Tutto ciò che devi sapere per proteggere il tuo sito e-commerce dalle minacce informatiche

I siti e-commerce saranno sempre un bersaglio allettante per gli attacchi informatici. Gli hacker li considerano forzieri colmi di preziose informazioni personali e finanziarie. E per le aziende di ogni dimensione, qualsiasi violazione, con conseguente perdita non solo dei dati, ma anche della fiducia dei clienti, può rappresentare un danno ingente. 

E i titolari delle aziende e-commerce lo sanno bene, e stanno quindi potenziando le proprie misure di sicurezza. Il Cybersecurity Outlook Report di VMWare Carbon Black del 2020 ha rivelato che il 77% delle aziende intervistate ha acquistato nuovi prodotti correlati alla sicurezza, nell'ultimo anno, e che il 69% ha ampliato il proprio team dedicato. 

E se da una parte i rivenditori digitali adottano tecnologie sempre più innovative affinché i propri siti restino competitivi, dall'altra gli hacker affinano sempre più le proprie abilità, trovando nuovi punti deboli da sfruttare. Il modo più efficace per stare al passo è conoscere le migliori pratiche per la sicurezza nel campo dell'e-commerce e le modalità di attacco a cui fare attenzione.

La frequenza e la sofisticatezza degli attacchi informatici sono aumentate esponenzialmente, negli ultimi anni. Per sicurezza nell'e-commerce si intende una serie di misure da adottare per proteggere la tua attività e i tuoi clienti dalle minacce informatiche.

Di seguito elenchiamo alcuni termini e acronimi comuni che è bene conoscere.

Lo standard PCI DSS (spesso denominato semplicemente "PCI") è uno standard di settore che garantisce la trasmissione e la conservazione sicura dei dati delle carte di credito raccolti online.

L'ISO è un organismo internazionale che definisce gli standard e le direttive che aiutano le aziende a garantire che i loro prodotti e processi siano adeguati. Uno dei loro standard, l'ISO/IEC 27001:2013, affronta proprio la sicurezza dei dati. Le aziende ottengono questa certificazione quando impiegano sistemi di gestione e di sicurezza dei dati, delle strategie di mitigazione del rischio e delle pratiche aziendali standardizzate di alta qualità.

Per dati o informazioni personali si intende qualsiasi dato riconducibile a un individuo specifico, come nome, indirizzo e-mail e numero di telefono. Non sempre, però, sono così ovvi. Qualsiasi insieme di dati, anche non contenente nomi o numeri specifici, ma che possa comunque condurre all'identificazione di una persona, è considerato dato personale. Proteggere le informazioni personali è particolarmente importante, nell'ambito delle normative sulla protezione dei dati come il GDPR (di cui parleremo in dettaglio più avanti). 

Utilizzare un certificato digitale SSL consente di autenticare e crittografare i collegamenti tra due computer connessi in rete. Una volta ottenuto un certificato SSL per il tuo sito e-commerce, puoi passare dal protocollo HTTP al protocollo HTTPS, che funge da "prova di attendibilità" per i clienti, garantendo la sicurezza del tuo sito.

Queste tre sigle sono talvolta utilizzate come sinonimi, e per certi versi i concetti sono simili, sebbene non esattamente uguali. Oltre a richiedere l'inserimento di un nome utente e di una password, tutti e tre i metodi prevedono almeno un ulteriore passaggio per la verifica dell'identità dell'utente che accede a un sito, ad esempio al tuo negozio e-commerce.

Di seguito una descrizione a grandi linee delle differenze:

• La Verifica in due passaggi potrebbe richiedere all'utente di inserire un codice monouso che gli viene inviato tramite e-mail, messaggio di testo o chiamata.
• L'Autenticazione a due fattori si spinge un passo più avanti e potrebbe chiedergli di confermare il proprio tentativo di accesso tramite un altro dispositivo. Per esempio, di aprire un'applicazione specifica su un dispositivo mobile per completare l'accesso da un laptop.
• L'Autenticazione a più fattori, invece, è simile a quella a due fattori, ma potrebbe includere uno o più fattori extra.

Un attacco DDoS ha lo scopo di bloccare il normale traffico di un server, servizio o rete utilizzando un volume di traffico eccessivo. Questa risorsa su Cloudflare, che offre informazioni più dettagliate sugli attacchi DDoS, li paragona a un ingorgo stradale. Immagina che le tue auto (i tuoi clienti e il traffico lecito) tentino di immettersi in un'importante arteria stradale durante l'ora di punta: l'ingorgo che si troverebbero davanti (traffico compromesso) impedirebbe loro di raggiungere il tuo negozio.

Per malware (o "software dannoso") si intende un software istallato da un criminale informatico all'interno del tuo sistema. Un ransomware, invece, è un tipo di malware che inibisce l'accesso al proprio sistema da parte della vittima, o che impedisce a quest'ultima di accedere ai dati fino a quando non avrà pagato un riscatto. Ecco alcuni segnali che potrebbero indicare che il tuo sistema è infetto:

• I link ti portano a una pagina di destinazione sbagliata.
• Nel tuo browser spuntano barre degli strumenti o pulsanti nuovi, oppure nel desktop vengono visualizzate nuove icone.
• Ricevi costantemente o quasi un grande numero di finestre pop-up.
• Il tuo sistema è lento o si impalla ripetutamente, o il tuo browser si blocca di frequente e non risponde come dovrebbe.
• Le tue e-mail tornano indietro.

I concetti di conformità e sicurezza informatica vengono spesso utilizzati come sinonimi, e per certi versi sono effettivamente correlati. Tuttavia, si differenziano per alcuni aspetti importanti.

La conformità si riferisce alla capacità di soddisfare una serie specifica di standard stabiliti da governi o istituzioni private, laddove non rispettarli rappresenti una violazione di carattere legale. Soddisfare tali standard di conformità, tuttavia, non significa necessariamente che il tuo sito e-commerce è totalmente sicuro (N.B. gli standard di conformità potenzialmente applicabili alla tua azienda sono moltissimi, ma in questa sede parleremo solo di alcune delle principali normative correlate alla sicurezza informatica).

Qualsiasi azienda che gestisce transazioni con carta di credito deve soddisfare i requisiti PCI-DSS inerenti alla protezione dei dati dei titolari delle carte di credito, indipendentemente dal fatturato o dai volumi delle transazioni di questo tipo. Questi standard sulla sicurezza dei dati sono definiti dal PCI Security Standards Council (PCI SSC) e applicati dalle società emittenti delle carte di credito.

Il GDPR è una normativa abbastanza recente promulgata all'interno dell'Unione europea per garantire la protezione dei dati personali e della privacy dei cittadini dello Spazio Economico Europeo (SEE). Tale normativa non si applica però soltanto alle aziende con sede nella UE. È infatti applicabile anche a chi vende prodotti a livello internazionale a uno o più cittadini dell'Unione nella gestione dei dati di questi ultimi.

Con la messa in vigore del GDPR da parte della UE, lo stato della California si è subito attivato per promulgare una propria legge in materia di protezione dei dati. Le aziende che collaborano con o che impiegano residenti dello stato della California hanno quindi dovuto conformarsi a tale normativa, il CCPA, entro il 1° gennaio 2020. Lo spirito del CCPA è simile a quello del GDPR, poiché è dedicato alla protezione dei dati e della privacy dei privati. Le due normative, tuttavia, recano alcune, importanti differenze. Sebbene il CCPA sia lo standard inerente alla protezione dei dati più recente e ad ampia portata negli Stati Uniti, almeno 15 altri stati prevedono standard sulla protezione dei dati e della privacy di qualche tipo.

I tipi di attacco informatico e i metodi utilizzati sono moltissimi e variegati. Sarebbe pertanto quasi impossibile approfondirli tutti in un unico articolo. In questa sede parleremo quindi di quelli più comuni e che è bene conoscere per mantenere al sicuro il proprio e-commerce.

Il phishing è un tipo di ingegneria sociale nell'ambito del quale un hacker induce la vittima, generalmente via e-mail, messaggio o telefono, a condividere dati sensibili come password, numeri di conto, numeri di previdenza sociale ecc.

Nota di BigCommerce: BigCommerce non chiederà mai ai propri utenti di aggiornare il negozio o le credenziali di accesso tramite un link inviato via e-mail. Se dovessi ricevere un'e-mail, una chiamata o un messaggio da parte di qualcuno che sostiene di lavorare per BigCommerce e che ti chiede di inviare i tuoi dati personali, contatta subito l'assistenza clienti per verificarne la legittimità.

Se il tuo dispositivo o la tua rete vengono colpiti da un malware o da un ransomware (un tipo specifico di malware), potresti perdere l'accesso ai tuoi sistemi e dati. Un periodo di inattività può costare caro, ma effettuare regolarmente un backup dei dati del tuo sito può aiutarti a limitare i danni. Evitare di cliccare su link sospetti o di istallare software sconosciuti sul tuo computer può inoltre aiutarti a proteggerti da questo tipo di attacchi.

Archiviare i dati in modo non sicuro in un database SQL potrebbe rappresentare un rischio per il tuo e-commerce. Se non viene convalidata correttamente, una query nociva inserita in un payload confezionato può consentire all'hacker di accedere per visualizzare e manipolare le informazioni contenute in un database.

Per Cross-site scripting (XSS) si intende l'inserimento di un codice nocivo (generalmente JavaScript) in una pagina web. Diversamente da altri tipi di attacco informatico, questo non ha un impatto sul sito stesso, ma sugli utenti della pagina (i tuoi acquirenti), esponendoli a malware, tentativi di phishing e molto altro.

L'e-skimming è un metodo utilizzato per appropriarsi dei dati personali e delle carte di credito dalle pagine di elaborazione delle carte di pagamento sui siti di e-commerce. Gli hacker ottengono l'accesso al tuo sito tramite un tentativo riuscito di phishing, un attacco brute force, un XSS o una violazione nei confronti di una società terza. Acquisiscono quindi in tempo reale i dati di pagamento inseriti dai tuoi clienti nella pagina dedicata.

Gli standard di conformità menzionati sopra sono destinati a durare nel tempo. In effetti, le tendenze in materia di tutela della privacy suggeriscono che in futuro il numero di tali standard è destinato ad aumentare, poiché gli utenti di tutte le età nutrono preoccupazioni sempre maggiori in merito alla destinazione dei propri dati.

Questo Data Breach Investigations Report analizza in dettaglio le tendenze relative agli attacchi informatici nel campo della vendita al dettaglio. Le informazioni di pagamento sembrano essere l'obiettivo principale, e gli attacchi nei confronti delle aziende di e-commerce continuano ad aumentare, a discapito delle violazioni indirizzate ai POS e degli skimmer per carte di credito, in diminuzione.

Una perdita dei dati dei clienti generata da una violazione della sicurezza del tuo sito e-commerce potrebbe costarti cara, non solo in termini di sanzioni, ma anche di reputazione del tuo marchio.

Secondo il Data Breach Investigations Report di Verizon del 2020, il 37% dei casi di furto è legato all'utilizzo di credenziali rubate o poco efficaci. Per questo ti conviene fare uno sforzo in più per assicurarti che sia tu che i tuoi clienti e dipendenti seguiate le buone pratiche per la creazione di password complesse:

• Una password efficace è composta da almeno 8 caratteri, e contiene lettere maiuscole e minuscole, numeri e simboli.
• Le password non dovrebbero mai essere condivise. Ogni utente dovrebbe possedere una password e un nome utente unici per accedere.
• È consigliabile non utilizzare la password associata al tuo sito e-commerce per l'accesso ad altri siti o servizi.
• Prendi in considerazione l'eventualità di avvalerti di un gestore di password.
• Non condividere mai pubblicamente informazioni sensibili come la tua data di nascita, il tuo numero di previdenza sociale o altri dati che potrebbero essere utilizzati in risposta a eventuali domande di sicurezza.

"Non utilizzare mai un nome che sia simile a quello proposto di default dal sistema. Gli hacker eseguono giorno e notte degli script per tentare ripetutamente di accedere al pannello di controllo. Se hai utilizzato un nome che sia una variante qualsiasi della parola "admin", faciliterai loro il compito." - Jason Simmons, CEO, Dead Soxy

Che disponga di un singolo computer che utilizzi da casa, o che possieda una sede centrale fornita di un sistema completo di computer in rete, assicurati che i dispositivi connessi siano protetti da anti-virus, firewall o simili contro le minacce informatiche.

Uno dei modi migliori per evitare un'infezione da malware è quella di non cadere nelle trappole tese dal phishing. Non fornire mai nessun dato personale, a meno che non abbia verificato l'identità del richiedente. Ricorda inoltre che nessuna organizzazione lecita ti chiederà mai di condividere la tua password.

Non cliccare mai sui link presenti in un'e-mail sospetta, poiché potrebbero portarti a pagine web create per simulare pagine di accesso a te familiari con lo scopo di sottrarti dati sensibili. Infine, non scaricare allegati inattesi.

Esistono alcuni modi per distinguere i tentativi di phishing dalle e-mail legittime. Ecco a cosa fare attenzione:

• Errori di grammatica e ortografia grossolani nell'oggetto o nel corpo dell'e-mail potrebbero indicare un mittente sospetto.
• Look closely at the domain of the email sender. They are often made to look like a familiar domain but are off by just one letter (e.g., BigCommerce.com could become BgCommerce.com).
• La stessa cosa vale per gli URL cliccabili. A prima vista potrebbero sembrare legittimi, ma un'osservazione attenta rivelerebbe che si differenziano da un link legittimo per una singola lettera. Questo nella speranza che la vittima, non notando l'errore, decida di cliccarci.
• I messaggi contenuti nelle e-mail sospette potrebbero chiederti di effettuare con urgenza un'operazione specifica, ad esempio trasferire dei soldi o autorizzare un addebito, fornendoti una qualche giustificazione in merito alla fretta.

Potrebbe anche pesarti, ma utilizzare la verifica in due passaggi, l'autenticazione a due fattori o quella a più fattori ti fornisce un'ulteriore protezione contro gli accessi non autorizzati. Considerate le potenziali conseguenze di una violazione, pertanto, lo sforzo vale decisamente la pena.

E nell'ambito dell'archiviazione dei dati, è essenziale conservare soltanto quelli strettamente necessari per condurre in modo ottimale la tua attività. Per decidere quali sono questi dati, nel tuo caso specifico, dovrai prendere in considerazione molti fattori.

Specie alla luce del crescente numero di normative sulla privacy e sulla protezione dei dati, è importante stabilire con attenzione la filosofia della propria azienda, in modo da trovare il giusto equilibrio tra esperienza del cliente, praticità in termini aziendali e sicurezza.

"Segmenta la tua rete per conservare i dati sensibili dei tuoi clienti separati da altre informazioni. Serviti di firewall ed effettua i controlli necessari per assicurarti che tutte le misure di sicurezza che hai predisposto funzionino a dovere." - Shane Barker, ShaneBarker.com

La sicurezza è una lotta senza sosta tra buoni e cattivi. Gli hacker continuano a identificare punti deboli sempre nuovi, mentre i software engineer non fanno altro che correggerli. Se utilizzi una piattaforma e-commerce SaaS come BigCommerce, gli aggiornamenti del software vengono eseguiti automaticamente. Ma con le soluzioni e-commerce on-premise, la responsabilità di apportare aggiornamenti, correzioni di bug o patching delle vulnerabilità al software che supporta il tuo negozio ricade sulla tua azienda.

"Con la piattaforma e-commerce precedente, dovevamo istallare manualmente i frequenti aggiornamenti di sicurezza, operazione che generalmente portava nuovi problemi. Avevamo quindi creato un sito sandbox secondario in cui testare tali aggiornamenti prima di caricarli sul sito vero e proprio. E come facilmente intuibile, non era una soluzione ideale." - Billy Thompson, Presidente, Thompson Tee

Un hosting HTTPS sicuro, che richiede un certificato SSL, ti aiuterà a proteggere il tuo sito web. Inoltre, porterà vantaggi al tuo reparto di marketing. Google, infatti, penalizza i siti web con protocollo HTTP nei ranking relativi alle ricerche organiche. Un protocollo HTTPS indica ai tuoi acquirenti, specie a quelli più esperti nell'ambito della navigazione in internet, che il tuo sito è sicuro.

Poiché il rischio di violazione o perdita di accesso ai dati è reale, è bene effettuare un backup, che ti aiuti a ripristinare l'operatività della tua attività nel più breve tempo possibile.

Fai l'inventario di tutte le soluzioni esterne che utilizzi nel tuo negozio. Assicurati di sapere quali sono e valuta periodicamente il livello di affidabilità delle terze parti fornitrici. Laddove smettessi di utilizzare una o più soluzioni, abbi cura di rimuovere l'integrazione dal tuo negozio. L'obiettivo è quello di consentire al minor numero di utenti possibile l'accesso ai dati dei tuoi clienti, continuando però a garantire la piena operatività della tua azienda.

I periodi festivi, purtroppo, vedono l'intensificarsi dei tentativi di frode e dei crimini informatici. Nella frenesia generale, i siti di e-commerce ricevono molte più visite del solito, rendendo eventuali comportamenti anomali più difficili da identificare. Gli hacker lo sanno bene, e vedono quindi periodi simili come un'opportunità.

Ecco alcune misure che puoi adottare per garantire la sicurezza del tuo sito web durante le festività:

"È durante le festività che si verificano la maggior parte degli attacchi informatici ai danni delle attività e-commerce, nel tentativo di sfruttare la frenesia associata al periodo. I rivenditori dovrebbero fare in modo di prepararsi in anticipo ed eseguire dei controlli accurati prima dell'inizio delle feste. Tra questi, verificare l'eventuale presenza di malware nei sistemi POS e migliorare la sicurezza dei server." - Shane Barker, ShaneBarker.com

Nell'ambito dei suddetti controlli, è consigliabile esaminare gli accessi:

"Assicurati di rivedere gli account con potere amministrativo e i privilegi assegnati a ciascun utente del tuo negozio, del software dedicato al marketing e degli altri strumenti che utilizzi. Disabilita o elimina eventuali account inutilizzati. Modifica infine i permessi per riflettere i flussi di lavoro aggiornati per ciascun utente." -Jordan Brannon, Presidente, Coalition Technologies

Un picco negli acquisti è spesso accompagnato da un picco nelle attività fraudolente. Secondo il sondaggio TransUnion Holiday Retail Fraud Survey del 2019, il 46% dei clienti ha paura di cadere vittima di una frode, quando fa acquisti durante le festività. 

"Un'altra minaccia informatica, tra le più diffuse ai danni dei marchi e-commerce di oggi, è la truffa del chargeback. Gli hacker reperiscono i dati delle carte di credito e le credenziali degli utenti, poi si dedicano a spese sfrenate. Il rivenditore riceve un ordine e lo spedisce senza indugio. Solo per ricevere, qualche tempo più tardi, un chargeback, poiché l'addebito è stato contrassegnato come fraudolento. Il rivenditore non ha alcuna possibilità di appello ed è quindi obbligato a rimborsare l'ordine, quando ormai le merci sono belle che andate. Questa tecnica è aggravata dai programmi fedeltà e dalle carte regalo.

Questo tipo di frode informatica è molto difficile da prevenire. "Dopo aver perso migliaia di articoli, abbiamo iniziato a utilizzare l'app Eye4fraud.com, per BigCommerce. Questa applicazione ci dice in tempo reale se spedire o meno ciascun ordine, e offre una garanzia in caso di chargeback." - Jason Simmons, CEO, Dead Soxy

Assicurati che tu e il tuo team siate preparati ad affrontare le minacce più comuni, predisponendo una procedura di verifica dell'identità chiara per i clienti che richiedono eventuali modifiche ai propri ordini o account.

È consigliabile blindare il tuo negozio, per le festività, ed evitare di apportare modifiche superflue, con i rischi che ne conseguono. Questa linea guida generale, tuttavia, non è applicabile alle operazioni relative alla sicurezza e al patching delle vulnerabilità del sito. Si applica invece per lo più alle soluzioni e-commerce on-premise. I rivenditori di BigCommerce, quindi, possono tirare un sospiro di sollievo! Dovrai creare un piano collaudato di aggiornamento del sito, laddove questo si rendesse necessario per garantire la sicurezza della tua attività e dei tuoi acquirenti.

Ogni componente della piattaforma di BigCommerce è creata pensando alla sicurezza. Piattaforma e-commerce SaaS multi-tenant, ti aiuta a ridurre il costo totale di proprietà. La tua organizzazione non è infatti responsabile della manutenzione dei server, dell'istallazione degli aggiornamenti e del patching dei server nel caso in cui vengano rilevate vulnerabilità in termini di sicurezza.

Le migliori applicazioni SaaS come BigCommerce offrono livelli di sicurezza solidi, un sistema di prevenzione delle frodi rigoroso, adeguati standard di sicurezza informatica e dei framework di conformità. E gli aggiornamenti e i patching delle vulnerabilità vengono gestiti dal gestore SaaS, senza ricadere sugli utenti.

Con il passaggio alla piattaforma cloud di Google, i vantaggi di BigCommerce in termini di sicurezza non hanno fatto che aumentare, grazie a delle misure aggiuntive come la protezione contro gli attacchi DDoS, tra le migliori disponibili.

Inoltre, BigCommerce conserva la conformità PCI per conto dei propri rivenditori, e ha ricevuto il certificato ISO 27001 nell'ambito dello standard internazionale che delinea le migliori pratiche dedicate ai sistemi di gestione della sicurezza delle informazioni.

"I requisiti, le complessità e i costi della conformità PCI sono in costante aumento. Per mitigarli, è necessario effettuare il passaggio a una soluzione SaaS." - Jason Greenwood, Direttore, Solutions & Delivery, Moustache Republic

BigCommerce prende la sicurezza e la privacy molto sul serio, e ne tiene conto sin dalle prime fasi della progettazione dei propri prodotti e dell'interfaccia dedicata ai clienti. Fa inoltre un passo in più, ponendosi dei limiti in termini di interazione con i dati dei propri rivenditori.

I dati e i clienti dei nostri rivenditori appartengono esclusivamente a questi ultimi. Per tenere le informazioni di pagamento dei tuoi clienti più al sicuro possibile, i dati sensibili vengono crittografati durante il transito, e non sostano nell'infrastruttura di BigCommerce.

Sviluppare un buon piano di sicurezza per il tuo e-commerce è essenziale per il successo della tua attività. Non puoi permetterti di perdere la fiducia dei tuoi clienti mettendo a rischio i loro dati personali. Utilizzando una piattaforma SaaS come quella di BigCommerce, potrai dedicare più tempo all'espansione del tuo business, poiché non dovrai preoccuparti del monitoraggio e della manutenzione inerenti alla sicurezza.

Ciò non significa che non c'è niente che tu possa fare. Seguire le buone norme relative alle password, fare attenzione a non cliccare su link sospetti e a non scaricare allegati sconosciuti contenuti nelle e-mail, e controllare regolarmente le integrazioni di società esterne è particolarmente importante, anche per i rivenditori che operano tramite una piattaforma SaaS sicura.

Seguendo i consigli contenuti in questo articolo e tenendoti aggiornato su cosa accade nel panorama della sicurezza informatica ti aiuterà a fornire ai tuoi clienti un'esperienza di acquisto più affidabile.

Scopri di più sulla sicurezza nel SaaS consultando questo approfondimento tecnico.

Questo materiale non costituisce una consulenza legale, fiscale, professionale o finanziaria, e BigCommerce declina ogni responsabilità derivante dal suo utilizzo. Per qualsiasi dubbio di tipo legale, professionale o finanziario, consulta il tuo referente dedicato.