İnternet Mağazacılığı

İnternet Mağazanızın Güvenliği

E-ticaret internet üzerinden büyük bir kitleye ulaşmanıza olanak sağlar. Büyük kitlelere ulaşmak aynı zamanda riskinizin de büyüdüğü anlamına gelebilir. Fiziksel bir mağazada nasıl güvenliğinizi sağlamalıysanız, benzer şekilde internet mağazanızın da güvenliğine büyük önem göstermelisiniz. Sitenizin güvenliğinin aşılması, müşterilerinizin size olan güvenini sarsarak hem imajınıza hem de kazancınıza büyük darbe vurabilir.

Peki, sitenizin güvenli olması için neler yapılmalı? Bunun için kullandığınız e-ticaret alt yapınızın güvenlik unsurları ön plana alınarak hazırlandığından emin olmalısınız. Sitenizin güvenlik sertifikasının olması site güvenliği için şart olsa da bir güvenlik sertifikası ile sitenizin güvenliğini garanti altına alamazsınız.

İnternet uygulamalarının güvenliği için çeşitli standartlar mevcuttur. Bu standartların en yaygın kullanılanı açık web güvenlik projesi olarak da Türkçe’ye çevrilebilecek olan OWASP (The Open Web Application Security Project) standardıdır. OWASP standardına göre güvenli bir e-ticaret uygulaması özetle aşağıdaki kriterleri sağlamalıdır:

  • Sistem mimarisi ve kullanılan tüm bileşenler tanımlı olmalıdır. Kullanılmayan bir bileşene sistemde yer verilmemelidir. (Artık ihtiyaç kalmayan bileşenler hemen sistemden çıkarılmalıdır.)
  • Kullanıcı kimliği doğrulanmalı ve kişilerin doğrulama işlemi tamamlanmadan yetkili erişimin gerektiği içeriğe erişemediğinden emin olunmalıdır. Kimlik doğrulama işlemleri gizlilik içerisinde yapılmalı ve gizli kimlik bilgileri güvenli bir şekilde işlenmelidir.
  • Oturum yönetiminde her kullanıcının ayrı bir oturumu olmalı, oturum bilgileri paylaşılamamalı ve tahmin edilememelidir. Oturumlar kullanıcının sistemden çıkması ya da belli bir süre işlem yapmaması durumunda otomatik olarak zaman aşımına uğratılmalıdır.
  • Kullanıcıların sisteme erişim kontrollerinde iyi tanımlanmış rol ve yetkiler kullanılmalıdır. Kullanıcılar ancak ve ancak yetkili oldukları içeriğe erişebilmelidirler. Yetki ve rol verileri tekrar gönderilme ve değiştirilme tehlikesine karşı korunmalıdır.
  • Sistemin bütün girdileri doğruluk ve amaca uygunluk kontrolünden geçirilmelidir. İstemciden gönderilen verilere güvenilmemeli ve girdi kontrolü sunucu tarafında tekrar yapılmalıdır.
  • Kullanılan kriptografi modüllerinin hata durumları da güvenli bir şekilde ele alınmalıdır. Kullanılan rastgele sayı üreticisi güvenli olmalıdır. Anahtar bilgilerine ulaşım güvenli ve kısıtlı olmalıdır.
  • Özellikle gerekmedikçe hassas bilgiler toplanmamalıdır. Günlük kayıtlarında hassas bilgilere yer verilmemelidir.
  • Saklama ve transfer aşamaları dahil olmak üzere verinin gizliliği sağlanmalıdır. Sistemdeki verinin kötü niyetli kişilerce bozulması, değiştirilmesi ya da silinmesi engellenmelidir. Verinin yetkisi olan kişiler için ise erişilebilir olması garanti altına alınmalıdır.
  • Hassas bilgilerin transferinde TLS protokolü kullanılmalı ve hassas bilgilerin işlenmesi sırasında güçlü güvenlik algoritmaları devreye alınmalıdır.
  • Uygulama sunucuları varsayılan konfigürasyonda kullanılmamalı ve http yanıtları karakter set bilgisi içermelidir.
  • İş akışları belirli ve kontrollü olup otomatik saldırılara karşı korunmalı hale getirilmelidir.
  • Güvenilmeyen dosyalar yetkileri limitlenmiş bölgelerde tutulmalı, uygulama sunucularının web dizinine kesinlikle konulmamalıdır.
  • Bahsedilen tüm kontroller mobil erişimde geçerli olmalıdır.
  • Eğer bir REST API sunuluyorsa bu API’de de aynı önlemlerin alındığından emin olunmalıdır.
  • Kullanılan platform ve kütüphaneler güncel tutulmalıdır.

Güvenli yazılım geliştirmek uzmanlık isteyen bir iştir. Güvenlik hem gerçek dünyada hem de internet ortamında işin uzmanlarına bırakılması gereken bu konudur. İnternet mağazanızı açarken güvenlik konusunu atlamadığınızdan ve işin uzmanları ile çalıştığınızdan emin olmayı unutmayın!

Dr. Kırçiçeği Korkmaz
kircicegi.korkmaz@sono.com.tr
Sono Yazılım A.Ş.

Etiketler