Site İçi Güvenliği Sağlama
E-ticaret sitelerinde birçok web sayfası, uygulama ve yönetim yazılımları kullanılır. Bu yazılım ve sayfaların içeriğiyle ilgili türü ne olursa olsun sunucuya yüklenmeden önce mutlaka güvenlik taraması yapılmalıdır. Günümüzde sunucuların çoğu, antivirüs tarama desteği sunsa da lisanslı bir güvenlik programıyla dosya taraması yaparak sunucuya yüklemek daha güvenli olacaktır.
Bunun dışında site içi güvenliği sağlamak için site yöneticilerinin dikkat etmesi gereken bazı önlemler şunlardır:
Güvenli Giriş:
E-ticaret siteleri tasarlanırken güvenli bir bağlantı sağlamanın ilk yolu giriş ekranıyla başlar.Giriş erişimi yeterince güvenliyse sızma girişimleri ve izinsiz müdahaleler önlenir. Bu sayede birçok güvenlik tehdidi, sorun oluşturmadan önce etkili bir şekilde ortadan kaldırılır.Adres Doğrulama:
İşletmelerin, alışveriş yapan kişinin gerçek kart sahibi olduğunu analiz etmesi önemlidir. Çünkü başka kişiler tarafından kayıp ve çalıntı kartlarla harcama yapılabilmektedir. Adres doğrulama sistemi kullanılarak yapılacak analiz ve doğrulama ile bu tür sahtekârlıkların önüne geçilebilir.Sistem, kart sahibinin girdiği bilgilerle bankadaki kayıtları karşılaştırır. Yapılan karşılaştırma ile fatura adresinin doğruluğu kontrol edilir. Sonuç olarak başka kişilerin fatura adresine erişimi engellenir. Bu aşamada girilen her fatura adresinin hileli bir işlemden kaynaklanacağı anlamı çıkarılmamalıdır. Alıcılar başka adreslere de teslimatın yapılmasını isteyebilir. Bu yüzden ek güvenlik önlemleri alınmalıdır.
Warez (Worez) Tema:
Warez korsan ya da yasa dışı ürün anlamında kullanılan bir terimdir. Özellikle sanal ortamdaki birçok üründe karşılaşılır. Kitap, film, müzik, oyun, program, tema, eğitim vb. dijital materyallerin hiçbir telif hakkı ödenmeden çoğaltılması, dağıtılması, yayınlanması ya da satılmasıdırGenellikle e-ticarete yeni başlayanlar ya da teknik olarak bilgisi olmayan amatör girişimciler de warez tasarımları ya da e-ticaret yazılımlarını tercih etmektedir. Normalde ücretli olan bu temalar, yasal olmayan yollarla elde edilip ücretsiz olarak dağıtılmaktadır. Bu tür yazılımların çoğu arka planda çalışacak şekilde gizli reklamlar, izinsiz bağlantılar, zararlı yazılımlar içerir. Bu da farkında olmadan sistem altyapısının farklı kaynaklar tarafından kullanılmasına sebep olabilir. Kullanıcılar tarafından istenmeyen reklamlar ya da sitelere yönlendirme yapılabilir. O yüzden e-ticaret yapılacaksa uzun vadeli düşünülmeli ve güvenlik zafiyetine sebep olacak lisanssız sahte yazılımlardan uzak durulmalıdır.
Güncelleme:
Altyapıları oluşturan donanım ve yazılımlar, teknolojik gelişmelerle birlikte sürekli güncellenir. Özellikle eski sürümlerde ortaya çıkan güvenlik açıkları büyük problem oluşturur. Hatta zamanla mevcut altyapı, yeniliklere ayak uyduramayıp ihtiyacı karşılayamaz. Geliştiriciler, bu ve benzeri durumlar için sürekli yeni versiyonlar çıkardıkları için bir süre sonra eski ürünlerle ilgili güncelleme ve destek vermeyebilir. Bu nedenle altyapının sürekli güncel tutulması bir gerekliliktirBilgi Paylaşımı:
İnsanların çoğu zaman önemsemediği ve ciddiye almadığı bir konudur. Sisteme, sunuculara ve yönetim paneline erişim bilgilerinin birçok kişiye dağılması riski artırır. O nedenle sistem yönetimi ve sunucu ile ilgili bilgiler kimseyle paylaşılmamalıdır.Dikkat edilmesi gereken diğer bir önemli nokta da kullanılan bilgisayarların güvenli olup olmadığıdır. Sistemin yönetildiği bilgisayarlara ve yönetim panelinin kullanıldığı bilgisayarlara erişim kısıtlı olmalıdır. Yönetim paneline başka bir yerden bağlanılacaksa da kullanılacak cihazların, programların ve ağın güvenli olup olmadığı mutlaka kontrol edilmelidir. Aksi takdirde kullanılan bilgisayarda virüs ya da zararlı yazılım varsa siteye bulaşabilir ve istenmeyen sonuçlara sebep olur.
Dijital İmza:
E-imza ya da elektronik imza olarak da adlandırılır. Günlük hayatta kullanılan ıslak imzanın sanal ortamdaki karşılığıdır. Dijital imza, sahibi olduğu kişi ya da kuruluş ile ilgili bazı bilgilerden oluşan benzersiz bir kimliktir. E-imza ile gönderilen veri ya da dokümanların bütünlüğü ve gizliliği koruma altına alınır. Veriyle imza arasında kurulan bağ sayesinde değişiklik yapılması engellenir. Herhangi bir durumda verilerde değişiklik olursa dijital imza da iptal olur ve bu sayede gerçekleşen güvenlik ihlali başlangıç aşamasındayken önlenir.Ödeme Yöntemi:
E-ticarette alışveriş sırasında en son gerçekleşen en önemli işlem ödemedir. Dolayısıyla güvenlik açısından en çok dikkat edilmesi gereken nokta da ödemedir. Müşteriye ait ödeme bilgilerini veri tabanında tutmak oldukça risklidir. Geçmişte bunu uygulayan bazı sitelere yapılan siber saldırılar sonucu birçok kişinin bilgilerinin çalındığı olaylar olmuştur. Bu nedenle günümüzde birçok e-ticaret ortamı ödeme sırasında girilen bilgileri, ya doğrudan bankalara ya da güvenli ödeme altyapısı hizmeti sunan aracı kuruluşlara yönlendirir. Ödeme işlemi bu ortamlar üzerinde gerçekleştirilir ve bütün sorumluluk bankada ya da aracı kuruluşta olur.Bazı e-ticaret siteleri kartlarım, hesaplarım, kayıtlı kredi kartlarım şeklinde bölümler oluşturup kullanıcıya daha sonraki işlemlerinde kolaylık sağlamak için ödeme bilgilerini saklamaktadır. Böyle bir durumda bu bilgiler siteye ait bir veri tabanında saklanmak zorundadır. Çok riskli olan bu alan mümkünse kullanılmamalı, mutlaka kullanılacaksa da üst düzey güvenlik önlemleri alınarak ilgili veri tabanı korunmalıdır.
Sosyal Mühendislik:
Sistemleri tehdit eden ve bütün güvenlik önlemlerinin kolayca aşılmasını sağlayan unsurlardan biri de insandır. Sosyal mühendislik; insanın sahip olduğu zaaflar üzerinden, neredeyse teknolojiyi hiç kullanmadan insanları hileyle kandırarak bilgi elde etmektir. Hatta kişiler, çoğu zaman dolandırıldığının ya da bilgilerinin çalındığının farkına varmaz.E-ticaret ile uğraşan işletmeler, sosyal mühendislikten korunmak için şunları yapmalıdır:
• Personel, sistem güvenliği konusunda eğitilmelidir.
• Mutlaka etkili bir güvenlik protokolü oluşturulmalı ve bundan bütün çalışanların bilgisi olmalıdır.
• Sisteme ve kaynaklara erişim sağlayacak kişiler belirlenmeli ve gerektiği kadar yetkilendirme yapılmalıdır.
• Sisteme ait şifreler hiçbir şartta hiç kimseyle paylaşılmamalıdır.
• Bilgilerin hangilerinin gizli kalması gerektiği ve hangilerinin dışarıyla paylaşılabileceği net olmalı ve personel tarafından bilinmelidir.