Turvallinen verkkokauppa

Turvallisuusriskit

Ihmiset ovat minkä tahansa tietojärjestelmän suurimpia turvallisuusriskejä. Verkkokauppiaat saattavat esimerkiksi säilyttää salasanaa näytön vierellä tai tallentaa sähköpostiviestejä yhdysvaltalaiselle pilvipalvelimelle... salasanan ollessa yrityksen katuosoitteen muunnelma tyyliin M@nnerheImitie. Verkkokaupan asiakkaat saattavat esimerkiksi käyttää samaa salasanaa kymmenissä verkkopalveluissa tai ilmoittaa tilauslomakkeella henkilötunnuksensa, vaikka sitä ei kysytä. Huolimattomuus, osaamattomuus, välinpitämättömyys ja kiire ovat kaikkialla läsnä.

Turvallisuusriskin toteutuminen edellyttää yleensä, että jokin kolmas toimija rikkoo lakia. Näitä henkilöitä kutsutaan krakkereiksi. Krakkerit joko murtautuvat suoraan verkkopalvelimelle, tietokantaan tai käyttäjän tietokonelle, eli itse asiassa ohjelmiston ulkopuolelle. Pienemmässä mittakaavassa verkkokauppiaan muistitikku varastetaan.

Toimi seuraavasti

• Älä kerro esimerkiksi kyselytutkimuksissa tietoja käyttämistäsi ohjelmistoista.
• Älä kerro esimerkiksi puhelimessa käyttäjätunnuksia ja salasanoja.
• Älä kerro esimerkiksi puhelimessa työkaverisi asuinpaikkaa, ikää, loma-aikaa tai parisuhdetta.
• Käytä eri verkkopalveluissa vaikeasti arvattavia salasanoja, kuten esimerkiksi Fn34V###Xi7D tai oonamenihyllylleistumaanjaSOI3omenaa.
• Käytä eri verkkopalveluissa eri salasanoja.
• Vaihda salasanasi edes kerran vuodessa.
• Vältä salasanan tallentamista minkään ohjelman muistiin.
• Aseta tietokoneesi käyttöjärjestelmä (esim. Windows) päivittymään automaattisesti.
• Aseta tietokoneellasi olevat ohjelmistot päivittymään automaattisesti.
• Aseta tietokoneesi tietosuoja-asetukset "tiukaksi ja niukaksi".
• Poista puhelimestasi sovellukset ja tilit, joita et käytä usein.
• Älä avaa sähköpostin liitetiedostoja, vaikka lähettäjänä olisi tuttu henkilö, ellet odota kyseistä liitettä.
• Asenna ohjelmisto salattuun yhteyteen (https://)
• Päivitä ohjelmisto säännöllisesti tai tilaa maksuton päivitystyö.

Ohjelmiston turvallisuus

Olemme suunnitelleet verkkokauppaohjelmistoja yli 20 vuoden ajan. Neljännen ohjelmistosukupolven Clover Shopin turvallisuus perustuu muun muassa hajauttamiseen, turvallisuuskerroksiin, salattuun lähdekoodiin, salausalgoritmien hajontaan, ennalta-arvaamattomuuteen, harhaanjohtavuuteen ja käyttäytymismallien tuntemukseen.

Emme voi paljastaa kaikkea, mutta yleisesti tiedossa olevia seikkoja ovat:

• Meillä ei ole pääsyä verkkokauppojen palvelimille ja tietokantoihin. Samasta syystä johtuen meillä ei ole palvelimia ja tietokantoja, jotka voisivat kiinnostaa hyökkääjiä.
• Ohjelmisto ei ole koskaan päällä. Siksi hyökkääjä ei voi kytkeä sitä myöskään pois päältä.
• Ohjelmisto koostuu salatuista ohjelmatiedostoista. Tiedoston pienikin muokkaus estää kyseisen ohjelmatiedoston lähdekoodin salauksen purkamisen, eli ohjelmiston lähdekoodia ei voi injektoida vaan hyökkääjän on sijoitettava haittakoodi ohjelmiston lähdekoodin ulkopuolelle.
• Ohjelmisto tallentaa salasanoista ainoastaan niiden tiivisteet, joita ei ole laskettu koulukirjaesimerkeillä.
• Ohjelmisto ei käsittele henkilötunnuksia, korttitietoja, pankkitunnuksia tai maksuja.
• Ohjelmisto voidaan asentaa salattuun (https://) yhteyteen.
• Sähköpostiviestit voidaan lähettää omilla SMTP-tunnuksilla autentikoidusti ja salatusti.
• Lomakkeissa on sekä esitarkistus (pattern) että vastaanottotarkistus (POST).
• Sähköpostiosoitetta ei hyväksytä käyttäjätunnuksena.
• Usean tekijän todentaminen (MFA) hallintaliittymään kirjauduttaessa.
• Hallintaliittymän käyttäjillä on rajoitetut toimialueet.