De wereldwijde e-commercemarkt groeit snel, aangedreven door de snelle toename van het aantal mobiele apparaten. Deze alomtegenwoordigheid van toestellen heeft het mogelijk gemaakt heel gemakkelijk aankopen te doen via internet, op welk moment dan ook. In 2012 realiseerden de top 500 e-retailers in Europa een gezamenlijke online omzet van 93,74 miljard euro[1], een stijging van 16,6 procent ten opzichte van 2011. 46 procent van de smartphonegebruikers heeft wel eens via zijn mobiel een online aankoop gedaan[2]. Maar zoals altijd het geval is: veel macht leidt tot veel verantwoordelijkheid. Als e-commercebedrijven willen profiteren van de snelle groei van het gebruik van mobiele apparaten, krijgen ze ook te maken met uitdagingen in de vorm van security- en compliance-maatregelen. Die bepalen hun reputatie en het daarop volgende succes.
Een kwestie van vertrouwen
Een essentieel onderdeel van een online transactie is vertrouwen. De consument moet vertrouwen hebben in het bedrijf waaraan ze hun financiële en persoonlijke gegevens verstrekken tijdens het aankoopproces. Zonder dit vertrouwen haalt een e-commercebedrijf het niet. Daarom wordt informatiebeveiliging een steeds populairdere tool in de branche. Security is dan ook geen aanvullende oplossing, maar moet centraal staan in alles wat het bedrijf doet. Bovendien worden consumenten steeds veeleisender. De prominente aanwezigheid van smartphones en tablets heeft het bewustzijn van de consument vergroot, want individuen regelen steeds vaker zelf de beveiliging van hun persoonlijke apparaten. De druk van een almaar beter geïnformeerde consument zou voor e-commercepartijen een stimulans moeten zijn om hun eigen zaken op orde te krijgen.
De levensader van een e-commercebedrijf is de website, want via deze weg communiceert het met zijn klanten. En juist dit is het onderdeel dat onder vuur ligt. Webapplicaties zijn steeds vaker een belangrijk doelwit van hackers. Voor e-commercesites is het dus essentieel om uitgebreide beveiligingsoplossingen te implementeren en security als uitgangspunt te nemen bij het ontwikkelen of selecteren van e-commerce-webapplicaties en -diensten.
Is een website getroffen door een DDoS-aanval en is hij daardoor overdag een aantal uur uit de lucht, dan verliest het bedrijf niet alleen direct omzet, maar ook toekomstige klandizie vanwege de reputatieschade die de aanval veroorzaakt. Om dit tegen te gaan, is het voor professionals in e-commercebeveiliging sterk aan te raden een aantal security-programma’s te implementeren, zoals een programma dat continu webapplicaties scant. Dat helpt zwakke plekken in webapplicaties aan te wijzen en te herstellen. Dit moeten bedrijven implementeren in combinatie met een extra beschermingslaag in de vorm van een webapplicatie-firewall. De automatisering en schaalbaarheid van webapplicatiescannen is cruciaal in dit geval. E-commercebedrijven moeten een schaalbare oplossing hebben die snel en ononderbroken duizenden applicaties scant om zwakke plekken aan te wijzen. De oplossing moet ook snel te implementeren zijn – binnen een paar minuten in plaats van dagen.
Zo zwart-wit is het niet
Security is een ingewikkelde probleem voor e-commerceverkopers. Hun infrastructuren bestaan uit webservers, applicatieservers, betalingsverwerkers en netwerkcomponenten die in-house ontwikkeld moeten worden of door een derde partij. De verantwoordelijkheid hiervoor kan liggen bij de verkoper of de serviceprovider, afhankelijk van hoe de oplossing is ontworpen en wordt beheerd. Sommige PCI-DSS-eisen komen echter voor rekening van de verkoper, ongeacht of de e-commerceoplossing uitbesteed is. Dat is bijvoorbeeld het geval als gegevens van betaalkaarten worden verwerkt, opgeslagen of verzonden. Desondanks denken sommige bedrijven nog steeds dat compliance aan de kant van hun Payment Service Provider of hostingprovider voldoende is. E-commercebedrijven moeten de verantwoordelijkheid voor security zelf dragen. Het is belangrijk dat zij de verantwoordelijkheden voor de verschillende componenten van hun IT-infrastructuur vaststellen en bepalen wiens taak het is om te garanderen dat de PCI-DSS-eisen worden nageleefd. Zelfs als de site van een verkoper is gehost in een gedeelde omgeving, is het uiteindelijk nog de verantwoordelijkheid van de verkoper om ervoor te zorgen dat hun gehoste omgeving compliant is.
Security best-practices
De Europese wetgeving die binnenkort van kracht wordt zal het belang van security best-practices vergroten. De wetgeving dwingt e-commercebedrijven transparant te zijn en datalekken en beveiligingsincidenten openbaar te maken. Daardoor zullen organisaties er alles aan doen om de gegevens van hun klanten veilig te stellen. Dit zorgt ervoor dat e-retailers niet langer alleen qua prijzen en gemak met elkaar concurreren, maar ook op het gebied van security.
In een omgeving waarin security meer en meer een beïnvloedbare reputatietool wordt, doen e-commercebedrijven er goed aan zichzelf zo beveiligd mogelijk te maken. Compliance kan gevoelige snaren raken, maar bedrijven moeten verder kijken dan dit om voor loyaliteit bij hun klanten te zorgen.
Naast de eisen voor PCI-DSS-compliance is er nog een aantal belangrijke zaken waarover verkopers moeten nadenken met het oog op de nieuwe EU-wetgeving:
- de locatie van de gegevens van alle kaarthouders kennen;
- risico’s gerelateerd aan de geselecteerde e-commercetechnologie evalueren;
- risico’s gerelateerd aan het uitbesteden aan derde partijen aanpakken;
- een continue en schaalbare beveiligingsstrategie van web-hosted omgevingen vaststellen;
- security-bewustzijn van consumenten verhogen.
Verder kijken dan wat van je verwacht wordt
Om het vertrouwen van klanten veilig te stellen moet de e-commercebranche verder kijken dan alleen het voldoen aan compliance-eisen. De competitieve aard van deze markt betekent dat security op een natuurlijke manier zal groeien – de drang om een betere klantervaring te bieden dan de concurrent wakkert dat vanzelf aan. Belangrijk in een complexe IT-omgeving is dat individuele bedrijven verantwoordelijkheid nemen voor beveiliging. Het moet het nummer-één strategische aandachtspunt worden binnen de sector. Uitval van een website of diefstal van vertrouwelijke klantgegevens hebben verstrekkende gevolgen voor de online reputatie van een organisatie en klandizie op de lange termijn.
François Gratiolet , CSO EMEA Qualys
