بررسی امنیت در تجارت الکترونیک

نویسنده: امیر حسین ناظرحضرت

از آنجا كه اینترنت شبكه ای باز است، رسوخ گران می توانند از راه های گوناگون بدان راه یابند. در تجارت الكترونیكی كه میان دو سازمان، یا خریدار و سازمان انجام می شود خطراتی بسیار، دو سوی بازرگانی را تهدید می كند. با به گارگیری كامپیوتر در كارهای بازرگانی سازمان ها، افزون بر شیوه های فیزیكی كه در گذشتهبرای حفاظت از اطلاعات به كار می رفت نیاز به تامین امنیت اطلاعات به كمك ابزارهای خودكار نیز به میان آمد. هم گام با پیوند یافتن سیستم های كامپیوتری سازمان ها به كمك شبكه ها، امنیت اطلاعات یا حفاظت از داده ها در هنگام مخابره در شبكه های كامپیوتری نیز ابعاد تازه ای به خود گرفت. در بیشتر جهان، كاربرد تبادل الكترونیكی داده ها برای مبادله اسناد بازرگانی میان شركت ها، همواره رو به گسترش است. از این دست می توان اسناد معاملات بازرگانی، اسناد پرداخت، مدارك حمل و نقل را نام برد. در سازمان هایی كه به امكانات مبادله الكترونیكی اطلاعات مجهز نیستند، كاربرد كامپیوتر در كارهای بازرگانی با نرم افزارهای مبادله الكترونیكی داده ها و رابط های ارتباطی آمیخته شده اند، تا راه حل كارآمدی برای كارهای بازرگانی ارایه شود. در تبدیل شیوه های سنتی مبتنی بر كاغذ، به شیوه های الكترونیكی تبادل اسناد، امنیت اهمیتی ویژه دارد باید بكوشیم تا مبادلات الكترونیكی اطلاعات به جایگزین سیستم های كاغذی می شود، دست كم همان سطح ایمنی شیوه های سنتی را داراست. خطرات تهدید كننده تجارت الكترونیكی

گسترش تجارت الكترونیكی نیازمند بستری ایمن برای مخابره و دریافت اسناد بازرگانی و اطلاعات است. این فناوری نوین، در همان حال كه دقت و سرعت پردازش را افزایش چشمگیری بخشیده است، باید پاسخگوی مسایل و خطراتی باشد كه برای آن پیش می آید. در تجارت الكترونیكی افزون بر دو سوی اصلی بازرگانی یعنی خریدار و فروشنده بانك های این دو و واسطه ها و حمل كنندگان كالا نیز با كار درگیر هستند. به طور كلی خرید و فروش كالا در اینترنت، از هنگام دیدن كاتالوگ ها و گزینش كالا و فروشنده دلخواه تا دادن سفارش و فرستادن اطلاعات مالی خریدار و فروشنده، پذیرش و سرانجام تحویل كالا و پرداخت است. در هر یك از گام های بالا، پیام های الكترونیكی میان خریدار، فروشنده و بانكهای آن دو با عنوان درخواست و پاسخ رد و بدل می گردد. خطراتی بسیار این كارها را تهدید می كند، كه می توان گم شدن، دزدیده شدن و یا دگرگونی هر یك از پیام ها، را نام برد. البته دسته ای دیگر از خطرها مانند سیل و زمین لرزه نیز وجود دارد كه به امنیت سیستم ها و یا شبكه ها ربطی ندارد،‌ اما بر كارهای سازمانی اثر می گذارد. در تجارت الكترونیكی خطرها و تهدیدها با این روش دسته بندی می شوند: برخی ارتباطات و انتقالات را تهدید می كنند، برخی دیگر منابع و چندی هم تهدیدهای انسانی هستند و خطراتی هم ممكن است از ناكارایی سیستم ریشه گیرد، یا به دست افراد غیر مجاز و سود استفاده كننده رخ دهد. مسایل مهم امنیتی در تجارت الكترونیكی

برای انجام داد و ستدهای الكترونیكی، باید به مسایل امنیتی توجه شود تا مشكلی برای خریدار و فروشنده پیش نیاید. پس باید به سرویس های امنیتی كارآمد برای منابع و ارتباطات اندیشید. در این بخش مهم ترین مسایل ایمنی همراه با خطرات و تدابیر رویارویی با آنها به طور خلاصه بیان شده است. اما گفتنی است كه با وجود این سرویس ها و تدابیر، هنوز هم امنیت صد در صد برای تجارت الكترونیكی به دست نیامده است. تایید هویت یا اصالت

كه به موجب آن، فرد یا سازمان بتواند هویت خود را اثبات كند، فرآیندی است كه تضمین می كند یك هویت همان است ه ادعا می شود. سرویس های تایید هویت، درستی یا نادرستی هویت طرف های بازرگانی در معامله را هویدا می كنند. واژگان رمز،‌گواهی ها روش های زیست سنجی از خطر جعل هویت می كاهند. مجوز

كه سیستم با آن می تواند دسترسی به منابع را پس از تایید هویت مبادله گران كنترل كند. تشخیص مجوز فرایندی است كه روشن می كند یك سرویس گیرنده اجازه انجام چه كارهایی را دارد و یك هویت چه جایگاهی در دسترسی به منابع خواهد داشت. رخداد خطرات دسترسی بدون مجوز به منابع سیستم با ایجاد محدودیت به كمك لیست های كنترل دستیابی برای تعیین اینكه چه كسانی اجازه دستیابی به منابع را دارند كاهش می یابد. محرمانگی و خصوصی بودن

محرمانه نگه داشتن محتویات پیام های مبادله شده میان طرف های مجاز را تضمین می كند. سرویس های خصوصی بودن از آشكار شدن داده ها و اطلاعات شخصی كاربرا برای افراد و سازمانهای غیر مجاز، جلوگیری می كند. این سرویس ها تضمین می كنند كه داده فرستاده شده روی شبكه تا زمانی كه در راه است خوانده نشود. برای اینكار، این گونه سرویس ها حفاظت پیام ها را در برابر سو استفاده، رهگیری و شنود تامین می كنند. به كمك رمز نگاری پیام ها، دسترسی غیرمجاز به پیام ها توسط افراد درون سازمانی یا برون سازمانی، با رهگیری هنگام مخابره دشوارتر می شود. تمامیت یا درستی داده ها

برای جلوگیری از دستكاری، یا حذف ناخواسته پیام ها می باشد. سرویس های تمین تمامیت اطلاعات می كوشند تا داده فرستاده شده در شبكه، در طول راه دچار دگرگونی یا گم نشود. بدون این سرویس ها، یك شخص غیر مجاز ممكن است یك بسته یا پیام را از شبكه بگیرد، آنرا تغییر دهد و دوباره در جریان اندازد، بدون اینكه تغییرات برای گیرنده بسته یا پیام آشكار شود. با تایید بسته به بسته و رمز نگاری پیام ها می توان بروز اشتباه تصادفی یا متقلبانه در هنگام ورود داده ها ونیز تخریب و تغییر پیام ها را كاهش داد. عدم انكار ارسال و دریافت پیام

توانایی تضمین اینكه، طرفین معامله نتوانند محتویات پیام مبادله شده را انكار كنند. با سرویس های انكار ناپذیری، فرستنده و گیرنده نمی توانند ارسال و دریافت پیام را انكار كنند. تایید اصالت پیام با آمیزه ای از آنچه كه كاربر می داند، آنچه كه كاربر در اختیار دارد و یا ویژگی های فیزیكی كاربر مانند روش های زیست سنجی در برابر جعل هویت و انكار پیام ها به بازرگانان یاری می رساند. در دسترس بودن

امكان دسترسی به داده ها در زمان و مكان مناسب همراه با ایمنی از دسترسی غیر مجاز به داده را تامین می كند. از خطرهای تهدید كننده این ویژگی می توان خطای شبكه، قطع برق، اشتباهات عملیاتی، اشتباهات كاربردی، خطای سخت افزار، خطای نرم افزار سیستم و ویروس ها را نام برد كه با گزینش راه های ارتباطی جایگزین، پیش گیری از قطع برق، آزمایش كیفیت نرم افزار و سخت افزارها، محدود ساختن دسترسی و تامین سیستم پشتیانی داده ها از آنها كاسته می شود.

آينده تجارت الكترونيك برپايه شبكه اجتماعي است

در ايران استفاده از شبكه هاي اجتماعي پركاربر با توجه به معاملات و سهم بالاي تراكنش هاي مالي و اعتباري و تجارت الكترونيك در شبكه اي اجتماعي مانند facebook با عدم دسترسي رو به رو بوده و فيلتر است!
به گزارش ICTPRESS ؛ وي با بيان اين مطلب در ادامه به اهميت توسعه زيرساخت هاي ارتباطي براي توسعه مباني تجارت الكترونيك اشاره كرد و اظهار داشت : مهم تر از اينكه توسعه زيرساخت هاي ارتباطي براي تحقق تجارت الكترونيك در ايران مورد نياز است، توسعه دانش و مباني فرهنگي درك موقعيت حساس و فرصت شناسي مناسب براي اين مهم ضروري است.
جلالي در ادامه به دو عنصر اطلاعات و ارتباطات اشاره كرد و گفت : اين دو عنصر در يك شبكه اجتماعي و در تجارت هزاره سوم جزء مهم ترين عناصر توسعه پايدار جوامع دانش بنيان امروز و فردا شناخته شده است.
وي افزود : توليد اطلاعات، توزيع اطلاعات، استفاده از اطلاعات و تسلط بر ارتباطات اجتماعي و استفاده مناسب از رسانه‌هاي نوين در جهت شكل دهي به افكار مشتري، روند تكاملي تجارت فردا را مي سازد.
جلالي اظهار داشت : امكان تعامل اطلاعات بين فروشنده و خريدار بر اساس فناوري وب دو و ساير ابزارهاي نوين فراهم شده است.
محقق ICT در ادامه تصريح كرد : ”تجارت الكترونيكي دو“ به معناي بهره گيري از ابزارهاي فناوري “وب دو” براي رسيدن به اهداف تجارت در عصر حاضر در حال شكل گيري است.
“تجارت الكترونيكي دو” تحول نويني است كه ارتقاء جايگاه محيط هاي كسب و كار را در فضاي مجازي، با درگير كردن مشتري در مراحل مختلف توليد، توزيع و مصرف به دنبال داشته است.
جلالي تاكيد كرد : ”وب دو“ بستر توسعه شبكه هاي اجتماعي است.
باني شهرالكترونيك كيش با اشاره به اينكه چند سال گذشته در همين جزيره اقدام براي تحقق شهرالكترونيك كيش صورت گرفت و همراه با مقامات ذي ربط براي بهره برداري از شهرالكترونيك كيش به اين جزيره سفر كرديم و پس از 14 ماه تلاش با تغيير مديريت، مسئله به حالت تعليق و مسكوت درآمد ،به اهميت ارزش گذاري پروژه هاي ملي از سوي مسئولان اشاره كرد.
وي تصريح كرد : با توجه به زحماتي كه دكتر صنايعي تا برگزاري اين كنفرانس متحمل شدند اما حمايت ملي كمتري نسبت به حد مطلوب از آن به عمل آمد.
جلالي تاكيد كرد : اكنون با توسعه شبكه هاي اجتماعي، نگاه مديريت تجاري جهان متفاوت شده و ارائه خدمت با تصميم سازي از سوي مشتري پيش مي رود نه سليقه مديريتي .
وي در ادامه با بيان نقش تجارت الكترونيك در تحول اقتصادي چين و همچنين اشاره به نقش فناوري اطلاعات در GDP كشور هندوستان ، در خصوص سرعت توسعه فناوري اطلاعات و فاصله ديجيتالي سخن گفت كه فاصله ديجيتالي مانع بزرگي براي تحقق تجارت الكترونيك در يك كشور است.
وي به خبري در حوزه اينترنت اشاره كرد و گفت : «اينترنت پرسرعت» در اروپا اجباري مي شود ، رئيس اسپانيايي جديد اتحاديه اروپا در صدد است، اينترنت پرسرعت را در محدوده الزامات خدمات عمومي قرار داده و دسترسي عمومي به آن را براي اعضاي عضو اجباري كند.
وي گفت : اين حرکت به هدف بهبود دسترسي وب در مناطق روستايي انجام شده ولي موجب بروز دغدغه‌هايي براي بخش صنعت مخابرات شده است.
جلالي افزود : دغدغه ارائه پهناي باند زياد در كشور ما نيز مانند صنعت مخابرات اروپا همواره وجود دارد.
وي ادامه داد : در يكي از شهرهاي ايالت مي سي سي پي به 100 هزار نفر اينترنت يك گيگا بيت در ثانيه از طريق فيبر نوري داده شد ؛ سرعت اين شهروندان 250 برابر بيشتر از متوسط دسترسي ساير شهروندان آمريكايي است كه 4 مگابيت در ثانيه سرعت دسترسي دارند.
اين استاد دانشگاه و كارشناس فناوري اطلاعات و تجارت الكترونيك تصريح كرد : اين در حالي است كه در ايران حدود 21 گيگابيت در ثانيه دسترسي به اينترنت براي كل كشور وجود دارد.
وي در ادامه به موضوع شبكه هاي اجتماعي و ميزان بهره مندي از آن در رده هاي سني بالاتر اشاره كرد و گفت : بر اساس يك بررسي اخير، سرويس‌هاي شبكه اجتماعي به‌طور فزاينده نزد كاربران سالمندتر محبوبيت يافته‌ است.
به گزارش ايسنا: مركز پژوهشي پيو در سال گذشته رشد بالاي شمار كاربران بالاي 50 سال كه به شبكه‌هاي اجتماعي فيس بوك و توييتر مي‌پيوندند را ثبت كرده است. طبق يافته‌هاي بررسي اين مركز، بين ماه‌هاي نوامبر 2008 و مي 2010، درصد كاربران شبكه اجتماعي بين 50 تا 64 سال از 16 به 47 درصد افزايش يافته است؛ كاربران بالاي 65 سال نيز از چهار به 26 درصد رسيده‌اند.
جلالي گفت : بنابر ارزيابي اين گزارش، شش درصد از كاربران 50 تا 64 سال روزانه از توييتر استفاده مي‌كنند. در ميان كاربران 18 تا 29 سال استفاده از شبكه اجتماعي طي همين مدت از 67 به 86 درصد رسيد و گروه سني 30 تا 49 سال از 25 به 61 درصد رشد كردند.
محقق مدارس هوشمند در ادامه در خصوص فناوري در توسعه مباني مدارس و مدارس هوشمند اشاره كرد و گفت : در مدارس اسکاتلند آي‌پد جايگزين کتاب شد.
جلالي اظهار داشت : دانش‌آموزان اسکاتلندي از اين پس به جاي کيف و کتاب تبلت آي‌پد به دست مي گيرند تا تجربه جديدي از درس خواندن را داشته باشند.
وي افزود : يکي از مدارس نمونه اسکاتلند اقدام به ارائه تبلت هاي آي‌پد به دانش آموزان به جاي ابزارهاي آموزشي سنتي ديگر کرده است.
بر اين اساس اين مدرسه 105 دستگاه آيپد را به شکل رايگان در اختيار دانش‌آموزان قرار داده است.
اين دستگاه ها به شبکه بي سيم مدرسه متصل شده و دانش‌آموزان امکان دسترسي به اينترنت و سرور مدرسه را خواهند داشت.
بر اين اساس دانش‌آموزان لازم است تکاليف و فعاليت هاي مختلف را بر روي دستگاه آي‌پد انجام دهند.
دكتر علي اكبر جلالي استاد دانشگاه علم و صنعت در ادامه اظهار داشت : فاصله ديجيتالي مانع اصلي توسعه تجارت الكترونيكي است.
وي در سخنان خود گفت : چرا بايد به آينده تجارت الكترونيكي فكر كنيم؟
جلالي در اين خصوص اظهار داشت : آينده متعلق به جوامعي است كه به جلو و نه عقب نگاه مي كنند و با نامعيني هاي آن آشنا بوده و براي حل مسائل پيچيده حوزه تجارت به دنبال راه كارهاي خلاقانه و نوآورانه متفاوت از روش هاي امروز هستند.
جوامعي كه علاقه ندارند به آينده فكر كنند، حداقل بايد مردم خود را براي آينده هاي غيرقابل پيش بيني آماده كنند.
وي در پايان گفت : دو حوزه مهم تغييرات حوزه تجارت در جهان ارتباطي وجود دارد كه عبارت است از : BROADBAND و MOBILITY .

امنيت تعاملات الكترونيكي

تابان خواجه نصيري

امنيت تبادلات و تعاملات بر روي اينترنت، يكي از موضوعاتي است كه اخيراً مورد توجه برخي از اعضاي خبرنامه‌ها قرار گرفته است. تعدادي از دوستان سوال مي‌كنند كه SSL چيست؟ امنيت خريدهاي اينترنتي چگونه و توسط چه شركتهايي تضمين يا بيمه مي‌شود و اين تضمين‌ها چه حد و حدودي دارند.

اجازه مي‌خواهم كه در ابتداي اين مطلب يادآور شوم كه تجارت و كسب و كار و هر نوع تبادل اطلاعات يا معامله در شبكه‌هاي گسترده جهاني و در عين حال پيچيده‌ي امروز نيازمند امنيتي بدون قيد و شرط و بي همتاست. در راستاي ايجاد و حفظ اين امنيت منحصربفرد بر روي اينترنت شركتهايي روي آوردند به ارائه خدمات زيرساخت‌هاي هوشمندانه‌اي كه بر اساس آنها مردم بتوانند تبادل اطلاعات مثلاً مكاتبات الكترونيكي شان را و نيز حتي معاملات و كسب و كارهايشان را در فضايي امن پيدا كنند و با يكديگر ارتباط برقرار كنند تا در نهايت بر يكديگر تاثير بگذارند و ديالوگ في‌مابين را بيش از پيش به سمت و سوي معامله سوق دهند. ببينيد اهميت قضيه صرفاً در درك پروتوكلها و زيرساختها نيست، اهميت موضوع در اين است كه افراد بسياري در دنيا كه هيچ اطلاعات فني از پشت صحنه‌ها ندارند نيز توانسته‌اند از اين امكانات و تسهيلاتي كه اين شركتها در اختيارشان قرار داده اند به بهترين نحو استفاده كنند و اين البته با بررسي و مطالعه، انتخاب و در نهايت اعتماد و اجراي موفق امكان پذير بوده است. روزانه ميليارد‌ها معامله اينترنتي بين طرفين تجاري در نقاط مختلف جغرافيايي صورت مي‌گيرد. روزانه ميلياردها معامله به صورت تلفني يا با استفاده از IM (پيامرساني‌هاي آني، مثلاً بر روي همين ياهو يا هات ميل مسنجرها) به انجام مي رسد و روزانه ميليون‌ها دلار رد و بدل مي‌شود. اهميت موضوع درك اين مهم است كه شركتهايي بر اساس اين نياز مبرم (به مساله امنيت داده‌ها و معاملات) بوجود آمده‌اند كه با استفاده از تكنولوژي‌هاي مدرن، پروتكلها، شبكه‌هاي خصوصي مجازي (VPN) و ... اين شرايط را براي طرفين معامله يا مكاتبه امينت مورد نياز را ايجاد و حفظ كنند توسعه دهند و تداوم بخشند.

SSL شيوه‌اي است استاندارد در رمزدار كردن و انتقال داده‌ها، پروتكلي است كه به هنگام رد و بدل كردن اطلاعات، داده‌ها را با استفاده از كليدهايي ويژه به صورت رمز در‌مي‌آورد به طوري كه در فاصله (زماني / مكاني) ميان انتقال داده‌ها كسي امكان دسترسي به محتواي اطلاعات شما ندارد. وقتي صحبت از رد و بدل ساختن اطلاعات محرمانه يا شخصي مهم به ميان مي‌آيد، مثلاً آنجا كه بحث كارتهاي اعتباري و شماره هاي حسابها و تاريخ انقضاء كارتهاست، لازم است كه طرفين مكالمه يا معامله از امنيت موجود مطمئن باشند تا با خيال راحت جزئيات كارت و شماره آن را در اختيار طرف مقابل قرار دهند. به همين ترتيب است دسترسي به اطلاعات شخصي كاربران كه بايد با گرفتن رمز عبور باشد و در مواردي كه ايجاب مي‌كند بايد از SSL استفاده كرد و براي اطمينان دادن به طرفين، اين موضوع به اطلاع كاربران از آن سايت برسد، مثلاً با ذكر اين موضوع مهم كه كليه تبادلات و تعاملات الكترونيكي شما توسط فلان شركت ... به نوعي بيمه شده يا مورد حمايت قرار گرفته است.

انتقال امن اطلاعات بر روي اينترنت در حال حاضر تا آنجا كه من مي‌دانم دو استاندارد وجود دارد كه به نوعي مكمل يكديگرند، يكي استاندارد SSL و ديگري Secure HTTP. وظيفه‌ي پروتكل SSL ايجاد فضايي امن بين Client و Server است و ديگري انتقال پيامها را امنيت مي‌دهد.

تا امروز و تا آنجا كه من توانسته‌ام اطلاعاتم را به روز كنم، شركتي مثل Verisign در روز ۱۴ ميليارد معامله را در سرتاسر جهان مورد حمايت خودش قرار داده است، يعني به نوعي و بر اساس گواهينامه‌اي انجام معاملات تا سقف ۲۵۰ هزار دلار را بيمه مي‌كند به عبارت ديگر وري‌ساين از ارائه خدمات زيرساخت‌هاي هوشمند خود مطمئن است. بنابر اين شركتهاي بسياري وري‌ساين را براي امور تجاري خود انتخاب كرده‌اند. اين شركت ۳ ميليارد معامله تلفني را در روز مورد حمايت خود قرار مي‌دهد. همانطور كه مي‌دانيد بسياري از معاملات هنوز و خيلي قوي از طريق تلفن انجام مي‌شود، اين خطوط تلفني هم بايد امنيت داشته باشند كه نفوذي در آنها انجام نشود. وري‌ساين در روز ۱۰۰ ميليون دلار تجارت الكترونيكي را مورد حمايت قرار مي‌دهد. ببينيد من اينجا در مورد شيوه هاي پرداخت نمي‌گويم، در مورد امنيت تبادل اطلاعات شخصي و محرمانه و تبادل پول يا اعتبار صحبت مي‌كنم. در تجارت الكترونيك، برخورداري از گواهينامه‌هاي معتبر و بين‌المللي بسيار مهم است، وري‌ساين يكي از شركتهايي است كه اين گواهينامه‌ها را به سايت ها مي‌دهد. اين درست مثل آن است كه بگوييم شركتهاي با مسئوليت محدود تا يك حدي براي رقم قراردادهايشان مجاز هستند و بيش از آن بايد نوع شركت‌شان، نوعي ديگر باشد، به عبارتي به اندازه گليم خودشان پا را فراتر نهند، با اين شيوه، سايتها مي‌توانند به اعتبار داشتن گواهينامه‌ به هم و معاملاتي كه مي‌كنند بيشتر اعتماد كنند. اين شركتها صرفاً براي پاسخگويي به اين نياز كنوني به «امنيت» در شبكه‌ها و علي‌الخصوص اينترنت ايجاد شده‌اند و به طور مداوم در جهت توسعه پروتكلها و طرحها و ايده‌هايي كه امنيت شبكه‌ها را بالاتر برد دارند كار مي‌كنند. موضوع ديگري كه برخي از دوستان در سوالاتشان مطرح مي‌كنند اين قضيه‌ي استفاده از امضا‌هاي ديجيتالي است. ببينيد امضاي ديجيتالي در واقع براي كد كردن يا به رمز درآوردن اطلاعات است با كليدي محرمانه‌اي كه فرستنده مي‌فرستد ما با استفاده از امضاي ديجيتال مي‌فهميم كه اطلاعات ارسال شده واقعاً از طرف فرد ارسال كننده است.

آنچه كه گفته شد، در حقيقت تاكيد بر اين نكته است كه ما براي گام برداشتن در جهت تجارت الكترونيك، نيازمند ايجاد زيرساخت‌هاي هوشمند براي ايجاد امنيت الكترونيكي هستيم، كوشش‌هايي كه در اين زمينه صورت گرفته است بايد عمومي تر شود و لازم است كه مردم و خصوصاً تجار با اين مفاهيم هرچه سريعتر آشنا شوند و آموخته ها را در اين گرداب گسترده گيتي، هر چه سريعتر بياموزند و به ديگران آموزش دهند. هميشه گفته‌ام كه ايجاد اعتماد و اطمينان در مخاطبين كار ساده اي نيست. متاسفانه بسياري از مديران دولتي يا نيمه دولتي و در برخي موارد حتي خصوصي ما، اين مفهوم ساده را نمي‌پذيرند كه داشتن يك Privacy Policy قوي و محكم در سايتي كه ادعاي تجارت الكترونيكي دارد خيلي فراتر از يك لينك ساده به صفحه‌اي خالي است: چرا كه ما در اين صفحه است كه به كاربران‌مان مي‌گوييم كه از SSL براي امنيت بيشتر آنها استفاده مي‌كنيم يا خير! و ...

ده روش مهم برای بالا بردن امنیت تجارت الکترونیکی

به عنوان شرکت یا فردی که یک فروشگاه اینترنتی یا هر تجارت آنلاینی را رهبری می‌کنید، باید برای امنیت برند و سایت خود اهمیت ویژه ای قایل شوید. پس این ده نکته حیاتی را برای افزایش ضریب امنیتی سیستم خود، از دست ندهید:

۱‫- به جای سرورهای اشتراکی، از یک سرور اختصاصی برای سایت خود استفاده کنید
اکثر شرکت های سرویس دهنده‌ی هاست، فایل‌ها و سایت‌های زیادی را به صورت اشتراکی بر روی یک سرور قرار می‌دهند که علت اصلی این کار، افزایش درآمد است. بدین ترتیب سایت‌های مختلفی بر روی یک سرور در حال سرویس‌گیری هستند و علاوه بر سخت افزار، برخی نرم‌افزارها و اسکریپت‌ها برای اجرای برنامه‌های همه سایت‌ها(مواردی مانند سرویس‌های ایمیل و کنترل پنل‌ها) در حال اجرا هستند. این بدین معنی است که فقط شما و شرکت شما به سرور مربوطه دسترسی ندارد و احتمالاً صدها شخص و کمپانی دیگر به این سرور دسترسی‌هایی دارند. اگر یکی از این مشتریان که سایتش به صورت مشترک با شما روی یک سرورقرار دارد، مسایل امنیتی را رعایت نکند و هک شود، سایت و اطلاعات شما را نیز در معرض خطر قرار داده است.

استفاده از یک سرور اشتراکی به این معنی است که فردی که برای دسترسی به اطلاعات شما تلاش می‌کند، بخاطر وجود سایت‌های زیاد، انتخاب‌های زیادی برای دسترسی به سرور داشته باشد.

در مقابل، استفاده از سرور اختصاصی، یک امتیاز امنیتی برای سایت شما محسوب می‌شود. وقتی شما از سرور اختصاصی استفاده کنید، فقط سایت شما است که به سرور و برنامه‌های آن دسترسی دارد. بدین ترتیب شما می‌توانید به طور کامل بر سرور و برنامه تحت اجرای آن نظارت داشته و از امنیت سایت خود مطمئن باشید.

۲‫-همیشه گوش به زنگ بسته های به روزرسانی و وصله‌های امنیتی برنامه‌های سرورتان باشید و به سرعت آن‌ها را نصب کنید
امنیت اطلاعات و سرور، که مهمترین مساله برای یک مشتری است، اغلب اوقات کمترین اهمیت را برای شرکت‌های ارائه دهنده‌ی هاست، دارد. (و حتی شاید برایشان مهم نباشد!)
شرکت‌های ارائه دهنده هاست، هنگام قرارداد می گویند که از امن‌ترین و بهترین نرم‌افزارهای امنیتی برای حفاظت از اطلاعات سایت شما استفاده می‌کنند، اما اگر آن‌ها برنامه‌های در حال اجرا را به روز نکنند و وصله‌های امنیتی را روی آنها نصب ننمایند، سایت شما در برابر انواع خطرات آسیب‌پذیر خواهد بود. (دقت کنید که نصب وصله‌های امنیتی باید در اولین فرصت و کمترین زمان ممکن انجام شود، زیرا هکر محترم هم همزمان با ارائه بسته امنیتی از سوراخ موجود در سایت تان مطلع خواهد شد!)

وقتی‌که شرکت ارائه دهنده یک نرم‌افزار، بسته‌های امنیتی‌ای را برای ترمیم ایراد‌های امنیتی نرم‌افزارش ارسال می‌کند، لازم است که این بسته‌ها به سرعت نصب شوند تا مبادا هکر بتواند زودتر اقدام کند و به سایت شما نفوذ کرده و اطلاعات تان را به سرقت ببرد. پس در صورته‌ی مهم در مورد تغییراتی که بر روی سرور و سایت اعمال می‌شود (هرچند کوچک و کم اهمیت)، این است که بدانید دقیقاً چه کسی و در چه زمانی تغییر مزبور را انجام داده است. با استفاده از سیستم کنترل تغییرات، تصحیح خطاهای احتمالی سایت ساده‌تر و سریعتر انجام می‌شود. همچنین شما می‌توانید هر گونه بدافزار و فایل مخرب احتمالی رادر سریعترین زمان ممکن شناسایی کنید.

به یاد داشته باشید که فقط خطرات خارجی برای شما دردسر ساز نیستند؛ در صورتیکه شما دسترسی‌های زیادی را برای همکاران و کارمندان غیرقابل اعتماد خود در نظر گرفته باشید، خطری که متوجه سایت شما است، از خطر هر هکری بیشتر است. پس علاوه بر بررسی مکرر فایلها و سایت خود، از درستکاری همکاران خود مطمئن شوید و حداقل دسترسی‌های لازم را به آنها بدهید.

۶‫- از امنیت فیزیکی سرور و داده‌های خود مطمئن شوید
به همان اندازه که محدود کردن دسترسی به اسناد و مدارک شرکت تان اهمیت دارد، کنترل دسترسی به کامپیوتری که سایت تان روی آن میزبانی می‌شود هم مهم است.

شاید سرور شما از امنیت بالا و سیستم‌های رمزنگاری مناسبی برخوردار باشد، اما آیا در اتاق سرور هم قفل است؟ به یاد داشته باشید که در نهایت اطلاعات شما بر روی یک سری سخت‌افزار ذخیره شده‌اند. آیا می‌دانید شرکت هاستینگ شما با یک هارددیسک سوخته چه کار می‌کند؟ اگر آنها این هارددیسک را به طرز صحیحی نابود نکنند، ممکن است اطلاعات شما به دست چه کسانی بیفتد؟

به هر حال در صورتی که چنین اتفاقی بیافتد، شما بطور قانونی حقی برای شکایت ندارید. راه حل این است که قبل از انتخاب شرکت هاستینگ، مطمئن شوید که آن شرکت دارای گواهینامه‌های امنیتی ISO‪/IEC 27001 و 27002 باشد. فقط شرکت‌هایی که استانداردهای امنیت مجازی و فیزیکی اطلاعات مشتریان را رعایت می‌کنند، دارای این گواهینامه‌ها هستند. پس در صورتی که شرکت ارائه دهنده فضای سایت شما دارای این دو گواهینامه‌ی معتبر باشد، قابل اعتماد است.

۷‫- برای امنیت داده‌های کاربران، با شرکت هاستینگ قرارداد رسمی ببندید
مطمئناً شما برای فروش کالاها و خدماتی که به کاربران می‌دهید، اطلاعاتی همانند نام، ایمیل، آدرس، تلفن و .. را دریافت می‌کنید که این داده‌ها در هاست ذخیره می‌شوند. اما در صورتی که با وجود اقدامات امنیتی و حفاظتی، به هر دلیلی اطلاعات سایت شما دزدیده شود، تکلیف اطلاعات شخصی کاربران و خریداران شما (Personally Identifiable Information ‪- PII) چیست؟ شاید جالب باشد که بدانید در بسیاری از کشورها حتی اگر شما هم در این زمینه مقصر نباشید و لو رفتن اطلاعات از طرف شرکت هاستینگ اتفاق افتاده باشد، باز هم مسئولیت حقوقی این مساله با شما است و باید پاسخگو باشید.

صفحه قبل 1 2 3 4 5 ... 9 صفحه بعد