Los sitios de comercio electrónico son un blanco constante para los ciberdelincuentes que buscan aprovecharse de vulnerabilidades existentes. Es por ello, que una startup, mediana o gran empresa que tiene un canal de comercio electrónico deberá de invertir en establecer controles de seguridad informática que reduzcan el riesgo de fuga de información o de manipulación de las transacciones electrónicas.
- Definir una estrategia de seguridad informática o ciberseguridad
- Definir una política y objetivos de ciberseguridad
- Definir responsabilidades:
- En toda la organización
- En caso de fraude, definir cuales son las responsabilidades de tu proveedor de pago (Visanet, MC Procesos, Alignet, Unibanca, etc)
- Entender la solución de pago ofertada por tu proveedor y el flujo transaccional
- Identificar todos los activos digitales del comercio electrónico como aplicación Web, base de datos, webservices, solución de pago entre otros)
- Identificar los potenciales riesgos y aplicar por lo menos los siguientes controles:
- Aplicar cifrado TLS v1.0 o superior en todo el proceso de compra.
- Pruebas de seguridad en la modalidad de ethical hacking trimestral o anual.
- Revisar la existencia de vulnerabilidades categorízadas en el OWASP TOP 10 2017
- Revisión de código seguridad en todo cambio del comercio electrónico.
- Revisar el proceso del ciclo de vida del software por lo menos una vez al año.
- Definir tu proceso de gestión de incidentes de seguridad, cuando ocurra un incidente deberás saber quien y como se responderá para contener e investigar el incidente.
- Definir y probar tu estrategia de respaldo. De manera frecuente respaldar tu información en repositorios seguros.
- Adquirir un seguro en caso de fraude informático, si es necesario.
No hay comentarios.:
Publicar un comentario