E-Commerce sigurnost

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Sadržaj

O elektroničkoj trgovini (e-Commerce)

Vjerojatno ništa u povijesti nije dovelo do tolike revolucije u trgovačkoj djelatnosti kao što je to donijela pojava Interneta. Elektronička trgovina (ili ukratko e-trgovina), kako nazivamo ovaj novi oblik trgovanja, je ne samo uklonio granice udaljenosti te vremenske i inventarne raspoloživosti između kupca i prodavača, već je i povećalo efikasnosti promoviranja proizvoda, komunikacije između kupca i korisnika te, najvažnije od svega, širenje na strana tržišta (i stvaranje novih trgovačkih pravnih osoba) što je dosad bilo skupo i riskantno.

Ali pojava ovog novog oblika trgovanja je dovelo i nove vrste prijetnji. Kao i stvarni svijet, i Internet je opasno mjesto u kojem vrebaju razni kriminalci a pljačka je postala lakša i manje riskantna za potencijalne kriminalce. Također, nedostatak bliskog kontakta između kupca i prodavača dovelo je do toga da je teoretski jednostavno da jedan opljačka ili prevari drugoga. Također, postoji i problem plaćanja na daljinu jer se gotovina, iz očitih razloga, ne može koristiti.

Iz tih razloga, za tržište je bilo potrebno razviti razne tehnologije, norme metodologije za zaštitu informacijskih sustava a državna tijela su također morala stvoriti nove zakone.

U ovom radu osvrnuti ćemo se na zakonske potrebe za elektroničku, i općenitu, trgovinu te ćemo sažeto opisati razne popularne tehnologije i protokole koji se koriste za zaštitu elektroničke trgovine.


Zakonske potrebe

Nekoliko zakona Republike Hrvatske je povezano s zaštitom usluga elektroničke trgovine, prvenstveno Zakon o elektroničkoj trgovini, ali važni su i određeni drugi zakoni poput Zakona o zaštiti potrošača i Zakona o informacijskoj sigurnosti.


Zakon o elektroničkoj trgovini

Ovim se Zakonom uređuje pružanje usluga informacijskog društva, odgovornost davatelja usluga informacijskog društva, te pravila u vezi sa sklapanjem ugovora u elektroničkom obliku. Ovim zakonom se pak ne određuju teme poput oporezivanja, zaštite podataka, zaštita stranaka pred sudom, itd. već se te teme određuju u drugim zakonima.

Svaki davatelj usluga sa sjedištem u Republici Hrvatskoj dužan je postupati po zakonima Republike Hrvatske, ali zakon se ne primjenjuje na davatelja usluga čije je sjedište u zemlji članici Europske unije i koji nudi usluge informacijskog društva, čak i u slučajevima kada je usluga ciljano usmjerena prema građanima Republike Hrvatske, osim ako to nije navedeno u odvojenom zakonu, u potpisanom ugovoru, nanosi se šteta, ukoliko neko nadležno tijelo tako odredi, te određenim drugim iznimkama.

Pojmovi i definicije

U ovom zakonu definiraju se slijedeći pojmovi i njihova značenja:

1. Podatak – informacija, poruka i dokument sastavljen, poslan, primljen, zabilježen, pohranjen ili prikazan elektroničkim, optičkim ili sličnim sredstvom, uključujući, ali ne ograničavajući se na prijenos Internetom, elektroničku poštu i telefaksove

2. Usluga informacijskog društva – usluga koja se uz naknadu pruža elektroničkim putem na individualni zahtjev korisnika, a posebno Internet prodaja robe i usluga, nuđenje podataka na Internetu, reklamiranje putem Interneta, elektronički pretraživači, te mogućnost traženja podataka i usluga koje se prenose elektroničkom mrežom, posreduju u pristupu mreži ili pohranjuju podatke korisnika

3. Elektronički potpis – skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku, a služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta, kako je to definirano posebnim zakonom

4. Davatelj usluga – pravna ili fizička osoba koja pruža usluge informacijskog društva

5. Korisnik usluge – svaka fizička ili pravna osoba koja zbog profesionalnih ili drugih ciljeva koristi uslugu informacijskog društva

6. Ugovori u elektroničkom obliku – ugovori što ih pravne i fizičke osobe u cijelosti ili djelomično sklapaju, šalju, primaju, raskidaju, otkazuju, pristupaju i prikazuju elektroničkim putem koristeći elektronička, optička ili slična sredstva, uključujući, ali ne ograničavajući se na prijenos Internetom

7. Komercijalno priopćenje - priopćenje u bilo kojem obliku, oblikovano da promiče, izravno ili neizravno, robu, usluge ili ugled svake pravne ili fizičke osobe koja obavlja registriranu djelatnost. Valja napomenuti da korištenje elektroničke pošte u svrhu komercijalnog priopćenja nije dozvoljeno bez pristanka osobe kojoj se priopćuje. Također, slijedeći podaci iznimno nisu komercijalna priopćenja

8. Potrošač – svaka fizička osoba koja sklapa pravni posao na tržištu u svrhe koje nisu namijenjene njezinu zanimanju niti njezinoj poslovnoj aktivnosti ili poduzetničkoj djelatnosti, a u skladu s odredbama posebnoga zakona


Sklapanje ugovora

Davatelj usluga informacijskog društva dužan je mogućem korisniku usluga, prije sklapanja ugovora o pružanju usluga informacijskog društva, osigurati na jasan, razumljiv i nedvosmislen način podatke i obavijesti:

Također, davatelj usluga informacijskog društva dužan je mogućem korisniku usluga, prije sklapanja ugovora o pružanju usluga informacijskog društva, osigurati tehnička sredstva za prepoznavanje i ispravljanje pogrešnog unosa podataka u poruku prije njezine predaje ili slanja.

Ugovor je prihvaćen onog trenutka kad se ponuditelju pošalje potvrda prihvaćanja ugovora od ponuđene strane. Osim ukoliko ponuđena strana nije potrošač, davatelj usluga informacijskog društva mora bez odgode elektroničkim putem, posebnom elektroničkom porukom, potvrditi primitak elektroničke poruke koja sadrži ponudu ili prihvat ponude za sklapanje ugovora.

Ugovori sklopljeni putem elektroničke pošte, Instant Messaginga ili bilo kojim drugim oblikom individualne komunikacije su nevažeći.


Kaznene odredbe

Novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit će se za prekršaj pravna osoba davatelj usluga informacijskog društva ukoliko se

Ukoliko je davatelj usluga informacijskog sustava, koji je počinio prekršaj, fizička osoba tad će se ta osoba kazniti novčanom kaznom u iznosu 1.000,00 do 10.000,00 kuna. Ako je prekršitelj pravna osoba, kaznit će se novčanom kaznom u iznosu od 1.000,00 do 10.000,00 kuna odgovorna osoba davatelja usluga informacijskog sustava.

U osobito teškim povredama ili u slučaju ponavljanja povreda iz navedenih stavaka, sud može izreći zabranu obavljanja djelatnosti davatelju usluga informacijskog društva i odgovornoj osobi u pravnoj osobi davatelju usluga informacijskog društva na određeno vrijeme u trajanju od 3 do 6 mjeseci.


Ostale natuknice


Zakon o zaštiti potrošača (natuknice važne za elektroničku prodaju)

Zakon o zaštiti potrošača je zakon koji obuhvaća sve trgovačke djelatnosti, uključujući i elektroničku trgovinu. Radi toga, razumjevanje i poštivanje ovog zakona je svakako važno za trgovce koji svoje usluge nude elektroničkim putem.

Po članku 1 ovog zakona, uređuje se zaštita osnovnih prava potrošača pri kupnji proizvoda i usluga, kao i pri drugim oblicima stjecanja proizvoda i usluga na tržištu. Te zaštite uključuju:

Izborom stranog prava kao mjerodavnog prava potrošač koji ima boravište u Republici Hrvatskoj ne može biti lišen zaštite na koju ima pravo po ovom Zakonu ili drugom zakonu kojim se uređuju pojedini aspekti zaštite potrošača.


Kaznene odredbe

Za prekršaje stavaka iz ovog zakona, kazniti će se pravna osoba u iznosu 10.000,00 do 100.000,00 kuna. Odgovorna osoba u pravnoj osobi kazniti će se novčanom kaznom u iznosu 10.000,00 do 15.000,00 kuna dok će se fizička osoba kazniti novčanom kaznom u iznosu 5.000,00 do 15.000,00 kuna. Za određene stavke, inspektor može kazniti na mjestu počinjenja prekršaja radnika novčanom kaznom u iznosu od 500,00 kuna.


Obveze trgovca

Nepoštivanje obveza može biti proglašeno zavaravajućom (davanje lažnih podataka, varanje potrošača, itd.) ili agresivnom poslovnom praksom (prijetnje, prisile, ustrajno i neželjeno komuniciranje, itd.).

Neke od zakonskih obveza trgovaca su:


Obavijesti o proizvodu

Trgovac je obavezan pridržavati se pravila o obavijestima o proizvodu, što znači da svaki proizvod mora sadržavati slijedeće podatke:

Obavijest o proizvodu mora biti lako uočljiva, općerazumljiva, jednoznačna i čitljiva.

Nepoštivanje zakona o obavijestima o proizvodu kazniti će se pravna osoba novčanom kaznom u iznosu od 80.000,00 do 200.000,00 kuna. Odgovorna osoba pravne osobe kazniti će se novčanom kaznom u iznosu od 10.000,00 do 15.000,00 dok će se fizička osoba kazniti u iznosu od 5.000,00 do 15.000,00 kuna.

Nadležni inspektor neće podnijeti zahtjev za pokretanje prekršajnog postupka ako trgovac najkasnije u roku od osam dana od dana provedenog inspekcijskog nadzora otkloni utvrđene nepravilnosti sukladno uputama iz rješenja nadležnog inspektora.


Obveze potrošača


Ugovorne odredbe koje se zakonski mogu smatrati nepoštenima

Ugovorna odredba o kojoj se nije pojedinačno pregovaralo smatra se nepoštenom ako, suprotno načelu savjesnosti i poštenja, uzrokuje znatnu neravnotežu u pravima i obvezama ugovornih strana na štetu potrošača. Neke od mogućih nepoštenih odredbi su:

Svaka ovlaštena osoba (bilo koja udruga za zaštitu potrošača, državna tijela nadležna za zaštitu potrošača te komorska i interesna udruženja trgovaca) ima pravo zahtijevati od suda da zabrani korištenje određene ugovorne odredbe u standardnim ugovorima koja je nepoštena i to bez obzira na to jesu li tim odredbama povrijeđena prava i interesi potrošača u Republici Hrvatskoj ili u nekoj državi članici Europske unije. Ovaj postupak može se pokrenuti protiv pojedinog trgovca ili skupine trgovaca iz istog gospodarskog sektora koji u svojim standardnim ugovorima koriste određenu nepoštenu odredbu, protiv komorskih i interesnih udruga trgovaca koje promiču korištenje određenih nepoštenih odredaba te protiv tvorca pravila postupanja trgovaca postupanja kojim se promiče korištenje nepoštenih ugovornih odredaba


Komparativno oglašavanje

Komparativno oglašavanje jest svako oglašavanje koje, u svrhu promocije nekog proizvoda ili usluge, izravno ili neizravno upućuje na konkurenta na tržištu, odnosno koje, izravno ili neizravno, upućuje na konkurentski proizvod ili uslugu.

Komparativno oglašavanje dopušteno je samo:

Osobe koje za to imaju opravdani interes mogu od Državnog inspektorata ili drugog nadležnog tijela zahtijevati da naredi prekid nedopuštenoga komparativnog oglašavanja. Ako oglas još nije objavljen, ali je njegovo objavljivanje izvjesno, osobe koje za to imaju opravdani interes mogu od nadležnog tijela zahtijevati zabranu objavljivanja nedopuštenog komparativnog oglašavanja. Na zahtjev stranke, nadležno tijelo može, uz nalog da se prekine nedopušteno komparativno oglašavanje, narediti da se o trošku oglašivača objavi presuda u cijelosti ili djelomično, odnosno narediti da se o trošku oglašivača objavi ispravak oglasa.

Prilikom odlučivanja o zahtjevima zabrane komparativnog oglašavanja, nadležno tijelo neće uzimati u obzir je li spornim oglašavanjem nekome počinjena šteta, odnosno je li vjerojatno da će nekome biti počinjena šteta, kao niti je li oglašivač kriv što je komparativno oglašavanje nedopušteno.


Zakon o elektroničkom potpisu

U elektroničkoj trgovini, elektronički potpis je tehnologija koja se koristi za autentifikaciju i identifikaciju kupca, odnosno svakog korisnika neke plaćajuće elektroničke usluge, te također služi kao sredstvo plaćanja. Radi te velike važnosti, postoji zaseban zakon za elektroničke potpise.

Zakonom o elektroničkom potpisu uređuje pravo fizičkih i pravnih osoba na uporabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s davanjem usluga certificiranja elektroničkog potpisa, ako posebnim zakonom nije drukčije određeno.


Pojmovi u zakonu

1. Elektronički potpis – znači skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta

2. Napredan elektronički potpis – znači elektronički potpis koji pouzdano jamči identitet potpisnika

3. Vremenski žig – je elektronički potpisana potvrda izdavatelja koja potvrđuje sadržaj podataka na koje se odnosi u navedenom vremenu, a napredan vremenski žig je elektronički potpisana potvrda ovjerovitelja koja ispunjava uvjete za napredan elektronički potpis

4. Potpisnik – znači osobu koja posjeduje sredstvo za izradu elektroničkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstavlja

5. Elektronički zapis – je cjelovit skup podataka koji su elektronički generirani, poslati, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor, računalne baze podataka

6. Podaci za izradu elektroničkog potpisa – znače jedinstvene podatke, poput kodova ili privatnih kriptografskih ključeva, koje potpisnik koristi za izradu elektroničkog potpisa,

7. Sredstvo za izradu elektroničkog potpisa – znači odgovarajuću računalnu opremu ili računalni program koji potpisnik koristi pri izradi elektroničkog potpisa

8. Sredstvo za izradu naprednoga elektroničkog potpisa – znači sredstvo za izradu potpisa koje udovoljava zahtjevima iz članka 9. ovoga Zakona

9. Podaci za verificiranje elektroničkog potpisa – znače podatke poput kodova ili javnih kriptografskih ključeva koji se koriste u svrhu verificiranja (ovjere) elektroničkog potpisa

10. Sredstvo za verificiranje potpisa – znači odgovarajuću računalnu opremu ili računalni program koji se koristi za primjenu podataka za verificiranje potpisa

11. Certifikat – znači potvrdu u elektroničkom obliku koja povezuje podatke za verificiranje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe

12. Kvalificirani certifikat – znači certifikat koji udovoljava zahtjevima iz članka 11. ovoga Zakona i kojeg izdaje davatelj usluga izdavanja kvalificiranog certifikata koji ispunjava uvjete propisane ovim Zakonom

13. Davatelj usluga certificiranja – znači pravnu ili fizičku osobu koja izdaje certifikate ili daje druge usluge povezane s elektroničkim potpisima

14. Sredstvo za elektronički potpis – znači računalnu opremu ili računalni program ili njihove relevantne sastojke koji su namijenjeni za primjenu od strane davatelja usluga certificiranja za davanje usluga u vezi s elektroničkim potpisima ili su namijenjeni za primjenu kod izrade ili verificiranja elektroničkih potpisa


Elektronički potpis

Elektronički potpis je skup podataka u elektroničkom obliku koji služe za identifikaciju potpisnika i potvrdu vjerodostojnosti potpisanoga elektroničkog zapisa. Napredan elektronički potpis je elektronički potpis koji je povezan isključivo s potpisnikom i nedvojbeno ga identificira, nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika te sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka. Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis


Sredstvo za izradu naprednoga elektroničkog potpisa

Sredstvo za izradu naprednoga elektroničkog potpisa mora osigurati:

1. da se podaci za izradu naprednoga elektroničkog potpisa mogu pojaviti samo jednom te da je ostvarena njihova sigurnost

2. da se podaci za izradu naprednoga elektroničkog potpisa ne mogu ponoviti te da je potpis zaštićen od krivotvorenja pri korištenju postojeće raspoložive tehnologije

3. da podatke za izradu naprednoga elektroničkog potpisa potpisnik može pouzdano zaštititi protiv korištenja od strane drugih

Sredstvo za izradu naprednoga elektroničkog potpisa ne smije prilikom izrade naprednoga elektroničkog potpisa promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade naprednoga elektroničkog potpisa.


Certifikati

Certifikat je elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa. Kvalificirani certifikat je elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis.

Kvalificirani certifikat mora sadržavati:

1. oznaku o tome da se radi o kvalificiranom certifikatu

2. identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba)

3. identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odnosno boravište)

4. podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika

5. podatke o početku i kraju važenja certifikata

6. identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja)

7. napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata

8. ograničenja vezana za uporabu certifikata, ako ih ima

9. ograničenja u odnosu na važnost pravnih radnji za koje se daje certifikat, ako ih ima

Valja napomenuti da davatelji usluga certificiranja ne trebaju posebnu dozvolu za obavljanje usluga ali mora prijaviti Ministarstvu gospodarstva, rada i poduzetništva početak obavljanja usluga certificiranja najmanje osam dana prije početka rada te mora ispunjavati potrebne uvjete kao zaštitu sigurnosti podataka, specijalističko osoblje, sigurnosne mjere, itd. Davatelji usluga certificiranja moraju primatelju elektroničke poruke potpisane elektroničkim potpisom ili drugoj ovlaštenoj osobi omogućiti provjeru elektroničkog potpisa.


Zaštita usluga elektroničke trgovine

Sigurnosni zahtjevi

Kod svih informacijskih sustava, zaštita podataka je od velike važnosti, ali kod usluga čiji sigurnosni propusti mogu rezultirati novčanom štetom klijenata, sigurnost mora biti potpuna i beskompromisna. Dovoljan je jedan incident da se ugrozi preživljavanje davatelja ove informacijske usluge.


Trgovčevi zahtjevi

• Trgovac treba biti siguran da je klijent s kojime komunicira stvarno onaj tko tvrdi da jest – ignoriranje ovog zahtjeva može stvoriti pravne probleme za trgovca

• Narudžba koju je prodavač primio od kupca mora biti identična onoj koju je kupac stvarno napisao – znači, mora se osigurati da je zaštićen integritet poruke i da neki napadač nije promijenio sadržaj narudžbe

• Da je identitet autora neporeciv – prodavač se mora zaštiti od mogućnosti da kupac nakon narudžbe tvrdi da nije on naručio proizvod ili koristio uslugu od prodavača


Kupčevi zahtjevi

• Mora biti siguran da komunicira sa stvarnim prodavačem - ukoliko komunicira s kriminalcem koji se pretvara da je neki stvarni trgovac, kupac može biti opljačkan

• Poruka koju pošalje neće biti promjenjena tijekom prijenosa (postoji zaštita integriteta)

• Mora biti u stanju dokazati da je on poslao poruku narudžbe

• Samo osoba kojoj je poslao narudžbu i ostale podatke može pročitati poruku – kanal mora biti siguran a poruka enkriptirana kako ne bi neki napadač presreo poruku te ju promjenio ili koristio podatke iz nje

• Ne smije biti sumnje u to da će njegova narudžba biti primljena


Mjere zaštite

Svaka elektronička trgovina mora imati bar slijedeće mjere zaštite kako bi zaslužila povjerenje klijenata (i kojima se ispunjavaju neki od sigurnosnih zahtjeva):


Uobičajene vrste napada

Presretanje poruka – ukoliko se ne koristi enkripcija, napadač može lako presresti poruku te promijeniti njen sadržaj ili čitati osjetljive podatke koji se nalaze u njoj. Enkripcija se zato MORA koristiti

Provala u trgovčev sustav – ukoliko napadač pronađe način da provali u sustav kroz jedan izvor, postoji prijetnja da može provaliti u bilo koji drugi dio sustava. Radi toga, potrebno je koristiti Firewalle, odvojiti servise koji direktno komuniciraju s korisnicima od servisa koji ne komuniciraju s korisnicima (ili komuniciraju indirektno) i strogo zabraniti neovlaštenim osobama pristup bazama podataka i ostalim osjetljivim servisima

Provala u kupčev sustav – nije potrebno samo zaštiti podatke na poslužitelju, već i podatke koji se skinu na korisnikovo računalo. Ukoliko napadač uspješno provali u računalo nekog kupca (što je daleko jednostavnije nego provaliti u trgovčev informacijski sustav), postoji mogućnost da napadač tamo pronađe osjetljive podatke za kupca ili prodavača. Radi toga potrebno je zaštiti te podatke i ne ovisiti o korisniku da ih aktivira (većina korisnika će odlučiti da konfiguriranje zaštite aplikacije nije vrijedno truda)

SQL Injection – najrasprostranjeniji način napada i općenito prvi napad koji će većina napadača pokušati izvesti. Uobičajeno je da neiskusni programeri direktno prenose podatke iz formi, koje potencijalni kupac ispunjava, u SQL kod kojime se manipulira bazom podataka. Potencijalni napadač može umjesto uobičajenih napada napisati vlastiti SQL kod koji će se, jer se podaci direktno spajaju s SQL kodom, izvršiti i time omogućiti napdaču da čita i koristi bazu podataka kako da je volja. Zato je potrebno koristiti sve zaštitne mehanizme koje SQL nudi, ne kopirati podatke direktno u SQL kod već, umjesto toga, ih je prvo potrebno obraditi

XSS (Cross Side Scripting) – slično kao SQL Injection, ukoliko ne postoji potrebna validacija u PHP ili Java kodu, napadač može to koristiti da ugradi vlastitu skriptu na stranici koja će posjetitelja navesti da posjeti napadačevu stranicu gdje, na primjer, korisnik može unijeti podatke kreditne kartice u formu koju mu je napadač ponudio

Provala koristeći početne postavke – nakon ugradnje raznih tehnologija u informacijski sustav, prečesto se zaboravi promijeniti početne postavke sustava što napadač može iskoristiti (npr. Napadač se može prijaviti u sustav kao administrator koristeći korisničko ime Admin i lozinku admin)

Promjena cijene – određene implementacije čine kobnu pogrešku da se cijene dohvaćaju iz nesigurnih lokacija poput skrivenih HTML polja, cookia i lokalnih podataka spremljenih na korisnikovo računalo. Takvi načini dohvaćanja podataka omogućuju napadaču da promjeni pohranjene vrijednosti tijekom narudržbe, time mu omogućivši da proizvod kupi pod manjom cijenom. Radi toga je od iznimne važnosti cijene uvijek dohvaćati s poslužiteljeve baze podataka a nikad s korisnikove

Denial of Service – napadač može Malwareom zaraziti veliku količinu računala i poslati ih da konstantno posjećuju trgovčevu stranicu, što dovodi do pada poslužitelja radi prevelikoga prometa i time postaje nemoguće vršiti trgovačku djelatnost što može stvoriti veliku štetu, posebno ukoliko se napad brzo ne zaustavi

Praćenje kupaca – nije potrebno štiti samo osjetljive podatke o korisniku, več i općenito ostale podatke poput e-mail adrese i ostalih kontakt podataka te proizvoda koje je korisnik kupio. Ukoliko se to ne napravi, napadač moće pratiti korisnika i nakon nekog vremena predstaviti se kao prodavač, što postaje iznimno jednostavno ako napadač zna podatke za kontakt i samo par detalja o obavljenim kupnjama na trgovčevoj stranici

Sigurnosni protokoli i sustavi zaštite

SSL: Security Sockets Layer i TLS: Transport Layer Security protokoli

Ovo su najrasprostranjeniji protokoli za zaštitu Internetskih transakcija i ostvaruju slijedeće sigurnosne zahtjeve: povjerljivost, autentičnost, integritet, enkripciju podataka i neporecivost. Ovi protokoli u osnovi služe kao kanal za komunikaciju između dva učesnika u mreži koji šalju podatke putem nesigurne veze (Interneta).

Najveća prednost ovih protokola je njihova jednostavnost za korištenje: klijenti često ni ne znaju da postoji jer ne protokol ne zahtjeva od njih da interaktiraju s njime (osim kad neka stranica nije povjerljiva). Pružateljima usluga su ovi protokoli također podosta jednostavni i jeftini.

Uz zaštitu samog prijenosa podataka, ovi protokoli omogućavaju korisniku da provjeri povjerljivost stranica koje posjećuje jer SSL/TLS također koristi i X.509 certifikate.

Ipak, valja držati na umu to da su svakog dana sve nepouzdaniji i njihova zaštita se probije po nekoliko puta u godini. Ipak, u Siječnju 2015. najavljena je nova, 1.3, verzija TLS protokola koja će popraviti neke od sigurnosnih propusta.


X.509 certifikati

X.509 je najrasprostranjeniji i međunarodno priznat davatelj sigurnosnih certifikata koji se također koriste u SSL/TLS protokolima a sama tehnologija je stara 27 godina. On i njegova infrastruktura osigurava autentičnost korisnika enkripcijskih ključeva.


PGP: Pretty Good Privacy

PGP je računalni program koji je 1991. razvio Phil Zimmerman. PGP služi za enkripciju, dekripciju, segmentaciju i kompresiju poruka, e-mailova, datoteka pa čak i čitavih diskova.

Algoritam na kojem je program baziran redovito prolazi sve testove sigurnosti i smatra se iznimno sigurnim i dosad nitko nije probio sigurnosne usluge PGP-a, uključujući i policijska tijela Italije, Britanije pa i FBI-a koja su nerijetko napadala PGP koji i kriminalci koriste da zaštite vlastite podatke, te je čak jednom nazvan i „...najbliže što ćeš doći vojnoj razini sigurnosti“. PGP također nije pod nadzorom niti razvojem ikojeg vladinog tijela niti standarda.


SET: Secure Electronic Transaction

Protokol koji su zajedno stvorili MasterCard i Visa. SET je jaki protokol koji ostvaruje zahtjeve za povjerljivost, integritet te autentifikaciju trgovca i vlasnika kreditne kartice kojom se plaća. Još jedna korisna pogodnost ovog protokola je i ta da trgovac ne mora znati broj kartice kojom korisnik plaća što dodatno štiti sve stranke i smanjuje šansu od prijevare.

Na žalost, SET protokol se nije uspjeo probiti na tržište te je napušten i od strane tvrtki koje su ga stvorile. Razlog SET-ova neuspjeha na tržištu nije bila nepouzdanost već činjenica da je, za razliku od SSL/TLS protokola, prekompleksan, skup i zahtjeva instalaciju softwarea na klijentovo računalo.


3-D Secure

Nakon napuštanja SET protokola radi njegova neuspjeha da se probije na tržište, Visa je proizvela novi protokol zvan 3-D Secure kao dodatak SSL protokolu za zaštitu kreditnih i debitnih kartica putem Interneta. Ostale tvrtke osim Vise koriste protokole bazirane na ovom s pokojom preinakom.

3-D u nazivu protokola se odnosni na tri domene autentifikacije: Stjecateljevu, Izdavateljevu i Interoperabilnu. Protokol šalje XML poruke putem SSL-a te od klijenta zahtjeva dodatni korak autentifikacije unošenjem lozinke. Na primjer, ta lozinka može biti primljena od strane banke SMS-om, ali mogu se koristiti i druge metode.

Za trgovca, ovaj protokol daje par još pogodnosti, ali također i nepogodnosti. Jedna nepogodnost je ta što trgovac mora kupiti MPI (Merchant Plug-In) software koji donosi dodatne troškove trgovcu (kupnja, mjesečna naknada i naknada po obavljenoj transakciji) i može dovesti do pogreški tijekom transakcije. Također, klijenti smatraju ovaj dodatni korak autentifikacije smetnjom i nije rijetkost da odustanu od transakcije radi toga.

Ali frustracije radi dodatnog koraka autentifikacije nisu jedini nedostatak ove tehnologije za klijente. Najveća zamjerka je ta da se dodatni korak autentifikacije ne vrši od strane stranice na kojoj korisnik kupuje, već preko forme date od druge stranice. Ovo je omogućilo novi val Phishing napada jer korisnik ne može uvijek znati je li otvoreni prozor autentičan ili nije.

Također, određene varijante ovog protokola ne ispunjavaju uvjete Europske središnje banke (ECB-a).


AVS: Address Verification System

AVS je sustav koji provjerava adresu naplate, poštansku adresu, itd. s adresama koje posjeduje izdavatelj kartice. Ovime se smanjuje šansa prijevare.


CSC: Card Security Code

Sam broj kartice nije dovoljan kao autentifikacija vlasnika kartice jer se spomenuti broj često dijeli na Internetu i u stvarnom svijetu. Kao dodatna mjera zaštite, mnoge kartice na svojoj poleđini imaju CSC, kratki broj koji se uz broj kartice koristi kao autentifikacija korisnika kartice na elektroničkim trgovinama. Mada nije od velike koristi ukoliko napadač posjeduje i broj kartice i CSC, ovaj dodatni korak autentifikacije se dokazao kao dobra dodatna mjera zaštite.


Savjeti za zaštitu


Literatura

CIO, 15 Ways to Protect Your Ecommerce Site From Hacking and Fraud - http://www.cio.com/article/2384809/e-commerce/15-ways-to-protect-your-ecommerce-site-from-hacking-and-fraud.html

Dieter Gollman, E-commerce Security, ftp://ftp.tik.ee.ethz.ch/pub/lehre/inteco/SS02/material/00850785.pdf

Dr. Nada M. A. Al-Slamy, E-Commerce security, Alzaytoonah University MIS Dept. Amman, Jordan 962: http://paper.ijcsns.org/07_book/200805/20080550.pdf

IBM, developerWorks, e-Commerce security, Attacks and preventive strategies: http://www.ibm.com/developerworks/library/co-0504_mckegney/

NIBUSINESSINFO.co.uk, Common e-commerce pitfalls, Security weaknesses: https://www.nibusinessinfo.co.uk/content/security-weaknesses

PCmag, 5 E-Commerce Security tips: http://www.pcmag.com/article2/0,2817,2421846,00.asp

Sagar Chakraborty, e-Commerce Security: http://www.facweb.iitkgp.ernet.in/~isg/ICT-SEMINAR/REPORT-Sagar.pdf

Sitepoint, 5 Security Essentials for Ecommerce Sites - http://www.sitepoint.com/5-security-essentials-ecommerce-sites/

Strategic Website Technologies: http://web.itu.edu.tr/~soylemezm/ebus577/Lectures/Lecture7_Security.pdf

Symantec, Common Security Vulnerabilities in e-commerce Systems: http://www.symantec.com/connect/articles/common-security-vulnerabilities-e-commerce-systems

Tutorialspoint, E-Commerce Security Systems - http://www.tutorialspoint.com/e_commerce/e_commerce_security.htm

Wikipedia – http://en.wikipedia.org/wiki/Main_Page

Zakon.hr - http://www.zakon.hr

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima