Bezpieczeństwo danych jest jednym z kluczowych elementów każdego systemu informatycznego, który wykorzystywany jest globalnie. Branża e-commerce rozwija się każdego dnia, dlatego dużym wyzwaniem jest podtrzymywanie i kreowania standardów bezpieczeństwa na coraz wyższym poziomie. W tym artykule omówione zostaną elementy, które powstały po to, by zagwarantować właścicielom sklepów i ich klientom maksymalne zabezpieczenie podczas korzystania z ekosystemu Shopify. Odpowiemy na pytanie, jakie są możliwości ochrony danych sklepu i konsumenta podczas procesu zakupowego, jak również podczas całościowej wizyty w sklepie, która ostatecznie nie kończy się na finalizacji transakcji.
Zacznijmy jednak od kwestii podstawowych. Każdy sklep wdrożony na silniku Shopify, domyślnie zagwarantowany ma darmowy certyfikat TLS (), który odpowiada za szyfrowania takich danych jak hasła, informacje o płatnościach, dane personalne i tak dalej. Potwierdzeniem posiadania certyfikatu jest symbol kłódki, znajdujący się przy adresie url sklepu.
Podstawą jest również wykorzystywanie reCAPTCHA. Shopify pozwala w łatwy sposób zarządzać daną opcją. Znajdziemy ją w ustawieniach preferencji sklepu Shopify. Głównym celem jej jest pozwolenie wyłącznie fizycznej osobie przesyłać dane, co chroni sklep przed spamowaniem. Ta technologia chroni: formularze, fora dyskusyjne i tak dalej.
Logując się do panelu administratora Shopify możemy korzystać z dwuetapowego zabezpieczenia. W dzisiejszych czasach dwuetapowe zabezpieczenia kont jest bardzo ważnym elementem ochrony, gdyż użytkownicy coraz częściej narażeni są na nielegalne przechwytywanie danych. Tego typu zabezpieczenie jest wręcz koniecznością. Jednym z najchętniej wykorzystywanych sposobów na uwierzytelnianie dwuskładnikowe (2FA), wykorzystywanym również w Shopify, jest wysłanie na wskazany numer telefonu kodu potwierdzającego daną akcję. Kody można uzyskać ponadto w aplikacji mobilnej. Przy włączeniu podwójnej weryfikacji dostajemy kody jednorazowe, które wykorzystywane są w sytuacji, gdy nie mogą zostać użyte dwie opisywane wcześniej metody. Możemy także skorzystać z kluczy bezpieczeństwa U2F, które przypominają nam pendrive i pozwalają przejść weryfikację. Shopify pozwala skorzystać z danej opcji, przechodząc do ustawienia konta w zakładce bezpieczeństwo.
Bezpieczeństwo sklepu internetowego zależy ponadto od oprogramowania, które zostało wdrożone przez zatrudnionego dewelopera. Shopify przedstawia metody i dostarcza szereg informacji, za pomocą których optymalizuje pracę programistów i wskazuje najlepsze praktyki dotyczące bezpieczeństwa. Jednym z najważniejszych czynników jest ochrona tokenów, za pomocą których m.in. mikroserwisy komunikują się z Shopify. Autoryzacja dodatkowych systemów odbywa się za pomocą OAuth 2.0.
Na ostatnim, czerwcowym Shopify Unite, podczas premiery konceptu Shopify Store 2.0 pojawiło się kilka informacji, które w kontekście bezpieczeństwa mogą zainteresować frontend developerów. Powstało kilka nowych podejść do edytowania motywu sklepów, a właściciele sklepów mogą w przezroczysty sposób zarządzać nadanymi dostępami. Warto pamiętać o kontroli wersji motywów, robić backupy i korzystać z gita.
Shopify mocno inwestuje w bezpieczeństwo i oprócz zachowania wszystkich standardów, nadal testuje i ulepsza ochronę. Co ciekawe, jeśli ktoś znajdzie i udokumentuje lukę w fortyfikacjach zabezpieczających Shopify, firma wypłaca odpowiednią sumę, nawet do 50 000$ – szczegóły możemy przeczytać na stronie hackerone.com.
W życiu codziennym pamiętajmy o prostych zasadach, jak chociażby o blokowaniu komputera, gdy od niego odchodzimy, korzystajmy ze sprawdzonych aplikacji. Zadbajmy o to, żeby hasła, których używamy były odpowiednio ‘silne’, tzn. zawierały małe i wielkie litery, znaki specjalne oraz cyfry. Kluczowe jest również to, by cyklicznie zmieniać zapisane w systemie hasła.
