Привет!

Services

Безопасен ли Shopify? Насколько безопасна eCommerce платформа Shopify?

Artur ShevchenkoArtur Shevchenko

Да. Эта статья посвящена теме защиты данных пользователей интернет-магазина и конструктивному ответу на вопрос: безопасно ли продавать на Shopify?

Надежность и безопасность транзакций во время взаимодействия с интернет-магазином - залог стабильных продаж, доверительного отношения пользователей и предотвращения потери денег компании.

Существует два базовых требования в сфере интернет-продаж, которые касаются пользовательских и банковских данных:

  1. Покупатель должен чувствовать себя защищенным от ввода данных кредитной карты, до получения товара в руки.
  2. Продавец должен быть уверен, что продажа сделана адекватным платежеспособным человеком, который осознанно сделал покупку.

В этом и заключается задача систем безопасности. Давайте разберемся, какие проблемы грозят eCommerce магазинам и их клиентам, и что может предложить система защиты платежей Shopify в этих вопросах.

С какими проблемами безопасности сталкиваются владельцы интернет-магазинов?

Личные данные пользователей - это информация, которую стремятся получить злоумышленники для своих целей. Существует несколько способов их достижения и ниже мы их опишем.

Фишинг

Фишинг позволяет мошенникам изъять данные вашей кредитной карты, логина или пароля. Например вам пришло письмо на почту, с текстом: “Наш банк предоставляет вам бонус в  размере 15% за прилежность к нашему бренду”. Затем вы переходите по ссылке на знакомый сервис банка, которым пользуетесь. Единственная разница в том, что это внешне идентичная копия, которая находится на сервере мошенников. Вы вводите логин и пароль, тем самым отдаете эти данные злоумышленникам после чего теряете деньги, которые были на счете. Именно так это и происходит.

Согласно Википедии, в США в 2008 году жертвами фишинга стали 5 миллионов покупателей. Об этом нужно знать каждому пользователю, который совершает покупки и транзакции в онлайн-режиме.

Что делать?

Не переходите по ссылкам подозрительных email писем, не сообщайте ваши логины, пароли и номера кредитных карт никому, в том числе сотрудникам банков. Они не имеют право запрашивать у вас подобную информацию.

Пример фишингового письма:

Источник: ru.wikipedia.org/wiki/Фишинг

Фарминг

Следующее, что может привести к потере данных - фарминг. Это разновидность фишинга, но с применением вируса на компьютере пользователя.  Механизм перенаправляет пользователя на заведомо фиктивный ip-адрес с целью получения банковских данных. Чаще всего, запущенная пользователем вредоносная программа заменяет один ip-адрес другим.

Как бороться? Использовать защиту электронного почтового ящика, отключить предварительный просмотр и не читать письма от незнакомых адресатов.

Уязвимость платформы интернет-магазина

Это довольно распространенная проблема. Приведем пример ситуации с одним из наших клиентов. Мы работали над интернет-магазином, который был взломан через неисправность одного из компонентов платформы. В ходе процесса специалисты обнаружили, что текущая база данных и файлы на хостинге были заражены вирусами. Потребовалось 7 часов, чтобы очистить сервер от вирусов и восстановить последний дамп базы данных, вместе с файлами на сервере. Как вы можете сделать вывод, это серьезный сбой в системе, который влечет за собой потерю данных и времени.

Заражение сайта вирусами происходит по причине некачественной или нерегулярной поддержки разработчиками. Такой случай можно часто встретить при работе с бесплатными eCommerce платформами, поэтому мы останавливаем свой выбор на Shopify.

 

Аутентификация

Клиент и продавец должны четко идентифицировать друг друга, через email подтверждение и базовый набор данных: ФИО, номер телефона, адрес. В таких eCommerce платформах как Shopify работают надежные алгоритмы, которые указывают владельцу на подозрительный заказ.

 

Современным стандартом защиты данных на стороне пользователя является SSL-сертификат. Он защищает пользовательские данные от перехвата сторонними лицами, шифрует полученные данные определенным образом и передает на сервер.

Нужен ли он? Он обязателен.

Отказоустойчивость и атаки на серверы

Ваш интернет-магазин должен выдерживать большой поток посетителей и иметь средства защиты от спамерских массовых атак.

Довольно типичная картина, когда молодой интернет-магазин набирает обороты, посещаемость, попадает в индекс Google. Это отличное достижение, если бы не одно но. Параллельно с увеличением трафика, ваш магазин попадает в поле зрения спамеров, которые направляют на сервер миллион запросов. Это приводит к тому, что сервер магазина просто не выдерживает нагрузки и ложится. Таким образом ваш успех может сыграть с вами в злую шутку.

Безопасен ли Shopify?

Мы ведем постоянную коммуникацию как с продавцами так и с покупателями интернет-магазинов разных eCommerce платформ и в ходе работы получаем распространенный вопрос: безопасно ли покупать с Shopify?  Давайте разберемся.

Shopify - это eCommerce платформа, которая  рассчитана на владельцев малого и среднего бизнеса. Не у всех пользователей есть возможность тратить большую часть своего бюджета на поддержку сайта. Поэтому для эффективной и стабильной  защиты Shopify магазина разработчики платформы создали автоматизированные механизмы, которые следят за безопасностью данных и переводами платежей.

Система защиты платежей Shopify

Насколько безопасны оплаты Shopify?

Тема Shopify безопасности касается 2 групп заинтересованных сторон: покупателей и владельцев интернет-магазинов. Важно защитить обе эти категории, а не предоставлять средства защиты только для одной из них. Существует мнение, что уровень защиты вашего интернет-магазина зависит от тарифного плана. Это не так: независимо от того, какой у вас тариф, вы получаете одинаково высокий уровень защиты.

Все планы, начиная от 29$ в месяц, заканчивая самым дорогим имеют одинаковые стандарты безопасности. Вам не нужно ставить хитрые приложения, долго настраивать параметры сервера, ставить вручную ssl-сертификаты, или звать на помощь команду из FBI, чтобы они обеспечили безопасность вашего магазина. Есть только небольшое уточнение по поводу Plus плана.

В этом тарифном плане вы получаете защиту на порядок выше, потому что он предусматривает обработку большего объема информации. Серверу необходимо выдержать максимальное количество посещений, которые пользователи выполняют одновременно.

Стандарты безопасности

PCI compliance - это стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Без этого стандарта немыслима современная электронная коммерция, так как он подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.  

Shopify сертифицирован согласно стандарту Level 1 PCI DSS. Это значит, что магазины оснащены инструментами шифрования данных, защитой переводов Shopify, предотвращением вирусов на стороне сервера, средствами анализа риска и постоянного мониторинга безопасности. Покупатель и продавец уже защищены на этапе транзакций и ввода данных карты.

SSL сертификат

Также, для эффективной защиты данных каждый Shopify магазин оснащен бесплатным 256-битным SSL сертификатом. Это 256 битное шифрование, которое считается одним из самых надежных. Шифр выглядит примерно так: 115,792,089,237,316,195,423,570,985,008,687,907,853,269,984,665,640,564,039,

457,540,007,913,129,639,936 (78 цифр) возможных комбинаций.

Принцип работы базируется на подходе Public/Private Key Pair. Шифрование в 256 бит означает, что злоумышленнику понадобится сделать всего 2 в 256 попыток, чтобы взломать ключ, который выглядит как 78-значное число. Допустим, есть 2-битный ключ. Следовательно, он будет иметь 2 2 (4) значения — 00, 01, 10 и 11. Таким образом, 256-битный ключ может иметь 2 256 (индекс сверху) возможных комбинаций.

Теоретически угадать это число возможно, но практически - нет.

Отказоустойчивость серверов

Каждый владелец Shopify магазина получает от разработчиков платформы техническую и клиентскую поддержку 24/7.Мы можем подтвердить это заявление основываясь на личном опыте. За 2,5 года работы с платформой мы видели всего несколько глобальных падений сервисов, которые решались в течение часа. Можете посмотреть статистику сами - status.shopify.com. Здесь отображается текущий статус платформы и проблем с безопасностью Shopify, которые были устранены. Серверы работают стабильно и выдерживают большую нагрузку.

Shopify fraud analysis  

Fraud analysis - это система защиты данных Shopify. Эта функция есть в каждом онлайн-магазине. Она состоит из ряда показателей, которые собранные в единую систему: ip-адрес, локация покупателя, адрес доставки, количество попыток оформления, и т.д.  

Благодаря этой функции вы можете обнаружить подозрительный заказ от злоумышленников. Сценарии развития разных ситуаций читайте ниже.

Итак, вы получили заказ. Затем во вкладке Fraud Analysis вы получаете информацию, что поступило 10 попыток оформления заказа из разных номеров кредитных карт, а ip-адрес заказчика находится в списке базы спамеров.

Допустим, вы получили по этому заказу оплату, и какое вам дело, что товар могут не забрать? Развитие этой ситуации может быть таким:

Сценарий 1. После получения оплаты данные карты были похищены. К вам обращается владелец карты с просьбой о возврате денег, потому что он не совершал эту покупку. Вы будете вынуждены потратить уйму времени на выяснения ситуации, и в последствии, вернуть деньги владельцу карты.

Сценарий 2. Вы уже в курсе подобного варианта развития событий, поэтому при поступлении подозрительного заказа обращаете внимание на эти сигналы и выходите на связь с покупателем. После выяснения особенностей заказа понимаете что это не мошенник, а покупатель, который просто не умеет пользоваться интернет-магазином или у него возникли проблемы с соединением. Причины могут быть разные, но за счет правильной реакции на предупреждение вы обезопасили себя и клиента от неприятной ситуации.

Вывод

Так, Shopify безопасен как для покупателей так и для продавцов?  Да, без всяких сомнений. Оттого насколько защищен Shopify магазин каждого пользователя зависят продажи клиентов и репутация платформы, поэтому разработчики строго за этим следят. Если вы хотите, чтобы данные вашего интернет-магазина были в безопасности, а сбережения внезапно не исчезли, переходите на платформу Shopify. Если вы уже работаете с платформой и у вас возникли трудности или вопросы, наши специалисты готовы помочь. Заполните форму и наш Shopify консультант поможет вам определить способы повышения вашего профессионального роста.

Мы знаем как разрабатывать eCommerce проекты

Спасибо!
Ваша заявка отправлена