Немного о безопасности для интернет-магазинов

15 август, 2014 - 11:08Алексей Дрозд

В чем же заключаются основные проблемы, связанные с безопасностью использования всех этих решений? По большому счету, их можно разделить на две группы: использование непроверенных решений и недостаточно надежное хранение информации о платежных реквизитах покупателя.

Поговорим сначала о первой группе проблем. Некоторая, небольшая их часть заключается в использовании сомнительных платежных шлюзов, предлагающих мизерную комиссию за прием платежей от конечного покупателя. Разница с раскрученными и известными шлюзами может оказаться потрясающей: вместо 6-7% предлагают брать 0,5‑1%. Продавец, рассчитывающий на большие обороты, понимает, что это может помочь ему сэкономить десятки тысяч рублей, и соглашается.

К сожалению, очень редко такие сервисы могут предоставить надлежащее качество обслуживания и обеспечить требуемый уровень безопасности клиентских транзакций, в результате чего страдает клиент, а магазин приобретает плохую репутацию. Большинство таких платежных шлюзов, пытающихся выиграть за счет демпинговых цен, живут на рынке не более полугода. Соответственно, если интернет-магазин планирует просуществовать несколько дольше и вырасти до сколь-нибудь заметного размера, ему стоит присмотреться к уже хорошо зарекомендовавшим себя у других продавцов шлюзам.

Но гораздо больше проблем вызывает использование неизвестно кем и когда написанных модулей для популярных «движков» интернет-магазинов, позволяющих подключить различные платежные системы и шлюзы. Зачастую владельцы интернет-магазинов, будучи сами не слишком хорошо знакомыми с программированием, предпочитают просто скачать и установить расширения для популярных CMS, которые позволят принимать оплату через популярные же платежные системы.

В общем-то, это вполне нормальный подход, если отнестись к выбору расширений достаточно ответственно. Увы, так делают далеко не все. Поэтому на многих сайтах, торгующих товарами через Всемирную сеть, модули оплаты работают из рук вон плохо, не говоря уже о том, что не обеспечиваются элементарные требования безопасности: платежные данные сохраняются в Cookies браузера и на самом сайте без какого-либо шифрования, данные передаются по простому HTTP-протоколу (если позволяет сама платежная система) и т.д. Всё это приводит к утечками информации о платежных данных пользователя и к последующей краже денег с его счетов.

Каким может быть выход из этой ситуации? Очевидно, что платежный модуль – не то, на чем стоит экономить. Любой работающий более-менее стабильно интернет-магазин может себе позволить заплатить несколько тысяч рублей за модуль, созданный не безымянным студентом, а нормальной Web-студией, которая, ко всему  прочему, может помочь и с его установкой в CMS магазина. Это исключит или, во всяком случае, минимизирует риск утечки клиентских данных и, в конечном итоге, положительно скажется на продажах.

Вторая группа проблем, связанных с хранением клиентских данных, в чем-то является продолжением первой группы, поскольку связана не столько с действиями самих владельцев торговых сайтов, сколько с тем, как ведут себя их «движки» в тот момент, когда покупатель вводит свои данные для оплаты товара. Речь идет о тех из них, которые уже имеют встроенный функционал по взаимодействию с платежными системами и платежными шлюзами.

Очень часто сайты запоминают вводимые пользователем данные для того, чтобы во время следующей покупки ему не нужно было вводить их заново. Идея, в общем-то, здравая и хорошая, потому что современная индустрия интернет-платежей часто требует введения большого числа данных на стороне клиента (хотя, конечно, и не всегда). Каждый раз вводить все данные заново действительно может быть неудобно, но для того, чтобы их хранить, недостаточно просто записать их в базу данных. В таком случае, если сайт взломают, утекут не просто логины и пароли клиентов – утекут их платежные реквизиты, что даст возможность взломщикам легко и быстро обогатиться за счет покупателей.

Решения может быть два: либо вовсе не хранить данные у себя, подобрав такой платежные шлюз, который сам обрабатывает все данные, вводимые пользователем, или хранить их как положено – то есть, в зашифрованном виде. Для этого надо, опять-таки, использовать нормальные решения, которые хорошо зарекомендовали себя на рынке, а не заказывать написание интернет-магазина знакомому студенту, который не может предложить ничего, кроме демпинговой цены. К счастью, сегодня уже немало бесплатных «движков» для интернет-магазинов, которые предлагают хороший функционал «из коробки». Всё, что нужно для их использования – это немного знать английский язык. Выбор такого «движка» ‑ это, конечно, тема, выходящая за рамки данной статьи, но можно порекомендовать ознакомиться с неплохим обзором бесплатных CMS для интернет-магазинов здесь.

В целом же, как можно понять из всего изложенного выше, основная причина проблем интернет-магазинов с платежными системами и платежными шлюзами – это невнимательность их владельцев к техническим вопросам функционирования их сайта, и, в частности, к вопросам обеспечения безопасности. Вполне понятно, что вопросы продвижения, маркетинга и прочие чисто «торговые» моменты могут казаться владельцу интернет-магазина более важными, однако не стоит забывать, что если ваш автомобиль неисправен, то разрабатывать маршрут путешествия на нем бесполезно. Тут та же ситуация: неисправный магазин  может «сломаться» в самую неподходящую минуту, принеся своему владельцу вместо прибыли значительный ущерб.

Поэтому не стоит экономить на наиболее важных компонентах сайта – ведь, без сомнения, модуль оплаты покупок является одним из них. Помните, что любой инцидент с утечкой платежных реквизитов может поставить крест на дальнейшем развитии даже достаточно крупного и известного интернет-магазина, поэтому максимально внимательно отнеситесь к обеспечению качественной работы вашего магазина с платежными системами и к выбору партнеров в данном вопросе.

Немного о безопасности для интернет-магазинов: 1, 2.