Seguridad en el comercio electrónico para principiantes: 9 consejos para proteger la información de sus clientes
¿Cómo proteger la información de los clientes de su tienda en línea? Aunque hay una gran cantidad de información disponible sobre el tema de la seguridad de los sitios web, muchos de los artículos disponibles son muy técnicos. Lamentablemente, falta información precisa escrita para un público no técnico. Todo propietario de una tienda online debería tener al menos una comprensión básica de los principios de seguridad. Tanto si eres propietario de un sitio web, diseñador, comercializador (o cualquier otra cosa), este artículo te introducirá en los principios de la seguridad en el comercio electrónico.
Hay dos formas principales de que los datos de los clientes se vean comprometidos: 1) cuando usuarios no autorizados obtienen un nombre de usuario y una contraseña, o 2) cuando los piratas informáticos son capaces de aprovechar un agujero de seguridad del software para acceder a los datos.
Si tu tienda online utiliza una plataforma de software como servicio, como Yahoo Store o Shopify, algunos (pero no todos) de los problemas de seguridad que se enumeran a continuación serán gestionados por tu proveedor de servicios. Si su tienda online utiliza un software de comercio electrónico de código abierto o personalizado, usted será totalmente responsable de todos los aspectos de la seguridad de su sitio web.
1. Un certificado SSL es sólo el comienzo
Muchos usuarios de Internet suponen que un sitio web es totalmente seguro si la dirección comienza por https://. Una dirección de sitio web https:// significa que la conexión entre su ordenador y el sitio web está cifrada por un certificado SSL. Este cifrado impide que los piratas informáticos puedan leer la información de la tarjeta de crédito del comprador mientras se transmite al sitio web, pero no protege los datos una vez que llegan al sitio web y se almacenan en la base de datos del mismo.
En resumen: Necesita un certificado SSL, pero es sólo el comienzo.
2. No confíes en cambiar tus contraseñas
Una investigación realizada por el investigador de Microsoft Cormac Herley descubrió que si un pirata informático obtiene su contraseña, la utilizará inmediatamente, antes de que usted tenga la oportunidad de cambiarla. A pesar de este hallazgo (que es realmente de sentido común), muchos usuarios de la web creen que cambiar su contraseña de forma regular protegerá sus cuentas y datos.
En resumen: Cambiar las contraseñas no hace daño, pero nunca cuente con ello para proteger los datos sensibles de sus clientes.
3. Forzar la seguridad de la contraseña
Contraseñas como «password» o «123456» son fáciles de adivinar. Algunos piratas informáticos utilizan robots para entrar en las cuentas tratando de iniciar sesión con diferentes contraseñas comunes; simplemente lo intentan hasta que encuentran la contraseña correcta. De hecho, la cuenta de correo electrónico del presidente sirio Bashar al-Assad fue hackeada recientemente porque su contraseña era, lo has adivinado, 12345. Para que su sitio web sea menos susceptible de ser descifrado, empiece por asegurarse de que las contraseñas del ftp, de la base de datos y del resto de contraseñas cumplen las directrices recomendadas por la industria. (Un buen punto de partida es un mínimo de 8 caracteres, con números y caracteres especiales). También debería configurar su software de comercio electrónico para que todas las contraseñas seleccionadas por el usuario cumplan las directrices mínimas de seguridad.
Conclusión: Asegúrese de que todas las contraseñas que pueden utilizarse para acceder a su sitio web cumplen las directrices mínimas de seguridad.
4. Cifrar los datos de su base de datos
Cualquier dato altamente sensible en su base de datos debe ser encriptado. En la mayoría de los casos, esto incluye las contraseñas de las cuentas, las identificaciones fiscales y toda la información de pago. Los datos encriptados son algo más difíciles de acceder para un hacker (aunque no son infalibles). En la mayoría de los casos, debería evitar almacenar la información de las tarjetas de crédito (véase el punto 7).
Conclusión: Asegúrese de que su software de comercio electrónico encripta los datos sensibles.
5. Proteja sus formularios de la explotación y la inyección
Los formularios web, incluidos los formularios de contacto y las páginas de pago, son puntos débiles comunes que los hackers pueden utilizar para acceder al código fuente o a la base de datos de su sitio web. Hay muchas maneras diferentes en que los hackers pueden utilizar un exploit, que van desde la inserción de enlaces o virus en su sitio hasta el acceso a los datos de su base de datos. Los formularios deben estar codificados para validar adecuadamente las entradas y rechazar cualquier inyección de código.
En resumen: Si utiliza un software de código abierto, asegúrese de que el software principal y cualquier plugin que utilice tenga características para resistir la inyección de código a través de los formularios. Si su sitio está codificado a medida, asegúrese de que el programador ha codificado todos los formularios para resistir la explotación o la inyección.
6. Garantizar la rápida actualización de cualquier vulnerabilidad de seguridad conocida
Si su tienda online funciona con software de código abierto (o comprado), manténgase al día de las nuevas versiones y avisos de seguridad. Si se encuentra un fallo de seguridad, aplique inmediatamente la corrección o actualización correspondiente. La mayoría de los paquetes de software ofrecen una lista de correo electrónico para avisar cuando se necesita una actualización.
En resumen: Aplique la corrección o actualización necesaria a su sitio web inmediatamente cuando haya un fallo de seguridad.
7. No almacene los números de las tarjetas de crédito
Una de las formas más sencillas de proteger los datos de pago de tus clientes es no almacenarlos: los hackers no pueden acceder a datos que no están ahí. Si, por alguna razón, tienes que almacenar los datos de pago, deberás tener especial cuidado en seguir las partes pertinentes de las Normas PCI (un conjunto de directrices de seguridad obligatorias que deben seguir todos los sitios web que aceptan pagos con tarjeta de crédito). Si necesitas almacenar números de tarjetas de crédito, puedes utilizar una función como Authorize.net ARB o Authorize.net CIM para almacenar los datos de forma segura en los servidores de Authorize.net.
Conclusión: No almacene los números de las tarjetas de crédito a menos que sea absolutamente necesario, y entonces utilice la opción más segura posible.
8. Establecimiento de salvaguardias para los inicios de sesión de los clientes
Si un pirata informático accediera a la cuenta de un cliente, ¿podría realizar un pedido facturado al cliente pero enviado a él? Peor aún, ¿podría acceder al número de la tarjeta de crédito del cliente? Si su sitio web permite a los usuarios iniciar sesión para acceder al historial de pedidos o realizar un pedido, asegúrese de que dispone de salvaguardias para evitar que un pirata informático cause estragos si consigue acceder a la cuenta de un cliente.
En resumen: Garantizar que los hackers no puedan obtener datos sensibles o realizar pedidos no autorizados accediendo a las cuentas de los clientes.
9. Permitir el acceso a los datos en función de las necesidades
Una fuente de violaciones de seguridad que a menudo se pasa por alto son los empleados o proveedores deshonestos. Para minimizar el riesgo de que un empleado o proveedor venda o utilice los datos de los clientes para sus propios fines, limite el acceso de cada usuario sólo al nivel de datos que necesita. Hable con su abogado para limitar su responsabilidad.
En resumen: Minimice el riesgo configurando los permisos de las cuentas de los usuarios para que sólo puedan acceder a los datos que cada uno necesita.
Nota: La seguridad de los sitios web y de los datos abarca muchos aspectos legales y técnicos; este artículo no es una guía completa. Este artículo está diseñado para ayudarle a entender los problemas que están en juego y darle la información que necesita para contratar la ayuda de un experto si es necesario. Un abogado y un programador especializado en cuestiones de seguridad podrán ayudarle a minimizar el riesgo de un incidente de seguridad.