Je website beveiligen is altijd al belangrijk geweest. Maar wellicht nu nog meer. WordPress websites worden aan de lopende band gehackt vanwege de populariteit van het CMS. Overheidsdiensten en grote technologie bedrijven lukt het ook niet om de internetcriminelen buiten de deur te houden. Hoe moet een kleine organisatie met een eenvoudige webshop of web applicatie het dan regelen?
Eenvoudige website beveiligen
Heeft u een eenvoudige website met alleen een simpel contactformulier? Dan hoeft u niet heel bang te zijn. Uw middelen en mogelijkheden zijn beperkt. Zorg dat updates van het CMS of extensies tijdig worden doorgevoerd. Stel een beleid om datalekken zoveel mogelijk te voorkomen.
Webshop of web applicatie beveiligen
De IT security van een webshop of e-commerce platform is complexer. Denk goed na over de risico’s die u kunt lopen en laat u goed voorlichten door onafhankelijke experts.
Als het webdesign bureau niet wilt dat er een security audit plaatsvind of geen verantwoordelijkheid wilt dragen dan moet u zich afvragen of u wel met hen in zee wilt gaan.
Security experts, privacy consultants en juristen zijn niet goedkoop. Vergeet deze kostenpost niet op te nemen in uw business-case.
Houd je aan e-commerce regels & richtlijnen
Voor velen zijn juridische regels en richtlijnen het minst leuke aan het runnen van een webshop. Wetgeving, Autoriteit Persoonsgegevens, consumentenrecht. Regels, regels, regels.
En dan heb je nog de IT security. Om ervoor te zorgen dat een 16 jarige jongen -met teveel vrije tijd en veel verstand van computers- geen gevoelige klantdata buit kan maken.
E-commerce beleid opstellen
Zonder na te denken implementeer je op de website een tool die data van gebruikers verzameld. Meestal wordt niet heel goed uitgezocht of het qua privacy en security wel snor zit. Als er al over nagedacht wordt.
In het kader van verantwoord ondernemen ontkomt u er niet aan om u hier in te verdiepen.
Stel, al dan niet in samenwerking met een derde gespecialiseerde partij, een beleid op.
- Wie heeft admin rechten van de website
- Wie mag iets installeren
- Wie krijgt toegang tot de database met klantgegevens
Om maar een paar voorbeelden te geven.
Onderstaande zijn de topics waar u goed over na moet denken bij het beveiligen van de website. Dus niet alleen technische aspecten. Ook beleidsmatige zaken om je in te dekken en de menselijke factor in het security verhaal.
Algemene voorwaarden
Wie kent ze niet. Een document met juridische taal in een veel te klein en moeilijk leesbaar lettertype. Je krijgt al koppijn bij de gedacht dat je alles moet doornemen. Dus ga je blindelings akkoord. Misschien nog even snel de looptijd van het contract dat je aangaat controleren maar dan houd het wel op. Helaas ben je wel verplicht om de klant voor het aangaan van een online transactie op te wijzen.
Cookiewet/ telecomwet
Gaat u online reclame campagnes voeren en de bezoekers van uw site achteraf advertenties voorschotelen (remarketing & retargeting)? Of profielen opbouwen om gericht te kunnen adverteren?
U zult de bezoeker van de site moeten melden dat u voor deze doeleinden cookies plaatst.
Meldpunt datalekken Autoriteit Persoonsgegevens
Ben je nalatig geweest in het beschermen van de persoonsgegevens van uw klanten? Dit kan flinke financiële gevolgen hebben. Maximale boetes bedragen EUR. 800.000.
Als er een hack incident heeft plaatsgevonden dan bent u verplicht dit bij het meldpunt datalekken van de Autoriteit Persoonsgegevens aan te geven. Dit gaat ook om een gestolen laptop van een medewerker.
Creëer geen schijnveiligheid
Moet de klant creditcard gegevens achterlaten om transacties te kunnen maken en worden deze gegevens in uw eigen domein opgeslagen dan bent u verantwoordelijk als hier iets mee gebeurt.
Huur een beveiligingsexpert in om eens flink tegen cruciale onderdelen van uw website te schoppen. De gevolgen kunnen enorm zijn als u wordt gehackt en u onvoldoende maatregelen heeft getroffen.
Wie is er aansprakelijk en wat is de imagoschade die u oploopt als u wordt gehackt en klantgegevens worden gestolen?
Wellicht is een aansprakelijkheidsverzekering een goed idee. Neem de beloftes van de leverancier omtrent de security maatregelen van het platform op in het contract om bij een eventuele incident ingedekt te zijn.
Leg IT security vast in een SLA
In een IT Service Level Agreement (SLA) kun je onderstaande en vast meer vastleggen
- Updates van het CMS tijdig worden doorgevoerd
- SSL certificaten tijdig worden verlengd
- Plugins en of extensies alleen worden geïnstalleerd met uw medeweten en dat deze tijdig worden geupdate?
- Als er ‘third party’ plug-ins worden geïnstalleerd dat deze van een betrouwbare partij worden afgenomen.
- Wie hebben er toegang tot de databases waar mogelijk klantgegevens worden opgeslagen?
- Welke security protocollen hanteert het webdesign bureau
Onze web applicatie is niet te kraken!
Hackers richten zich op grote websites, kleine websites, websites die goed zijn beveiligd en websites die slecht zijn beveiligd. Sites die niet up-to-date zijn en sites die enorm zijn dichtgetimmerd. Als het verbonden is met het internet dan is het te hacken.
Creditcard gegevens opslaan
Klanten de mogelijkheid bieden om creditcard gegevens achter te laten is misschien goed voor de shop completion rate (rendement). Want bij een herhaalaankoop hoeft de klant niet weer die lange reeks nummers invoeren. Maar als de creditcard gegevens worden gestolen dan hoop ik voor u dat u goed bent verzekerd.
Privacy Statement
Wat voor gegevens gaat u verzamelen, waarvoor, waar slaat u deze op, wat doet u verder met deze data, hoe kan men inzicht krijgen in deze gegevens en hoe kan de gebruiker de gegevens verwijderen? Consumenten in Nederland zijn goed beschermd. En men verwacht dat u uw steentje daarin bijdraagt. Ontwikkel een privacy statement waarin bovengenoemde zaken zijn beschreven en vastgelegd.
Beveilig uw website met een SSL certificaat
Je kent die websites wel. Ze hebben geen http://www… maar een https://www… adres. Verplichte kost als de klant (persoonlijke) gegevens op de site kan invoeren of moet inloggen.
Bonus punt: Google hecht grote waarde aan sites die goed zijn beveiligd en dus is het gebruik van een SSL certificaat een rankingfactor voor de zoekmachine.
Dit betekent dat uw site een plusje krijgt van het Google algoritme en u de voorkeur krijgt van sites die niet zijn beveiligd met een SSL certificaat.
Overwegingen bij keuze website hosting
U kunt uw website of webapplicatie overal ter wereld hosten.
Op een server die bij u in de bezemkast hangt of op de servers van Amazon in de VS.Eigen hardware, virtuele servers.
Als het webdesign bureau zelf het hostingplatform beheert vraag dan wel of ze de mensen in dienst hebben met de juiste technische kennis. Want een update voor een besturingssysteem uitvoeren is heel iets anders dan een website naar een server uploaden.
Als een boze klant of burger uw website plat probeert te krijgen door een DDOS aanval uit te voeren dan is het goed om te weten of u zelf deze aanval af moet slaan of dat de security officer en/of netwerkbeheerders van de ISP de truckendoos gaat opentrekken om op te komen voor de veiligheid van haar klanten.
Draait de website op een eigen server (dedicated hosting) of draaien er meer websites op dezelfde server. Hoeveel sites zijn dat en kunt u wellicht een paar namen van websites krijgen die hier op draaien?
Een eenvoudige website hosten?
Heeft u een website met een paar pagina’s en wilt u niet meer dan een paar tientjes per maand kwijt zijn?
Dan staat uw website waarschijnlijk op een shared hosting omgeving.Verwacht dan niet dat u kunt gaan klagen als de server eens een keer onbereikbaar is.
Maar dat is in uw geval dan ook waarschijnlijk niet meteen cruciaal.
Tip: Kies een Nederlandse hostingprovider. Klantgegevens vallen dan onder het Nederlandse recht en zo kunt u veel beter garanties afgeven over wie toegang heeft tot bepaalde klantgegevens.
Gezonde paranoia rondom IT security
Binnen beveiliging is de mens één van de, en misschien wel de grootste, risicofactor. Inloggegevens van cruciale systemen op een post-it vastgeplakt op een computerscherm in een bankkantoor is niet vreemd. U heeft misschien vertrouwen in uw medewerkers. Maar wat weet u van de medewerkers van het bedrijf die bij u de plantjes komt water geven?
De scheidslijn tussen paranoia en realisme is flinterdun.
- Omvangrijke e-commerce activiteiten?
- Verwerkt u veel persoonsgegevens via de website?
Houd serieus rekening met een incident en de consequenties die dit met zich meebrengen.
Digitale transformatie
Op zoek naar begeleiding van de digitale transformatie van uw organisatie waarbij veiligheid en bescherming persoonsgegevens niet ondergesneeuwd raken onder de ongekende mogelijkheden van technologie? Wellicht dat wij kunnen helpen.
