Si temes ser hackeado o perder la confianza de tus clientes, proporcionarles robustas medidas de seguridad en tu tienda online es tan importante como obtener conversiones en tus ventas. ¿Está comprometida la seguridad de tu eCommerce? Puede ser fácil olvidarse de asegurar tu sitio web cuando estás tratando de hacer crecer tu negocio y llegar a nuevos clientes.
Sin embargo, dejar tu sitio de comercio electrónico abierto a los ataques cibernéticos no sólo es la forma más rápida de ser hackeado, sino también de perder tu base de clientes y la credibilidad de tu negocio.
Proteger tu web con importantes medidas de seguridad no sólo protege a tus clientes y su información, sino también la confianza que has trabajado duro para construir con ellos.
Las personas son menos propensas a comprar en un sitio web que ha sido comprometido, así que asegúrate de que la seguridad de tu tienda tiene estas cosas en su lugar:
1 – Cumplimiento de la norma PCI
El PCI Security Standards Council es un grupo de proveedores de crédito que incluye American Express, Discover Financial Services, JCB International, MasterCard y Visa Inc., establecidos para mantener, mejorar y evangelizar los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
Este conjunto de estándares fue desarrollado por los miembros fundadores del Consejo de Normas de Seguridad PCI y busca abordar el panorama siempre cambiante de la seguridad de los datos en las transacciones financieras.
Los comerciantes que solicitan, procesan o almacenan información de tarjetas de crédito deben cumplir con estas directrices para garantizar la seguridad de la información del cliente y la confiabilidad de su propio sitio.
Una buena forma de cumplir con el PCI DSS es a través de la tokenización o sustitución del número de cuenta principal (PAN) de la tarjeta de un cliente con un valor sustituto llamado «token» para reducir el riesgo de que los datos sean robados por los hackers.
2 – Obtener un certificado SSL
Un certificado SSL (Secure Sockets Layer) es un pequeño archivo de datos que aplica una clave criptográfica a los detalles de un sitio web que activa el «candado verde» y el protocolo HTTPS en la barra de búsqueda.
El certificado SSL proporciona una conexión segura entre un navegador y un servidor web para procesar transacciones de tarjetas de crédito, intercambios de datos, acceso a sitios web y navegación segura para sitios web de redes sociales. Al obtener un certificado SSL para mejorar la seguridad del comercio electrónico, puedes asegurarte de que los clientes estarán mucho más seguros al ingresar su información personal para realizar compras.
3 – Cifrar tu sitio con HTTPS
Uno de los detalles más ignorados al proteger tu sitio, es obtener un protocolo de aplicación o HTTPS (Hypertext Transport Protocol Secure), es parte de la adquisición de un certificado SSL y protege contra la mayoría de los ataques cibernéticos. HTTPS proporciona cifrado a tu sitio para permitir la transferencia segura de datos mientras que un HTTP normal puede ser interceptado y leído. El uso de un HTTPS reducirá drásticamente el riesgo contra tu tienda en línea.
Sabrás que estás protegido cuando hay un candado verde y HTTPS en el cuadro de búsqueda superior de un navegador. Sin embargo, es importante tener en cuenta que si bien puede aumentar tu seguridad, la adición de un HTTPS sólo se debe reservar para las páginas web que recogen información de los clientes, ya que puede reducir el tiempo de carga un poco.
4 – Prevenir ataques DoS y DDoS
La denegación de servicio (DoS) y la denegación de servicio distribuida (DDoS) pueden ser una molestia muy grande para cualquier sitio de comercio electrónico que intenta llegar a los clientes. Los ataques DoS y DDoS pueden bloquear a los usuarios reales de tu sitio inundando tu red con una gran cantidad de peticiones.
Este acto puede saturar el ancho de banda, lo que hace muy difícil las solicitudes legítimas que hacen los usuarios para ver tu web, frustrando a los clientes y haciendo que abandonen el sitio.
La diferencia principal entre un ataque DoS y DDoS es que un DoS utiliza una computadora y una red para enviarte spam mientras un DDoS usa varias máquinas y redes, lo que hace que sea más difícil rastrear. Una solución, aunque poco práctica y costosa, es conseguir más ancho de banda.
Un acercamiento más práctico a protegerte de estos ataques es instalar un buen cortafuego y mantener el control guardado en tus filtros de email para la seguridad agregada del negocio.
5 – Instalar un Firewall
Esta medida de protección no puede ser subestimada. El uso de un firewall fuerte puede evitar el acceso de red malicioso o no deseado a tu sitio web y proteger contra los ataques DoS y DDoS mencionados anteriormente. Los cortafuegos son la primera línea de defensa del sitio para la entrada no autorizada y vienen en muchas variedades.
Uno de los tipos de cortafuegos más eficaces para el comercio electrónico son las pasarelas de aplicaciones, que sirven como un punto de control que oculta tu información interna de otras redes externas y filtra la información.
Sin embargo, la mejor opción para evitar ataques cibernéticos es un sistema de firewall proxy. En lugar de un simple punto de control, un firewall proxy no está directamente conectado a tu sistema de datos y no proporciona una ruta clara para los hackers.
El secreto de cualquier buen firewall es la instalación y programación adecuadas, así que asegúrate de que quienquiera que configure tu cortafuegos lo corrija correctamente para reconocer amenazas cruciales y mantenerlo actualizado.
6 – Capa de su seguridad
Si bien un firewall fuerte es una buena primera línea de defensa contra los ciberataques maliciosos, no debes depender únicamente del firewall para la seguridad total del eCommerce. La adición de varias capas de roadblocks para posibles hackers reduce el riesgo de los datos almacenados.
Otras capas pueden incluir inicios de sesión de cuenta, formularios de envío, cuadros de búsqueda, cuestionarios CAPTCHA y sistemas de verificación secundarios.
7 – Mantén tu sitio actualizado
Las nuevas lagunas y puntos débiles explotables siempre se están descubriendo en sitios web y plataformas de red, por lo que es muy importante estar atentos a mantener tu sitio web lo más actualizado posible. Instalar parches cuando estén disponibles y estar siempre atento a cualquier debilidad por tu cuenta para mejorar continuamente tus niveles de seguridad.
8 – Copias de seguridad frecuentemente
A veces perder todos los datos de los clientes debido a un percance puede ser peor que ser hackeado porque pone la culpa directamente en ti. Los datos pueden perderse debido a un fallo de energía, un desastre natural, un mal funcionamiento del sistema o incluso un error humano y debes estar preparado si ocurriera lo peor.
Crea un plan de copias de seguridad y de recuperación en un sistema externo en la nube o en otro lugar donde se puede restaurar fácilmente, también puedes usar herramientas como Crypter para agregar más seguridad a los archivos de respaldo.
9 – Requiere Contraseñas Fuertes
Si los usuarios inician sesión en tu sitio web (y deberían iniciar sesión por razones de seguridad) o si los empleados se registran en el servidor, es necesario que las contraseñas no faciliten el acceso de los hackers al backend.
¿Por qué luchar contra el firewall si sólo puede introducir tu fecha de nacimiento (no es una buena contraseña, por cierto)? Algunas herramientas autogenerarán contraseñas muy largas y complicadas para ti, pero aquí hay algunas buenas pautas a seguir:
- Hacer las contraseñas más largas que el mínimo
- No uses algo que esté ligado a ti personalmente (nombre del cónyuge, fecha de nacimiento, dirección, etc.) ya que alguien puede comenzar a adivinar tus contraseñas más fácilmente
- No utilices caracteres secuenciales (123, ABC, etc.)
- Letras mayúsculas, letras minúsculas, números y símbolos. Mientras más aleatorio, mejor (por ejemplo, 1hT]k_+53{l ) porque estos son casi imposibles de adivinar.
10 – Obtener y almacenar sólo la información necesaria
No toda la información recopilada debe almacenarse en tus datos. Sólo debes almacenar lo que es necesario para mantener la cuenta de un usuario para minimizar el riesgo para un cliente. Esta idea se puede hacer no pidiendo información frívola o irrelevante que no concierne a la transacción.
Mantener el mínimo necesario en archivo también te hace menos responsable si alguien consigue entrar más allá de tus defensas cibernéticas porque no hay mucho que robar en el primer lugar.
11 – Usar servicios de origen de pago externo para mitigar los riesgos
El uso de fuentes externas como PayPal, Apple Pay, Samsung Pay o plataformas de pago similares elimina virtualmente el riesgo de exposición para ti, ya que no estás recopilando ni almacenando datos de clientes. Al hacer que los clientes pasen por otro servicio, puede que tengas que dar un retroceso al servicio, pero no eres responsable si los datos se ven comprometidos.
12 – Manténte vigilante
A veces la mejor defensa que tienes eres tú mismo y cualquier personal que empleas. Consistentemente debes mantener un ojo en tu sitio web y eso te dará una mejor idea de los patrones de tráfico normales y anomalías que necesitan un examen más detenido.
Conocer tu sitio web por dentro y fuera te permitirá que tu intuición detecte cosas que no parezcan correctas o fuera de lo común y posiblemente te permitirá prevenir cualquier daño importante antes de que comience.
13 – Entrenar adecuadamente a tu personal
Si empleas a miembros del personal para ayudarte con el funcionamiento de tu sitio y las operaciones diarias, poniéndolos al día sobre qué buscar y lo que se considera normal puede permitir que tengas más ojos puestos en tus procesos, aumentando así tus posibilidades de detectar rarezas cuando suceden y reducir tu riesgo de exposición. Tú y tu personal siempre deben estar al tanto de las amenazas actuales y arreglarlas para mantenerlas a raya.
14 – Requerir Verificación Secundaria
Una manera fácil de agregar más capas de seguridad son los métodos de verificación secundaria que consisten en un paso añadido para verificar si un usuario es auténtico o no. Las aplicaciones de autenticador como Google Authenticator usan códigos de números generados automáticamente que cambian cada 30 segundos en un dispositivo móvil y están separados de la red.
La verificación secundaria es muy difícil de falsificar, especialmente si los códigos de acceso cambian constantemente. Tu sitio web puede emplear aplicaciones secundarias, puzzles CAPTCHA y otras fuentes externas para completar las verificaciones.
15 – Utilizar números de seguimiento para todas las transacciones
Si alguna vez has pedido algo en línea de una fuente acreditada, recibirás un correo electrónico con un número para realizar un seguimiento de tu paquete. Estos números también pueden evitar el fraude de devolución de cargos perpetrado por ataques maliciosos a tu sitio. Estos números confirman la transacción y hacen que el manejo de cargas extrañas sea más fácil de arreglar.
16 – Elije un hosting web confiable
Puedes hacer tu diligencia debida en el mantenimiento de tu tienda online, pero si la red o hosting que estás utilizando tiene una seguridad débil y ya está comprometida, todavía puedes estar en problemas. Elije proveedores de alojamiento web que tomen la seguridad tan serio como deberían y se han especializado en el campo del comercio electrónico.