Из высокопрофессиональных хаков крупных компаний, чтобы просочились фотографии знаменитостей, к откровениям о том, что российские хакеры, вероятно, повлияли на президентские выборы в 2016 году в США, реальность такова, что мы живем в страшное время, когда дело касается онлайн-безопасности.
Если вы являетесь владельцем или даже просто лицом, ответственным за веб-сайт, цифровая безопасность - это то, что вы абсолютно должны знать о плане. Эти знания должны охватывать две ключевые области:
- Как вы защищаете информацию, которую вы получаете от клиентов на своем веб-сайте
- Безопасность самого сайта и серверов, на которых он размещен.
В конечном итоге, некоторые люди должны будут играть определенную роль в безопасности вашего сайта. Давайте рассмотрим на высоком уровне то, что вам нужно знать о безопасности веб-сайта, чтобы вы могли убедиться, что все, что можно сделать для защиты этого сайта, выполняется правильно.
Защита информации ваших посетителей и клиентов
Одним из важных аспектов безопасности веб-сайта является обеспечение безопасности и защиты данных ваших клиентов. Это вдвойне верно, если ваш сайт собирает любую личную информацию или PII. Что такое PII? Чаще всего это принимает форму номеров кредитных карт, номеров социального страхования и даже адресной информации. Вы должны защитить эту конфиденциальную информацию во время принятия и передачи ее от клиента к вам. Вы также должны защитить его после получения его в отношении того, как вы обрабатываете и храните эту информацию в будущем.
Когда дело доходит до безопасности веб-сайта, самым простым примером для рассмотрения является интернет-магазины / сайты электронной торговли. Эти сайты должны будут получать информацию о платежах от клиентов в виде номеров кредитных карт (или, возможно, информацию PayPal или какой-либо другой онлайн-платежный автомобиль). Передача этой информации от клиента вам должна быть обеспечена. Это делается с помощью сертификата «уровня защищенных сокетов» или «SSL». Этот протокол безопасности позволяет передавать информацию, которая будет зашифрована, поскольку она идет от клиента к вам, чтобы любой, кто перехватывает эти передачи, не получит полезную финансовую информацию, которую они могут украсть или продать другим. Любое программное обеспечение для покупок в сети будет включать такую защиту. Он стал отраслевым стандартом.
Так что, если ваш сайт не продает товары в Интернете? Вам все еще нужна безопасность для передач? Ну, если вы собираете какую-либо информацию от посетителей, включая имя, адрес электронной почты, почтовый адрес и т. Д., Вам следует серьезно подумать о защите этих передач с помощью SSL. На самом деле нет недостатка в этом, кроме небольших затрат на покупку сертификата (цены варьируются от $ 149 / год до немногим более $ 600 / год в зависимости от типа сертификата, который вам нужен).
Обеспечение безопасности вашего сайта с помощью SSL также может принести пользу вашим рейтингам в поисковой системе Google. Google хочет удостовериться, что страницы, которые они доставляют, являются подлинными и поддерживаются фактическими компаниями, для которых сайт якобы предназначен. SSL помогает аутентифицировать, откуда приходит страница. Вот почему Google рекомендует и поддерживает сайты под SSL.
В заключительной записке о защите информации о клиенте помните, что SSL будет шифровать только файлы во время передачи. Вы также несете ответственность за эти данные, как только они достигнут вашей компании. Способ обработки и хранения данных клиента так же важен, как и безопасность передачи. Это может показаться сумасшедшим, но на самом деле я видел компании, которые распечатывали информацию о заказе клиента и сохраняли жесткие копии файлов в случае возникновения каких-либо проблем. Это явное нарушение протоколов безопасности и в зависимости от состояния, в котором вы работаете, вы можете оштрафовать значительную сумму денег за такое нарушение, особенно если эти файлы в конечном итоге были скомпрометированы. Нет смысла защищать данные во время передачи, но затем распечатать эти данные и оставить их легко доступными в небезопасном офисе!
Защита файлов вашего сайта
На протяжении многих лет большинство наиболее распространенных веб-сайтов и хакеров данных привлекали к тому, чтобы кто-то крал файлы у компании. Это часто делается путем атаки на веб-сервер и получения доступа к базе данных о клиентах. Это еще один аспект безопасности веб-сайта, о котором вы должны беспокоиться. Даже если вы правильно шифруете данные клиента во время передачи, если кто-то может взломать ваш веб-сервер и украсть ваши данные, у вас проблемы. Это означает, что компания, в которой вы размещаете файлы своего сайта, также должна играть определенную роль в безопасности вашего сайта.
Слишком часто компании покупают хостинг веб-сайтов по цене или удобству. Подумайте о своем собственном хостинге и о компании, с которой вы работаете. Возможно, вы принимали участие в этой же компании в течение многих лет, поэтому оставаться там легче, чем переезжать в другое место. Во многих случаях веб-команда, что ваш прокат для проекта сайта рекомендует хостинг-провайдеру, и компания просто соглашается с этой рекомендацией, поскольку у них нет никакого реального мнения по этому вопросу. Это не должно быть так, как вы выбираете хостинг веб-сайтов. Хорошо спросить рекомендацию у вашей веб-команды, но обязательно выполняйте свою должную осмотрительность и спросите о безопасности сайта. Если вы получаете аудит безопасности своего веб-сайта и бизнес-практики, взгляд на вашего хостинг-провайдера обязательно будет частью этой оценки.
Наконец, если ваш сайт построен на CMS (системе управления контентом), тогда есть имена пользователей и пароли, которые предоставят вам доступ к сайту и позволят вам вносить изменения в свои веб-страницы.Обязательно обеспечьте этот доступ с помощью надежных паролей таким образом, чтобы у вас была другая важная учетная запись. На протяжении многих лет я видел, как многие компании используют слабый, легко разбиваемый пароль для своего веб-сайта, думая, что никто не захочет взламывать их страницы. Это принятие желаемого за действительное. Если вы хотите, чтобы ваш сайт защищался от кого-либо, желающего добавить несанкционированные изменения (например, недовольный бывший сотрудник, надеясь получить мерительство в организации), убедитесь, что вы заблокировали доступ к сайту соответствующим образом.
