Fırat Ürper

Çalışma Notlarım

Siber Güvenlik

E-Ticaret Güvenliğinin Temelleri Ve İzlememiz Gereken En İyi Uygulamalar

By admin//

E-Ticaret mağazalarınızın güvenliği için ne kadar gelişmiş önlem kullanırsanız kullanın, bilgisayar korsanları her zaman bu zorluğun üstesinden gelmeye çalışacaktır. E-ticaret güvenliği, mağazanızı korumak için gerekli tüm temel ve proaktif önlemleri almanızı gerektirir. Öyleyse bu konuya ilişkin içerik tablomuzdan başlayalım:

  1. E-ticaret Güvenliği Nedir?
  2. E-Ticarette Zorunlu Uyum ve Protokoller
  3. E-Ticaret Web Sitelerinin Karşılaştığı Güvenlik Tehditleri
  4. İzlenecek En İyi E-Ticaret Güvenliği Uygulamaları
  5. Son Söz

1. E-ticaret Güvenliği: E-ticaret güvenliği, uyumluluk protokollerinin, gelişmiş algılama teknolojilerinin ve proaktif izlemenin bir karışımıdır. Basit bir ifadeyle, e-mağazanızı erişilemez kılmak için basit bir prosedür yoktur. Riski en aza indirmek için pek çok protokol, en iyi uygulama ve araçla uğraşmamız gerekir. Genel olarak, şirketlerin e-ticaret güvenliğinde ulaşmaya çalıştıkları hedefler şunlardır:

  • Verilerinin yetkisiz üçüncü şahısların eline geçmemesi için müşterileri için tam gizlilik sağlamak.
  • Bütünlük, müşteri verilerinin değiştirilmediği ve kullanılan detayların müşteriler tarafından sağlandığı gibi olduğu anlamına gelir.
  • Uyumluluk prosedürlerini takip ederek ve yaptıkları işin gerçek ve yasal olduğunu kanıtlayarak özgünlük .

Öncelikle, çevrimiçi bir mağaza işletmek için karşılamanız gereken temel uyumluluk standartlarına bir göz atalım.

2. E-Ticarette Zorunlu Uyum ve Protokoller: Her e-ticaret işletmesinin, e-ticaret alanında çalışmasına izin verilmesi için belirli standartlaştırılmış prosedürleri izlemesi gerekir. E-ticaret işlemlerinin hassas doğası nedeniyle, çevrimiçi mağazaların, çevrimiçi ticarette güvenliği sağlamak için çeşitli düzenleyici kurumlar ve uluslararası kuruluşlar tarafından belirlenen gerekliliklere uyması gerekir. Bu protokoller, mağazanızın temel e-ticaret güvenlik önlemlerine sahip olmasını ve çevrimiçi işlemlerde güvenilir olmasını sağlayacaktır.

2.1 Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS): PCI-DSS (Payment Card Industry Data Security Standard) çevrimiçi kredi kartı ödemelerini kabul eden tüm işletmeler için en önemli uyumluluk protokolüdür. Çevrim içi işletmeniz kart ödemelerini kabul edeceğinden ve kredi kartı bilgilerini ileteceğinden, verilerinizin PCI Uyumlu web barındırıcıları tarafından güvenli sunucularda barındırdığından emin olmanız gerekir. Bir işletmenin uyumsuz olduğu tespit edilirse, ödeme sektörü düzenleyicileri ağır cezalar ve kısıtlamalar (kredi kartı ödeme işlemlerinin askıya alınması gibi) uygulayabilir. PCI uyumluluğunun en son sürümü, tüm e-Ticaret mağazası sahiplerinin uyması gereken 12 gereksinim sunar. Bunlar arasında şifreleme protokolleri, kimlik doğrulama ve kısıtlama yöntemleri, virüsten koruma yazılımı ve güvenlik duvarlarının zorunlu kurulumu, güçlü parola koruması vb.

2.2 Uluslararası Standardizasyon Örgütü’nün (ISO) OSI Modeli: ISO, tüm sektörlerdeki işletmeler için uluslararası operasyon standartlarını yayınlayan bir kuruluştur. Kuruluşların doğru prosedürleri izlemesini, gereksinimleri karşılamasını ve çalışmaya uygun olmasını sağlar. Örneğin, standartlarından birkaçı veri güvenliğini, bilgi güvenliği yönetimini, e-ticarette işlem güvencesini vb. kapsar. ISO’dan bu sertifikaları almak, işletmenizin güvenlik standartlarını karşılamak için tüm prosedürleri takip ettiğini ve genel halk tarafından güvenilebileceğini gösterir. Özellikle OSI modeli , bir çevrimiçi iletişim sistemini 7 koruyucu katmana ayıran iletişim protokollerini ortaya koyar. Her katman, bir uygulama ile internet arasında bir bariyer görevi görür. Her düzeyde (fiziksel, ağ, oturum vb.) iletişimin düzgün bir şekilde yürütülmesini sağlar.

2.3 TLS, SSL ve HTTPS: Bir HTTPS protokolünde ‘S’, SSL (Güvenli Soket Katmanı) sertifikası anlamına gelir. Bir SSL (artık TLS) sertifikası, web sitenizin sunucuları ile istemci bilgisayarlar arasında gerçekleşen iletişimi şifreler. Tüm web sitelerinin bir HTTPS ortamında çalışması zorunludur. Bu olmadan, müşterilerinizin web sitenizle olan herhangi bir etkileşimi yakalanabilir ve hassas veriler kolayca çalınabilir. Ayrıca, HTTPS protokolünün olmaması web sitenizin SEO sıralamasını da etkileyebilir, çünkü Google, SSL sertifikası olmayan web sitelerini güvensiz olarak değerlendirerek sıralamalarını etkiler. PCI DSS’nin gereksinimlerinden biri de kart sahibi verilerinin açık ağlar üzerinden iletimini şifrelemektir. Web sitenizin alan adını satın alırken çevrimiçi olarak kolayca bir SSL sertifikası satın alabilir ve kurabilirsiniz.

2.4 GDPR: Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR-The European Union General Data Protection Regulation), aşağıdakileri sağlayan nispeten yeni bir güvenlik standardıdır:

  • Kuruluşların, müşterilerinin kişisel verilerinin ve gizliliğinin korunmasına yönelik sorumluluklarını ortaya koymaktadır.
  • Veri sahiplerine veya kullanıcılara bazı haklar verir.
  • Düzenleyici makamlara, orijinallik ve uygunluk kanıtı istemelerine ve kuruluşların standartlara uymaması durumunda para cezası vermelerine izin veren yetkiler verir.

3. E-Ticaret Web Sitelerinin Karşılaştığı Güvenlik Tehditleri: Güvenlik tehditlerini 6 başlıkta toplayıp tek tek şu şekilde açıklayabiliriz:

3.1 DDoS Saldırıları: Dağıtılmış Hizmet Reddi saldırısında, bilgisayar korsanları birden çok istemci bilgisayara erişim sağlar ve bir ‘botnet’ oluşturur. Bu botnet daha sonra bir web sitesine yoğun trafik göndermek için kullanılacaktır. Web sitenize kesinti süresi getirme ve yasal trafik için de erişilemez hale getirme amacıyla yapılır.

3.2 Kimlik Avı Saldırıları: Kimlik avı saldırıları, meşru bir kaynaktan geliyormuş gibi görünen sahte iletişimler göndermek için tasarlanmış bir tür sosyal mühendislik saldırısıdır. Genellikle e-postalar ve kısa mesajlar yoluyla yürütülen alıcılar, bir bağlantıya tıklamak veya bir eki indirmek için kandırılır. Amaç her zaman hassas verileri veya kredi/banka kartı ve giriş bilgileri gibi kişisel bilgileri çalmak veya kurbanın cihazına kötü amaçlı yazılım yüklemektir.

3.3 Siteler Arası Komut Dosyası Çalıştırma (XSS): Saldırganlar, kullanıcılar web sitesini yüklediğinde etkinleşen kötü amaçlı kodlar/komut dosyaları eklemek için bir uygulamadaki boşlukları ve açıkları kullanır. Genellikle, kötü amaçlı JavaScript kodları web sitenize eklenir. Bu kodlar web sitenizi etkilemese de, son kullanıcılar web sitenizi ziyaret edip yüklediklerinde kimlik avı dolandırıcılıklarına, kötü amaçlı yazılımlara vb. maruz kalırlar.

3.4 E-Skimming: Bu saldırı biçiminde bilgisayar korsanları, bir e-ticaret web sitesinin ödeme işleme sayfasından kredi kartı ayrıntılarını ve diğer önemli kişisel bilgileri çalar. Bilgisayar korsanları, web sitenize erişmek için kaba kuvvet saldırıları, kimlik avı veya kod enjeksiyonları kullanır.

3.5 Kötü Amaçlı Yazılım (Malware): Uygulama içi güvenlik açıkları, web sitenize Truva atı, fidye yazılımı, casus yazılım, kök kullanıcı takımı vb.

3.6 SQL Enjeksiyonu: SQL enjeksiyonları çoğunlukla bir web sitesinin iletişim ve gönderim formlarında yürütülür. Bilgisayar korsanları, kullanıcı alanlarına istek ve sorgu şeklinde zararlı SQL kodları ekler. Bu, web sitesinin arka ucuna erişmelerine ve bilgileri çalmalarına yardımcı olur.

4. İzlenecek En İyi E-Ticaret Güvenliği Uygulamaları: Web sitenize erişimi sınırlayarak ve çift doğrulama kullanarak web sitesi ihlali olasılığını azaltabilirsiniz. Alabileceğiniz birkaç önlem şöyledir:

4.1.1 İki Faktörlü Kimlik Doğrulama (2FA/MFA) veya İki Adımlı Doğrulama (2VA): Çevrimiçi olarak mal satın alıyorsanız, 2FA’lara aşina olmalısınız. Bir hesaba kullanıcı adını ve şifreyi girdikten sonra, ödeme ağ geçitleri genellikle yalnızca sizin erişebileceğiniz başka bir kod veya pin sağlamanızı ister. Genellikle, bu Tek Kullanımlık Parolaları (OTP’ler) cep telefonunuza veya e-postanıza alırsınız. Bazen çifte doğrulama, parolanızı girdikten sonra parmak izi taramaları veya yüz tanıma anlamına da gelebilir. Saldırgan, parolanızı kırmış olsa bile hesabınıza erişemeyeceğinden, bu kısıtlama önlemi şüphesiz herhangi bir parola tahmin eden bilgisayar korsanlığı planını (kaba kuvvet saldırısı gibi) başarısızlığa uğratacaktır.

4.1.2 Erişimi Kısıtlayın ve Kullanıcı Rollerini Tanımlayın: Çoğu e-ticaret platformunda, doğrulanmış personelin uygun olduğunu düşündüğünüz özel bir süre boyunca web sitenize erişmesine izin verebilirsiniz. Ayrıca, onlara vereceğiniz ayrıcalıkları tanımlayarak, web sitenizin tüm yönlerini kontrol etmelerini sınırlayabilirsiniz. Örneğin, satış personelinin yalnızca stok, gelir numaraları vb. güncellemesine izin verilecektir. IP Beyaz Listesi , erişimi yalnızca güvenilir IP adresleriyle sınırlandırabileceğiniz iyi bir önlemdir.

4.2 Güvenlik Duvarlarını Dağıtın: Güvenlik Duvarı, bir web uygulamasının ağı, sunucusu ve internet arasındaki koruyucu bir engeldir. Basit bir ifadeyle, isteklerle web sitenizin sunucularına isabet eden trafiği izler, kötü niyetli niyeti belirler ve zararlı istekleri anında filtreler. Güvenlik duvarları, ağ güvenlik duvarları, Web Uygulaması Güvenlik Duvarları , durum bilgisi olan güvenlik duvarları vb. gibi birçok türdendir. Bunlar, bir OSI modelindeki 7 katmanlı korumanın bir parçasıdır. Tipik olarak, güvenlik duvarları bir siber saldırının belirli belirtilerini arayacak ve çevrimiçi saldırıları önlemek için uygulama içi güvenlik açıklarını tespit edecek şekilde yapılandırılır. Akıllı güvenlik duvarları, orijinallik kanıtı sağlamak için bağlantı isteklerini de sorgulayabilir.

4.3 Düzenli Yedeklemeler: Yedeklemeler, sisteminizi bilinen son yapılandırmasına veya sürümüne döndürecektir. Bu, verileriniz için sık veya düzenli yedeklemeler yapmanız gerektiği anlamına gelir. Bir saldırgan web sitenize sızar ve verilerinizi değiştirir/silerse, yedeklemeler en iyi seçeneğinizdir. Tüm verilerinizi kaybetmeden ve sıfırdan başlamak zorunda kalmadan mağazanızın en son sürümüne erişebileceksiniz.

4.4 Güvenli Ödeme Ağ Geçitleri: Web siteniz için bir ödeme ağ geçidi seçerken dikkatli olmak akıllıca olacaktır. Tüm işlemlerin kendi sunucularınızda barındırılacağı ve işleneceği bir kurum içi ağ geçidi kullanabilirsiniz, yani tüm kredi kartı detayları ve diğer kişisel bilgiler veri tabanınızda olacaktır. Bu riskli olabilir, çünkü bir web sitesi ihlalinin kurbanı olmanız durumunda müşteri verilerinin kaybolmasından yalnızca siz sorumlu olursunuz. Mağazanızın işlemlerini tek başınıza güvence altına alma riskini üstlenmek istemiyorsanız Paypal, Stripe, Razorpay vb. gibi üçüncü taraf ödeme toplayıcıları seçmeyi düşünebilirsiniz. Toplayıcılarla ortak olursanız, işlemler tesis dışında onların sunucularında işlenir. Müşteriler, ödeme yaptıklarında ödeme sayfalarına yönlendirilecektir. Bu seçeneğin avantajı, sitenizdeki parasal işlemlerin şifrelenmesi ve güvenliği ile ilgilenmek zorunda kalmamanızdır. Ödeme toplayıcılar, müşteri bilgilerini ve parayı korumak için daha donanımlıdır, çünkü uzman oldukları konu güvenli çevrimiçi ödemelerdir. Ancak, ödeme işleme prosedürü üzerinde o kadar fazla kontrole sahip olmayacaksınız, bu nedenle karar verirken bunu da aklınızda bulundurun.

4.5 Güçlü Parolalar Kullanın: Sektör istatistikleri, veri ihlallerinin %80’inin zayıf parolalardan kaynaklandığını gösteriyor. Netizenler, bilgisayar korsanlarının şifrelerini kırmak için kullandıkları gelişmiş teknolojinin ve hilelerin genellikle farkında değildir. Gelişmiş bilgisayar korsanlığı yazılımları, programları ve robotlar sayesinde çoğu parolanın tahmin edilmesi kolaydır. Şifre kombinasyonunuza sadece birkaç rakam eklemek yeterli değildir. Parolanız şu şekilde olmalıdır:

4.6 Captcha’ları Etkinleştir: E-Ticaret web sitesi giriş sayfanıza Captcha’yı eklemek, zorlukları insanların çözmesi için tasarlandığından, bot saldırılarının başarılı olmasını zorlaştırabilir. Captcha, kullanıcıların hassas bilgileri girmek zorunda olduğu tüm sayfalarda kullanılır. Captcha’lar, kaba kuvvet girişimleri gibi bot kaynaklı saldırıları engellemede önemli ölçüde etkili olabilir.

4.7 Anti-Virüs ve Kötü Amaçlı Yazılımdan Koruma Yazılımını Kurun: Virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımı, düzenli taramalar gerçekleştirecek ve virüs bulaşmış kod komut dosyaları veya güvenlik açıkları konusunda sizi uyaracaktır. Bilgisayar korsanları web sitenizin kodunu başarılı bir şekilde kirletse bile, zamanında tespit ve hasar kontrolü sizi büyük veri kayıplarından kurtarabilir. Tüm e-ticaret platformları, sağlığını korumak için web sitenizi düzenli olarak denetleyen yerleşik özellikler veya yüklenebilir anti-virüs uzantıları ile birlikte gelir.

4.8 E-Ticaret Barındırmanızı Akıllıca Seçin: E-Ticaret güvenliğinde, her şey web sitenizin sunucularının ne kadar güvenli olduğuna bağlıdır. Tüm veritabanınız ve web sitesi dosyalarınız web sunucunuzda bulunur. Bu nedenle, web sitenizin hızı ve güvenliği nihai olarak web barındırıcılarınızın sorumluluğundadır, bu nedenle dikkatlice düşündükten sonra birini seçin. Güvenlik en önemli konuysa, tam olarak yönetilen barındırma hizmetleri idealdir. Bu tür hizmetler, web sitelerinizi 7×24 proaktif olarak izleyecek, tüm güvenlik hususları ile ilgilenecek ve sorunları veya güvenlik açıklarını düzeltmek için devreye girecektir. Örneğin, güvenlik hizmetlerimiz şunları içerir:

  • WAF’ler, SFTP, SSL,
  • Proaktif izleme
  • Saldırı durumunda anında müdahale
  • Kötü amaçlı yazılım ve virüslere karşı düzenli tarama
  • Günlük yedeklemeler
  • Ücretsiz CDN