oszustwa, kradzież marki, podszywanie się pod inną firmę) oraz niebezpieczeństwa związane z możliwością utraty danych.

Na phishingu przedsiębiorca nie traci bezpośrednio - traci natomiast jego marka, gdy poprzez witrynę upodobnioną do jego serwisu zostaną przechwycone dane osobowe klientów, ich loginy i hasła, czy wręcz zostaną wyłudzone płatności. Utrata reputacji marki w takiej sytuacji jest pewna i natychmiastowa, a co najważniejsze trudna do odbudowania.

Z kolei utrata danych bywa owocem lekceważenia przez właścicieli tego problemu, np. gdy pierwszym i jedynym kryterium wyboru dostawcy usług internetowych jest cena (klienci rzadko zwracają uwagę czy usługodawca tworzy kopie zapasowe danych oraz jak długo je przechowuje) lub gdy w firmie nie przywiązuje się wagi do właściwej polityki bezpieczeństwa. Bywa, że wiele osób korzysta jednocześnie ze wspólnego loginu do panelu administracyjnego e-sklepu czy portalu. To uniemożliwia kontrolę dokonywanych zmian oraz weryfikację kto jest odpowiedzialny za ewentualny wyciek danych.

Źródeł wycieku danych może być więcej: brak zabezpieczenia bazy danych albo jej niewystarczające zabezpieczenie (np. słabe hasło, które można w prosty sposób złamać tzw. metodą słownikową) ale też np. utrata pamięci przenośnej na której właściciel e-biznesu miał zrobiony zrzut bazy danych np. w formie niezabezpieczonego hasłem pliku Excel.

Co zatem można doradzić małym (jedno- lub kilkuosobowym firmom) bądź osobom dopiero planującym rozpoczęcie działalności gospodarczej w Sieci w zakresie zabezpieczenia e-biznesu?

PC World Special - Zarabiaj w Sieci

W sprzedaży jest już numer specjalny magazynu PC World poświęcony biznesowi internetowemu: Zarabiaj w Sieci.

W wydaniu zamieściliśmy m.in. obszerny artykuł dotyczący polskiego rynku hostingowego, do którego odsyłamy wszystkich zainteresowanych tematyką usług hostingu i rejestracji domen, jak również osoby zamierzające postawić w Sieci swoje pierwsze biznesowe kroki.

W tekście znajdziecie porady, na co zwracać uwagę wybierając plan hostingowy, porównanie opcji hostingowych oraz zestawienia ofert poszczególnych usługodawców.

Magazyn PC World Special - Zarabiaj w Sieci to także poradnik, jak założyć własny sklep internetowy (i z jakiej platformy w tym celu skorzystać) oraz przewodnik po dostępnych formach płatności.

Przykazania e-biznesmena

Przede wszystkim - warto wybrać dobrego hostingodawcę. Jak wyjaśnia Szczepan Rędzioch, specjalista ds. bezpieczeństwa w Supermarkecie Usług Internetowych (uti.pl), należy zwrócić przede wszystkim uwagę na długość przetrzymywania kopii zapasowych danych, a nie kierować się wyłącznie ilością dostępnej przestrzeni dyskowej (nieduże e-sklepy rzadko wykorzystują ją nawet w 50 procentach). "Warto porównywać oferty nie tylko dużych hostingodawców, ponieważ nie zawsze znajdujemy u nich najkorzystniejszą ofertę dla biznesu. Na rynku jest dostępnych wiele ofert spełniających wyższe standardy bezpieczeństwa w korzystnych cenach."

Michał Sztąberek - prawnik i audytor w firmie iSecure, specjalizującej się w doradztwie w zakresie ochrony danych osobowych - jest tego samego zdania. W sytuacji, gdy większość przedsiębiorców prowadzących swój biznes w Internecie nie posiada własnej infrastruktury IT niezbędnej do założenia sklepu internetowego czy portalu społecznościowego i musi korzystać z outsourcingu np. wykupując hosting, zlecając przygotowanie strony WWW, kwestia wyboru nabiera szczególnego znaczenia.

Najprostszą metodą weryfikacji będzie w tym przypadku poproszenie dostawcy o to, by podpisał z przedsiębiorcą tzw. umowę powierzenia przetwarzania danych osobowych. Dokument ten określa cel i zakres powierzenia danych na zewnątrz, a także zawiera zapisy dotyczące stosowania przez firmę zewnętrzną środków technicznych i organizacyjnych, które odpowiadają wymogom z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. "Odmowa podpisania takiego dokumentu może oznaczać albo brak świadomości np. hostingodawcy w zakresie istnienia jakichkolwiek wymogów prawnych i technicznych w tym zakresie albo strach przed wzięciem na siebie takiej odpowiedzialności" - wyjaśnia Sztąberek

Drugą metodą weryfikacyjną będzie skierowanie do firmy hostingowej prośby o udostępnienie informacji o zabezpieczeniach stosowanych w ramach serwerowni i hostowanej w niej bazie danych. Tego typu informacje są potrzebne przedsiębiorcy prowadzącemu e-biznes do przygotowania wniosku rejestracyjnego do Generalnego Inspektora Ochrony Danych Osobowych. "Dobry i solidny partner, pewny swojego biznesu (a tym samym spełniający wymogi, o których tu mowa) przekaże potrzebne informacje" - zapewnia prawnik.

"Koszty zabezpieczenia e-biznesu są znacznie niższe od potencjalnych strat, które możemy ponieść w wyniku zagrożenia. Wartość podstawowych zabezpieczeń to kilkadziesiąt, maksymalnie kilkaset złotych rocznie - czyli kilkadziesiąt razy mniej niż pensja jednego pracownika."

Dopilnujmy, by połączenie przy logowaniu, rejestracji klientów oraz pracowników było szyfrowane i zabezpieczone choćby najprostszym certyfikatem SSL.

Z kolei przy wyborze oprogramowania do obsługi sklepu internetowego należy zrezygnować z prostych skryptów na aukcjach internetowych. Znacznie bezpieczniejsze jest korzystanie ze znanych rozwiązań open source takich jak Magento czy PrestaShop - zapewnia Szczepan Rędzioch.

Dobrze jest wykupić domeny zbliżone do głównej domeny naszego sklepu (np. różniące się końcówkami: .pl, .com, .eu itp.). Zabezpieczy to przynajmniej częściowo przed wykupieniem ich przez inne podmioty w celu podszywania się pod markę. Pozwoli także przekierować klientów do sklepu mimo wpisania innej nazwy domeny.

Jak zweryfikować poziom bezpieczeństwa witryny
SSL Analyzer

SSL Analyzer

SSL Analyzer to bezpłatne narzędzie udostępnione przez firmę Comodo, pozwalające ocenić poziom bezpieczeństwa informacji przesyłanych za pośrednictwem danej witryny. Po wpisaniu adresu domeny w polu wyszukiwania można uzyskać szczegółowe informacje na temat domeny, certyfikatu SSL oraz oprogramowania serwera, w tym: poziom weryfikacji certyfikatu, siłę podpisu cyfrowego, włączone protokoły bezpieczeństwa i szyfrowanie obsługiwane przez serwer.

Komu potrzebny SSL

Wspomniany już protokół komunikacyjny SSL (Secure Socket Layer) służy do szyfrowania przesyłanych informacji tekstowych, ma zatem kluczowe znaczenie w zabezpieczaniu przepływu poufnych danych prywatnych lub finansowych. Do dużych podmiotów gospodarczych, takich jak banki, platformy sprzedażowe czy towarzystwa ubezpieczeniowe - od dawna korzystających z tego rozwiązania - dołącza coraz więcej firm z sektora MSP.

Jakość szyfrowania gwarantują certyfikaty wydawane przez Centra Certyfikacji (CA - Certification Authority). Ważną zaletą certyfikatów SSL jest gwarantowane ubezpieczenie na wypadek poniesienia strat finansowych użytkowników serwisu WWW wynikających z wycieku szyfrowanych danych.

Jak wybrać certyfikat SSL

Przedsiębiorstwa mogą dobrać certyfikat SSL dopasowany do potrzeb i profilu działalności - rozwiązań takich istnieje całkiem sporo, podobnie jak firm wydających certyfikaty (Comodo, GeoTrust, Rapid SSL czy Verisign). Przykładowo - do ochrony małego portalu internetowego lub do zastosowań wewnątrzfirmowych z powodzeniem nadaje się certyfikat typu Domain Validation - potwierdza on, że firma lub osoba ubiegająca się o wydanie go sprawuje kontrolę nad domeną. Jest to najtańszy z dostępnych certyfikatów SSL (ceny zaczynają się od 35 zł rocznie).

Propozycja dla przedsiębiorców prowadzących większe serwisy WWW lub sklepy internetowe to certyfikat typu Organization Validated - na etapie jego wydawania weryfikowane są dodatkowo dane właściciela serwisu (zapisywane następnie w certyfikacie). Roczny koszt takiego certyfikatu to co najmniej 170 zł rocznie.

Z kolei najbardziej prestiżowe, a zarazem najrzadziej wykorzystywane, są certyfikaty typu Extended Validation, skierowane do dużych przedsiębiorstw, np. instytucji finansowych oraz wielkich portali wymagających dodatkowego uwierzytelnienia. Weryfikacji podlega domena, jej właściciel oraz jego dane, a informacja o właścicielu jest prezentowana w formie znajomego zielonego paska w polu adresu URL przeglądarki internetowej. Certyfikaty EV to wydatek od 800 zł rocznie.

Warto pamiętać, że certyfikat SSL w standardowej postaci zabezpiecza jedynie domenę główną (np. adresstrony.pl) oraz - w niektórych wypadkach - subdomenę WWW (www.adresstrony.pl). Jeżeli zachodzi potrzeba objęcia ochroną innych subdomen (przykładowo - www.sklep.adresstrony.pl) właściciel witryny powinien zamówić certyfikat typu wildcard. Opcja ta dostępna jest dla certyfikatów DV oraz OV i zwiększa koszt ich wydania.

Hostingodawcy sami dobrze wiedzą, ile znaczy dobry SSL. Przykładowo, firma home.pl wprowadziła niedawno do oferty rozwiązanie homeSSL (wydawane przez spółkę GlobalSign). Certyfikat ten zabezpiecza zarówno adresy z i bez "www", współpracuje z urządzeniami mobilnymi oraz niektórymi konsolami gier i można go zainstalować na dowolnej liczbie serwerów bez dodatkowych kosztów.

Jak zabezpieczają się polskie e-sklepy?

Część dużych i znanych sklepów internetowych np. komputronik.pl, empik.com, euro.com.pl zabezpieczyło swoje sklepy certyfikatem klasy przynajmniej Organization Validated.

Przeglądając sklepy internetowe z różnych branż można łatwo zauważyć, że firmy działające w branży IT (np. sklepy komputerowe) częściej wykorzystują szyfrowane połączenie podczas rejestracji i logowania, niż sklepy z innych branż - mówi Szczepan Rędzioch z uti.pl. "Warto zauważyć, że szyfrowanie włączone jest także w mniej popularnych sklepach z tej branży. Wynika to najprawdopodobniej z większej świadomości ich właścicieli, a pewno pośrednio także większej świadomości ich klientów".

Inna tendencja jest taka, że im mniejszy sklep, tym gorsze posiada zabezpieczenia - najczęściej całkowity brak szyfrowania. Niestety czasem nawet duże sklepy nie dbają o kwestię zabezpieczeń.

Spójrzmy bowiem na ranking sklepów internetowych sporządzony portal Money.pl.

Firma neo24.pl (2. miejsce w kategorii Elektronika/AGD) chroni swój sklep najtańszym certyfikatem wildcard (wydawca - RapidSSL). W wersji dla jednej domeny ten certyfikat kosztuje ok. 50 zł rocznie. "Brak certyfikatu OV jest co najmniej zastanawiający w przypadku tak dużego sklepu" - przyznaje Szczepan Rędzioch.

W sklepach intymna.pl, e-lady.pl i intymnie.com (trzy pierwsze miejsca w kategorii Moda) brak szyfrowania przy rejestracji i logowaniu. To samo niedopatrzenie występuje też w sklepie gandalf.com.pl (1. miejsce w kategorii Kultura i Rozrywka), travelplanet.pl (1. miejsce w kategorii Podróże) oraz tagomago.pl (1. miejsce w kategorii Zdrowie i uroda).

"Jeśli weźmiemy pod uwagę, że rynek zakupów online jest szacowany na kilkanaście miliardów złotych, trudno zrozumieć, dlaczego najpopularniejsze sklepy i serwisy nie dopilnowały tak podstawowej kwestii bezpieczeństwa. Na uwagę zwraca również fakt niskiej świadomości konsumentów dokonujących transakcji online na temat potrzeby zabezpieczania prywatnych danych osobowych" - ocenia reprezentant uti.pl.

Komentarz

Szansę powodzenia na dłuższą metę ma ten przedsiębiorca, który buduje swój e-biznes na solidnym fundamencie. Eksperci są co do tego zgodni - takim fundamentem jest zapewnienie przedsiębiorstwu właściwej infrastruktury IT (zakup lub wydzierżawienie w modelu outsorcing) oraz wdrożenie odpowiednich polityk bezpieczeństwa. Z różnych powodów firmy nie zawsze wykazują się pod tym względem wymaganą pieczołowitością, licząc, że "jakoś to będzie", a nawet jeśli ich właściciele słyszeli o zagrożeniach związanych z wymianą informacji online, sądzą że im żadne wpadki na pewno się nie przytrafią.

Co sądzicie na ten temat? Czy pomysł na e-biznes jest ważniejszy niż jego realizacja?


Zobacz również