Verkkokaupassa hyvä tietoturva varmistetaan pitämällä verkkokaupan ohjelmistot ajan tasalla. Yrityksen henkilökuntaa tulee myös kouluttaa ja opastaa tietoturvakysymyksiin liittyen. Myös käyttäjiä voi opastaa toimimaan tietoturvan kannalta järkevästi, mutta yksittäisen verkkokauppiaan mahdollisuudet tähän ovat rajalliset. Verkkokauppa voi lähinnä vaikuttaa siihen, millaisia salasanoja järjestelmä hyväksyy ja lähettää säännöllisin väliajoin automaattiset muistutukset salasanan vaihtamisesta uuteen. Lisäksi verkkokauppa voi tunnistaa selaimen ja selainversion ja suositella käyttäjälle sen päivittämistä.
Lisäksi tietoturvapäivitysten pitäminen ajan tasalla ja niistä tiedottaminen käyttäjille on tietysti aina tärkeää. Asiakkaille annetaan näkyvästi kaupan yhteystiedot. Se luo turvallisuuden tunnetta siitä, että epäselvissä tilanteissa asiakkaat voivat ottaa yhteyttä verkkokauppaan. Verkkomaksamiseen tuo lisäturvaa, jos verkkokauppias käyttää Verified by Visa- tai MasterCard Secure Code -tunnuksilla merkittyä turvaratkaisua verkkomaksamisen varmentamiseen.
Verkkokauppa-alusta tulee valita siten, että se on tietoturvallinen. Verkkokauppiaan tietotaidolla näitä asioita ei välttämättä voida arvioida realistisesti, joten on tärkeää löytää luotettava ja asiantunteva kumppani. Tekniseltä kumppanilta kannattaa varmistaa ainakin seuraavat asiat.
- Tallennetaanko palvelun salasanat tietoturvallisesti ja riittävän vahvassa muodossa? Joissakin verkkopalveluissa salasanoja tallennetaan jopa pelkkänä tekstinä ilman minkäänlaista salausta, mikä luonnollisesti on kuin kehotus ulkopuolisille hyökkääjille ryhtyä toimeen.
- Miten maksutapahtumien tiedot käsitellään? Tallennetaanko maksutietoja, kuten luottokorttinumeroita verkkokaupan palvelimille? Tietoturvan kannalta paras ratkaisu on, että tiedot vain välitetään suojatusti tilauslomakkeesta maksupalveluun, eikä niitä käsitellä verkkokauppaohjelmistossa. Moni asiakas voi olla aivan aiheesta epäluuloinen verkkokauppaa kohtaan, jos se vaatii asiakkaalta luottokorttitiedot eikä ohjaa häntä suoraan maksupalveluun. Suomessa verkkopankki on tehokas ja turvallinen tapa maksaa verkko-ostoksia. Koska maksaja ohjataan pankin palveluun, verkkomaksun tekeminen verkkokaupan kautta on yhtä turvallista kuin tavanomainen verkkopankin käyttäminen.
- Käyttääkö verkkokauppa SSL/TSL-suojausta? Transport Layer Security (TLS), joka tunnettiin aiemmin nimellä Secure Sockets Layer (SSL) on salausteknologia, jolla verkkoliikenne voidaan suojata. Koko verkkokaupan verkkoliikenteen ja maksutapahtuman tulisi olla alusta loppuun asti suojattu. SSL perustuu varmenteisiin, joilla sivustot todistavat olevansa hyvämaineisia. Varmenteita myöntävät yritykset takaavat varmenteen hakijan identiteetin. Jos sivustolla on käytössä suojattu yhteys, tiedot siirtyvät salattuna eikä kukaan ulkopuolinen pääse niihin käsiksi. Salaus on päällä, kun selaimen osoiteriville ilmestyy lukon kuva. Verkkosivun osoiterivin alussa ei ole http vaan https.
- Miten verkkokaupan tietoturvapäivitysten hallinta on järjestetty? Millaisella viiveellä kriittiset päivitykset päivitetään järjestelmään. Miten käyttäjä saa tiedon päivityksistä? Kuinka monta kriittistä tietoturvaongelmaa järjestelmässä on ollut esimerkiksi viimeisen vuoden aikana. Nämä ovat kaikki olennaisia tietoja verkkokauppajärjestelmää valittaessa.
- Miten varmuuskopiointi on järjestetty? Mihin, missä muodossa ja kuinka usein tiedostot tallennetaan? Mikä on toimintamalli, jos tietoja pitää palauttaa, keneen otetaan yhteyttä ja kuinka kauan tietojen palautus kestää? Miten riskit, kuten tulipalot tai vesivahingot on huomioitu? On hyvä, jos tiedot on varmuuskopioitu kokonaan toisessa fyysisessä tilassa oleville palvelimille. Lisäksi on tärkeää tietää, kuinka usein varmuuskopiointi suoritetaan ja kattaako se kaikki verkkokaupan tiedot. Varmuuskopioista ei välttämättä ole paljon hyötyä, jos ne ovat puutteellisia ja päivitetty viimeksi kaksi kuukautta sitten.
- Millainen on järjestelmän toimintavarmuus? Kuinka suuren prosenttiluvun ajasta verkkokaupan taataan olevan käytettävissä? Järjestelmään voidaan tarjota esimerkiksi 98 prosentin käytettävyys, jolloin järjestelmä voi olla kaksi prosenttia ajasta tavoittamattomissa tai alhaalla. Sadan prosentin tavoitettavuutta ei tietenkään voi luvata yksikään toimittaja. On hyvä tietää, keneen otetaan yhteyttä, jos järjestelmät ovat alhaalla ja mikä on tällaisten tilanteiden toimintaprosessi.
