menu

Houd je klantendata veilig

Houd je klantendata veiligIn een wereld waarin allerlei gegevens steeds vaker ‘in de cloud’ worden opgeslagen, neemt tegelijk de schreeuw van de klant om veiligheid toe. Tel daarbij de vele hacks en database-lekken die websites de laatste tijd teisteren en je weet dat het van essentieel belang is om klantendata veilig te bewaren.

Zelfs al ben je nog zo’n Newbie Entrepreneur zonder budget, en met maar een handvol klanten, zul je al aandacht moeten besteden aan het beschermen van je klanteninformatie tegen allerlei ongewenste partijen en praktijken. Iedere website-eigenaar zou namelijk op zijn minst de basiskennis omtrent beveiliging van een website in huis moeten hebben.

Klantendata kan op twee manieren verkregen worden, namelijk doordat een ongeautoriseerde gebruiker een gebruikersnaam en wachtwoord in handen krijgt of doordat het hackers lukt om een lek in de software te vinden en zo toegang krijgen tot de database. Nu gebruiken sommige webwinkels een zogeheten software-as-a-service-platform en in dat gevallen zijn veel van de hieronder besproken beveiligingsproblemen de zorg van de serviceprovider. Maar als je gebruikmaakt van een open source- of aangepaste webwinkelsoftware, dan ben jij volledig verantwoordelijk voor alle aspecten van je websites veiligheid.

1: Een SSL-certificaat is enkel het begin
Veel internetgebruikers gaan ervan uit dat een website volledig veilig te bezoeken is als het internetadres begint met https://. Zo’n adres betekent dat de connectie tussen de computer van de bezoeker en de website die hij bezoekt is versleuteld door een SSL-certificaat. Deze versleuteling weerhoudt hackers er bijvoorbeeld van om creditcard-informatie van de klant te lezen als die informatie naar de website wordt verstuurd. Maar een SSL-certificaat beschermt de klant niet als die data eenmaal de website heeft bereikt en is opgeslagen in de daarbij behorende database. Het is zéker aan te raden om een SSL-certificaat te nemen, maar daarmee ben je er nog niet.

2: Vertrouw niet op het veranderen van je wachtwoorden
De meeste hackers zullen nadat ze een wachtwoord in handen hebben gekregen deze gelijk gebruiken. Dus nog voordat je überhaupt de kans hebt gehad om het te veranderen. Dat neemt niet weg dat het al het een en ander qua gedoe kan voorkomen als je om de zoveel tijd de wachtwoorden reset of de gebruiker een herinneringsmailtje stuurt met daarin de suggestie om zijn wachtwoord te veranderen. Zo verplicht ING haar internetbankier-klanten ieder halfjaar hun wachtwoord te wijzigen. Zo’n beleid kan dan ook zeker geen kwaad, maar reken er niet op als het gaat om het beschermen van gevoelige klanteninformatie.

3: Forceer minimale wachtwoord-vereisten
Je wil echt niet weten hoeveel mensen ‘password’ of ‘123456’ als wachtwoord nemen. Het mail-account van de Syrische president Bashar al-Assad werd laatst zelfs gehackt, mede omdat hij 12345 als wachtwoord had! Nu mogen klanten veel van jou verwachten en eisen als het aankomt op de veiligheid van hun data, maar zelf hebben klanten natuurlijk ook enige invloed op de relatieve veiligheid ervan. Vermeld daarom bij het aanmeldformulier duidelijk de minimale vereisten die nodig zijn voor een goed wachtwoord. Dus bijvoorbeeld minimaal één hoofdletter, twee cijfers en een minimale lengte van 8 tekens.

4: Versleutel data in je database
Alle gevoelige data in je database zou versleuteld moeten worden. Denk hierbij dus aan wachtwoorden, creditcard-informatie, betalingsgegevens of sofinummers. Voor een hacker is het veel lastiger om toegang te krijgen tot versleutelde data, ondanks dat het niet altijd foolproof is. Eigenlijk zou je sowieso moeten vermijden dat je creditcard-informatie opslaat.

5: Beveilig je formulieren tegen uitbuiting en injecties
Contact- en registratieformulieren zijn vaak zwakke plekken die hackers gebruiken om toegang te krijgen tot de broncode of de database van je website. Misbruik kan variëren van het plaatsen van links of virussen op je website of het via injecties toegang verschaffen tot je database. Zorg er daarom voor dat je formulieren goed gecodeerd zijn en op een goede manier de input verwerken en elke code-injectie juist verwerpen.

6: Los snel de bekende beveiligingsproblemen op
Als je webwinkel wordt gerund op basis van open-source software,zorg er dan voor dat je up-to-date blijft qua nieuwe releases en veiligheidsmeldingen. Mocht er een lek worden gevonden, zorg dan gelijk voor een goede fix of update. Sommige softwarepakketten kunnen je een mailtje sturen wanneer er een nieuwe update (nodig) is.

7: Bewaar geen creditcard-gegevens
Een van de simpelste manieren om de betalingsgegevens van je klant te beschermen is om de data helemaal niet op te slaan. Hackers kunnen geen toegang krijgen tot iets wat er niet is. Als je toch een reden hebt om de betaalgegevens op te willen slaan, wees dan extra voorzichtig en zorg ervoor dat je de PCI Standards navolgt, dit is een aantal regels waaraan websites die creditcard-betalingen accepteren zich moeten houden.

8: Zet beschermingsmechanismen op bij klanten-logins
Als een hacker toegang zou hebben tot het account van een klant, kan hij dan een order plaatsen die op rekening komt van de klant maar wel bij hem thuis bezorgd wordt? Of nog erger, zou hij in staat zijn om het creditcardnummer van de klant te gebruiken? Als je webwinkel gebruikers toestaat om in te loggen om zo hun bestellingsgeschiedenis te bekijken of een bestelling te plaatsen, wees er dan zeker van dat je enkele beschermingsmechanismen achter de hand hebt die voorkomen dat een hacker flinke ravage kan aanrichten als hij toegang tot een klantenaccount krijgt.

9: Verschaf toegang tot data op een noodzakelijke basis
Een vaak over het hoofd geziene bron van beveiligingsproblemen zijn foute medewerkers of leveranciers. Om het risico dat een van die twee de klantgegevens voor eigen doeleinden gebruikt te minimaliseren, kun je de toegang van iedere gebruiker limiteren tot slechts die gegevens die zij daadwerkelijk nodig hebben.

10. Wat vandaag veilig is, is morgen misschien al fout!
Tijdens het bouwen van een webwinkel houd je rekening met de nieuwste software en een veilige transactie. Echter als je vervolgens achterover gaat leunen, of erger nog, allerlei aanvullingen in je webwinkel installeert en deze vervolgens niet actueel houdt, kan het alsnog misgaan! Loop daarom regelmatig even de code van je webwinkel na of laat het periodiek controleren door professionals!

Tags

Reacties