Introducción
Pedir a los clientes que proporcionen voluntariamente datos privados y confidenciales, conocer sus preferencias y establecer una relación de confianza son aspectos fundamentales de comercio minorista y ecommerce.
Las funciones y herramientas de seguridad sofisticadas diseñadas para proteger la información del cliente son a menudo costosas e inalcanzables para comerciantes más pequeños.
Los comerciantes de comercio electrónico con recursos limitados pueden reducir considerablemente los niveles de riesgo aplicando prácticas y procedimientos de seguridad comprobados.
Descubra cómo proteger la información del cliente en un sitio web de comercio electrónico.
Cómo proteger la privacidad y los datos de sus clientes
Las tiendas de comercio electrónico necesitan los datos del cliente para autenticarse pagos online seguros, entregar bienes y servicios y personalizar la comunicación.
Proteger esos datos enérgicamente es la única forma de garantizar el éxito a largo plazo de una tienda en línea. Para proteger los datos del cliente:
- Reduzca la superficie de ataque y no recopile datos redundantes.
- Trabaje con otros participantes en el proceso de pago, como procesadores de pago y clientes, para identificar y prevenir fraude. La protección de datos es un esfuerzo colectivo.
- Asegúrese de que todos los sistemas y soluciones de software estén actualizados.
- Administre los privilegios y otorgue a los usuarios acceso solo a los datos necesarios para su trabajo.
- Cree un plan de limitación de daños si se produce una infracción.
Utilice las siguientes 15 mejores prácticas para proteger a sus clientes y sus datos de forma proactiva.
1. Solo recopile información esencial del cliente
Los datos son un activo valioso y, como es comprensible, los comerciantes desean recopilar la mayor cantidad de información posible sobre los clientes.
La cantidad de datos que recopila una tienda debe reflejar su modelo comercial. Por ejemplo, el número de teléfono del cliente no es esencial para un sitio web que vende contenido digital descargable.
No recopile ni almacene información de pago del cliente. Si es posible, limite la recopilación de datos a la del cliente:
- Nombre
- Correo electrónico
- Dirección
Tenga en cuenta que obligar a los clientes a divulgar demasiada información durante el pago también perjudica las tasas de conversión.
2. Utilice un procesador de pagos de confianza
Los procesadores de pagos invierten mucho en seguridad de datos y herramientas de prevención de fraude. Elegir el procesador de pagos adecuado permite a los comerciantes de comercio electrónico utilizar estas herramientas a una fracción de su costo.
Además de un historial de seguridad impecable, el procesador de pagos también debe proporcionar:
- Soluciones API avanzadas - Los comerciantes pueden utilizar las API para automatizar la gestión de datos de los clientes y reducir la información de los clientes que necesitan recopilar y almacenar.
- 24 / 7 soporte técnico -Los servicios de apoyo que monitorean activamente y contrarrestan la actividad sospechosa son vitales para prevenir el fraude.
- PCI Compliance - Cumplir con la industria de tarjetas de pago (PCI) Los estándares de seguridad de datos garantizan la seguridad de la información confidencial del titular de la tarjeta.
La información de identificación personal (PII) es mucho más segura en manos de una gran organización como un banco o un procesador de pagos.
3. Aplicar una política de contraseñas razonable
Los sitios web de comercio electrónico utilizan contraseñas porque son gratuitas, escalables y los clientes entienden cómo funcionan.
Las contraseñas son la primera línea de defensa para proteger la información del cliente, lo que las convierte en un objetivo principal para ataques DDoS, ataques de fuerza bruta y Fraude de adquisición de cuenta.
Las políticas estrictas que obligan a los clientes a crear credenciales complejas no mejoran la calidad de las contraseñas. Los clientes con frecuencia comprometen la seguridad de las contraseñas cuando intentan encontrar formas de eludir estas restricciones.
Motive a los clientes a crear credenciales sólidas en su sitio web de comercio electrónico aplicando mejores prácticas de política de contraseñas.
4. Limite el acceso a la información del cliente
Una tienda de comercio electrónico debe definir con precisión los roles de los empleados y restringir el acceso a la información del cliente en función de esos roles.
Los empleados que utilizan datos de clientes para tareas relacionadas con el trabajo son las únicas personas que deberían tener acceso a información confidencial de clientes.
Por ejemplo, un representante de atención al cliente necesita dicho acceso, pero hay pocas razones para que un diseñador de sitios web tenga los mismos privilegios.
Para mejorar aún más la seguridad de los datos, implemente funciones adicionales como autenticación de dos factores y permitir que solo los usuarios de IP en lista blanca accedan a los datos de los clientes.
5 Usar autenticación de dos factores
Los clientes están empezando a apreciar las ventajas de la autenticación de dos factores (2FA) y sistemas como 3D Secure. Sin embargo, a los comerciantes les preocupa que la implementación de 2FA pueda interrumpir el flujo de pago en sus sitios web y aumentar las tasas de abandono.
2FA es muy eficaz para prevenir el fraude. No permita que los clientes cambien los detalles de la cuenta o actualicen sus credenciales sin autenticar adicionalmente dichas solicitudes.
Utilice 2FA para asegurarse de que los empleados siempre necesiten verificar sus inicios de sesión cuando acceden a datos confidenciales de los clientes.
6. Implemente SSL en su sitio web
Implemente un certificado SSL (Secure Socket Layer) para proteger las sesiones de los clientes mientras navegan por la tienda. El certificado establece una conexión encriptada entre el servidor de la tienda y el navegador del cliente y hace que sea mucho más difícil para los atacantes interceptar datos.
El costo de los certificados SSL depende del número de dominios y subdominios y del nivel de validación.
Investigue el diferentes tipos de certificados SSL y averigüe qué tipo de certificado necesita.
organización Validado y Extended Validation Los certificados SSL son más costosos, pero el nivel de protección que brindan es más adecuado para las tiendas de comercio electrónico.
7. Mantenga las soluciones de software actualizadas
Los atacantes buscan de forma constante y activa sistemas que no apliquen parches y correcciones de seguridad. Algunas de las mayores brechas de seguridad fueron el resultado de software obsoleto.
Revise y actualice los sistemas principales, todas las soluciones personalizadas y los complementos con regularidad. Descuidar la implementación de la última versión de software o parche de seguridad es una falla de seguridad significativa.
Tenga especial cuidado al actualizar software y complementos personalizados y realice pruebas exhaustivas para identificar vulnerabilidades. Asegúrese de que se mantenga la compatibilidad cruzada con otros sistemas en todo momento.
8. Invierta en un servidor dedicado seguro
Alojamiento dedicado es más caro que el alojamiento compartido pero tiene varias ventajas claras:
- Seguridad -Ya no necesita preocuparse por las brechas de seguridad causadas por otros inquilinos del servidor. Los servidores dedicados brindan a los comerciantes mejores capacidades de recuperación de datos, protección DDoS mejorada y bloqueo eficiente de direcciones IP.
- Actuación - El aislamiento y el uso de recursos físicos dedicados como discos duros, CPU, ancho de banda y memoria mejoran significativamente el rendimiento del sitio web.
- Flexibilidad - Implemente aplicaciones nuevas y personalizadas, funciones de seguridad y un estricto control de acceso.
Los servidores dedicados agregan una nueva capa de protección a la información del cliente y los datos comerciales patentados.
9. Disponga de un plan de recuperación ante desastres
Desastres naturales, cortes y seguridad comprometida (ransomware, malware, etc.) puede provocar una pérdida total de la información del cliente.
A plan de recuperación de desastres es un conjunto de procedimientos y pautas que describen lo que los empleados deben hacer en tales circunstancias. Para minimizar los efectos de un desastre:
- Haga una copia de seguridad de los datos de su tienda de comercio electrónico y de sus clientes a intervalos regulares utilizando sistemas avanzados de respaldo y recuperación.
- Describa claramente las actividades críticas y el personal responsable de llevar a cabo estas actividades.
- Designe a una persona o equipo responsable de comunicarse con los clientes, socios externos y empleados.
- Identifique y enumere las tareas esenciales después de que se hayan recuperado los datos.
Cree un plan detallado para cada actividad y asegúrese de que la comunicación tanto interna como de cara al cliente sea lo más clara y transparente posible.
10. Muestre a los clientes que están protegidos
Las compras en línea deben ser una actividad agradable y sin preocupaciones. Es menos probable que los clientes compren productos y compartan información en sitios web que consideran inseguros.
Genere confianza y tranquilice a los clientes mostrando qué medidas y pasos toma su sitio web para proteger sus datos.
HTTPS es un buen ejemplo que muestra explícitamente a los clientes que la conexión es segura.
Muestre a los clientes que su información de identificación personal está segura desde el momento en que acceden al sitio web hasta que concluyen el proceso de pago.
11. Utilice un cortafuegos
Las herramientas de autenticación son excelentes para prevenir el acceso no autorizado a datos confidenciales. Sin embargo, los sitios web de comercio electrónico necesitan firewalls para verificar el tráfico de la red e identificar el contenido dañino antes de que llegue a sus sistemas.
Diferentes tipos de cortafuegos escanear contenido y evitar que el tráfico externo malintencionado ingrese a las redes internas El firewall utiliza reglas y políticas predefinidas para determinar si se permite que el tráfico ingrese a la red.
Además, las tiendas deben identificar la actividad maliciosa dentro de la red mediante sistemas de prevención de intrusiones (IPS) y software antivirus.
12. Emplear buenas prácticas de correo electrónico
Los correos electrónicos son los vehículos más comunes que utilizan los atacantes para infiltrarse en los sistemas del usuario. Los correos electrónicos de phishing y la ingeniería social dependen de que los destinatarios hagan clic en enlaces, abran documentos o descarguen archivos adjuntos que contienen malware.
Para evitar infracciones que se dirigen a los datos de los clientes, capacite a sus empleados y defina procedimientos estrictos de correo electrónico.
- Los empleados deben crear contraseñas de correo electrónico seguras y actualizarlas periódicamente.
- El personal no debe utilizar los correos electrónicos comerciales para uso personal.
- No acceda a correos electrónicos comerciales desde conexiones Wi-Fi públicas.
- No haga clic en enlaces ni abra archivos adjuntos en correos electrónicos no solicitados.
Amplíe estas políticas y encuentre formas de transmitir sus beneficios también a los clientes.
13. Eduque a sus clientes
Muchas violaciones de datos son el resultado de ataques y actividades que se produjeron fuera de una tienda de comercio electrónico.
Los clientes son participantes activos en cualquier estrategia de protección de datos y, a menudo, son los primeros en darse cuenta de que algo anda mal.
- Proporcione ejemplos de cómo ocurren los ataques para que los clientes no cometan el mismo error.
- Brinde consejos sobre protección de datos en sus páginas de preguntas frecuentes, blog y canales de redes sociales.
- Organice actividades como cuestionarios sobre la seguridad de los datos y entregue cupones a los clientes que participen.
Los clientes que evitan comportamientos de riesgo y saben cómo reaccionar si notan una actividad sospechosa son un verdadero activo para cualquier tienda de comercio electrónico.
14. Entrenamiento de empleados
Las tiendas de comercio electrónico deben implementar procedimientos estrictos de protección de datos y capacitar al personal que maneja la información del cliente.
Los talleres frecuentes ayudan a los empleados a reconocer las amenazas comunes y a comprender cómo sus acciones pueden ayudar o prevenir los ataques. Necesitan saber cómo reaccionar si un cliente informa de una infracción, qué medidas tomar cuando se produce un ataque y cómo manejar las repercusiones de una infracción exitosa.
La calidad de la formación afecta a los tiempos de reacción del personal y hace que el control de daños sea mucho más eficaz.
Los empleados deben tener acceso a los cursos de formación pertinentes y los materiales deben reflejar los últimos estándares en protección de datos.
15. Prueba de vulnerabilidades y puntos débiles
Una prueba de vulnerabilidad ayuda a los propietarios de las tiendas a descubrir fallas de seguridad en sus sistemas antes de que se produzca una infracción real. Las pruebas no deben limitarse a los sistemas de TI de la tienda. Es igualmente importante evaluar las reacciones de los empleados a los ataques simulados y ajustar los procedimientos y cursos de formación en consecuencia.
Realice siempre de forma limitada evaluaciones de vulnerabilidad al agregar nuevos servicios o hardware. Usar personal interno para probar vulnerabilidades es rentable, pero es más probable que los servicios de terceros especializados descubran puntos débiles.
Conclusión
Al aplicar estas prácticas, ha mejorado la protección de los datos del cliente en su sitio web de comercio electrónico.
La protección de datos es una oportunidad para que los comerciantes de comercio electrónico demuestren cuánto valoran a sus clientes. Si se sienten seguros, los clientes se involucrarán con las funciones del sitio web, interactuarán con el comerciante y otros clientes y formarán una comunidad genuina alrededor de su tienda.
