Jak e-commerce nástroje třetích stran ovlivňují bezpečnost dat mých zákazníků

Na internetu je k dispozici neuvěřitelné množství cenných nástrojů a aplikací. Nástroje pro tvorbu webových stránek, komunikační nástroje, plánovače sociálních sítí, nástroje pro vyhledávače, analytické nástroje a desítky dalších. Ať už potřebujete pro provozování svého e-shopu jakýkoliv nástroj, pravděpodobně již jeden (nebo několik) na trhu existuje. Proto je nyní snazší než kdy jindy najít aplikace, které vám poskytnou přesně ty funkce, které váš e-shop potřebuje, aby se mu dařilo.

S používáním několika nástrojů třetích stran je však spojena řada závažných problémů. Konkrétně jde o ochranu údajů vašich zákazníků, pokud jsou rozptýleny mezi mnoha různými aplikacemi, zajištění souladu s předpisy o ochraně osobních údajů a předcházení kybernetickým hrozbám a problémům s ochranou osobních údajů.

Předcházení bezpečnostním hrozbám je v e-shopech obzvláště důležité, protože porušení ochrany údajů nebo soudní spor o nedodržení předpisů může od vašeho obchodu odvrátit většinu zákazníků, což může mít dlouhodobé následky.

Jak tedy můžete zajistit, aby údaje vašich zákazníků byly při používání těchto aplikací v bezpečí? Čtěte dále – ukážeme vám, jak můžete tyto nástroje efektivně používat, aniž byste riskovali bezpečnost svých dat.

Co jsou aplikace třetích stran?

Nástroje třetích stran jsou různé aplikace vytvořené externími společnostmi, které mohou majitelé obchodů využívat k rychlejšímu a efektivnějšímu zvládání některých úkolů spojených s provozem stránek elektronického obchodu. A vzhledem k tomu, jak snadno je nyní lze najít a nainstalovat, popularita aplikací třetích stran pro elektronické obchodování prudce vzrostla.

Proč je používáme? Je to jednoduché – ušetří nám spoustu času a energie, kterou bychom museli vynaložit na ruční provedení úkolu. Díky těmto aplikacím už například váš tým nemusí ručně posílat newsletter obchodu, sledovat výkonnostní metriky nebo zveřejňovat příspěvky na sociálních sítích. Místo toho za nás tyto úkoly mohou dělat aplikace třetích stran – v mnoha případech mnohem lépe, než bychom to dokázali my.

Vezměte si například náš Luigi’s Box.

Abyste mohli na stránky svého e-shopu stále přivádět návštěvníky a zlepšovat jejich zážitek z nakupování, potřebujete spoustu dat. Například jaká klíčová slova používají, jaké produkty si prohlížejí, jaké články čtou a co je nakonec přiměje obchod opustit. Kromě toho musíte také sledovat návštěvnost obchodu, konverzní poměr, tržby, ztracené příležitosti a několik dalších ukazatelů. Kdybyste měli všechny tyto metriky sledovat ručně, museli byste tím vy nebo váš tým pravděpodobně denně trávit hodiny času.

Luigi’s Box přitom dokáže shromažďovat data z obchodu a aktualizovat je 24 hodin denně, 7 dní v týdnu, aniž by vám unikla jediná informace. Stačí, aby váš tým otevřel aplikaci, a na vizuálním panelu uvidí vše, co potřebuje:

• populární vyhledávání,
• konverzní poměr,
• problémy s vyhledáváním (jako jsou časté překlepy nebo specializované výrazy, které vedou k vyhledávání bez výsledků), apod.

Díky tomu může okamžitě zjistit, co od něj zákazníci očekávají, a upravit funkčnost obchodu nebo odstranit problémy – například podezřele vysoký počet vyhledávání, které skončí bez výsledků.

Když navíc nástroje třetích stran zvládnou většinu manuálních úkolů za váš tým, zbyde mu mnohem více času na to, aby se věnoval návštěvníkům obchodu. Může také věnovat více času přípravě nové marketingové kampaně nebo vymýšlení originálních způsobů, jak přivést do obchodu více zákazníků.

Nástroje třetích stran a rizika zabezpečení dat

Další obrovskou výhodou nástrojů třetích stran je to, jak cenné údaje mohou poskytnout majitelům e-shopů. Při propagaci svého obchodu a zvyšování spokojenosti zákazníků se již nemusíte spoléhat na „instinkt“. Místo toho můžete k tomu, abyste svou strategii a zážitek z obchodu přizpůsobili zákazníkům, využít informace pocházející z aplikací.

Problémem však je, že tyto aplikace vyžadují spoustu dat, aby mohly pracovat naplno. A mezi údaji, které potřebují, můžete velmi často najít osobní informace o zákaznících, jako je úplná adresa zákazníka, historie nákupů nebo údaje o kreditní kartě. Poskytnutí přístupu k těmto údajům třetím stranám je však spojeno s několika problémy v oblasti bezpečnosti a ochrany osobních údajů:

• Kybernetická bezpečnostní rizika – Vzhledem k tomu, že nástroje třetích stran pro e-commerce uchovávají ve svých databázích velké množství informací (často včetně finančních údajů), jsou velmi lákavým cílem pro kybernetické útoky. Využití těchto nástrojů jako vstupních bodů je pro ně také často mnohem snazší než přímý útok na firemní síť, protože zabezpečení mnoha aplikací je nedostatečné. To je bohužel důvod, proč různé průzkumy označují dodavatele třetích stran za jednu z největších hrozeb pro bezpečnost elektronického obchodu. Podle některých se dokonce 60 % všech úniků dat děje prostřednictvím dodavatelů třetích stran – především kvůli nedostatečnému zabezpečení.
• Dodržování předpisů – Používání externích nástrojů pro shromažďování a ukládání dat představuje také rizika související s dodržováním předpisů, zejména pokud mají tyto aplikace přístup k citlivým informacím, jako jsou čísla sociálního pojištění nebo finanční údaje. V případě incidentu s daty bude navíc zodpovědný váš e-shop – nikoliv poskytovatel služby. Pokud se tedy chcete vyhnout žalobám a vysokým pokutám za nedodržení předpisů, měli byste každou aplikaci, kterou plánujete používat, zkontrolovat z hlediska souladu s předpisy o ochraně osobních údajů.
• Ohrožení dobrého jména – Nákup ve vašem e-shopu je známkou toho, že vám zákazníci důvěřují. Jakmile se však dozvědí, že ve vaší společnosti došlo k narušení bezpečnosti údajů, mohou odejít a už si u vás nikdy nic nekoupí. V průzkumu společnosti Ping Identity 81 % respondentů uvedlo, že by po narušení bezpečnosti dat rozhodně přestali se značkou komunikovat online. Ještě znepokojivější je, že po incidentu s daty může být pro vás velmi obtížné přivést do obchodu nové zákazníky, což přímo ovlivní vaše tržby.

Proč se bezpečnost ze strany třetích stran stala v posledních letech tak důležitou?

Díky rozšíření cloudových služeb je nyní snazší než kdy dříve najít a používat nástroje třetích stran. Již není nutné stahovat programy do počítače a následně procházet zdlouhavým procesem instalace. Místo toho lze většinu aplikací používat okamžitě, protože uživatelům stačí vytvořit účet a aplikace je připravena k práci.

Na jedné straně tak máme přístup ke stovkám užitečných aplikací třetích stran: SEO analýzy, programy pro kontrolu pravopisu, editory a optimalizátory obrázků apod. Ještě lepší je, že tyto aplikace můžeme používat na jakémkoli zařízení – stačí nám stabilní připojení k internetu a můžeme přistupovat k databázi zákazníků nebo vytvářet nové příspěvky na sociálních sítích.

Mnohé z těchto aplikací bohužel stále potřebují vylepšit, pokud jde o zabezpečení a ochranu soukromí, což z nich činí snadný cíl pro hackery. Výzkum společnosti Veracode například odhalil bezpečnostní chyby v 7 z 10 open-source aplikací (z 85 000 testovaných aplikací). Když k tomu připočteme, že mnoho uživatelů používá pro své účty slabá nebo opakovaně používaná hesla, mohou se údaje snadno dostat do nepovolaných rukou, protože hesla lze prolomit pouhým útokem hrubou silou.

Další znepokojující věcí je, že majitelé firem a správci IT často nevědí, kolik aplikací jejich zaměstnanci používají. V rámci jedné ze svých zpráv se společnost Microsoft zeptala správců IT z různých společností, kolik aplikací podle nich jejich firma používá. Jejich odpověď? V průměru 30 nebo 40. Podle Microsoftu je však skutečné číslo mnohem vyšší – ve firmě se může používat až 1 000 samostatných aplikací!

Důvodem tohoto obrovského rozdílu je skutečnost, že naprostá většina zaměstnanců (80 %) přidává a používá aplikace bez vědomí vedení nebo pracovníků IT. Navíc málokdy kontrolují, zda tyto aplikace odpovídají firemním zásadám zabezpečení a dodržování předpisů.

V jiné studii 90 % respondentů uvedlo, že umožňují třetím stranám přístup k interním zdrojům a citlivým datům společnosti. Tento údaj by měl znepokojovat zejména majitele firem, protože takové chování desetinásobně zvyšuje riziko úniku dat nebo problémů s ochranou osobních údajů. Navíc přidáním zdánlivě neškodné aplikace do firemní sítě mohou zaměstnanci nevědomky poskytnout neoprávněným osobám snadný přístup k interním datům – se všemi důsledky.

Jak snížit bezpečnostní riziko

Musíte zastavit nebo výrazně omezit počet nástrojů třetích stran, které používáte ve svém e-shopu, jen abyste zajistili bezpečnost své sítě a zákazníků? Ne nutně.

Pomocí několika jednoduchých kroků můžete zvýšit zabezpečení svého e-shopu a minimalizovat dopad kybernetických hrozeb a zároveň využívat plný potenciál nástrojů. Zde uvádíme některé z nejlepších postupů, které můžete použít, abyste data svého obchodu udrželi mimo dosah nepovolaných rukou:

Udělejte si seznam všech aplikací třetích stran, které ve firmě používáte

Sestavení seznamu aplikací používaných ve vaší společnosti je prvním krokem ke zlepšení zabezpečení vašeho obchodu. Díky němu bude jasné, kolik z nich je připojeno k vašemu systému a kolik je jich skutečně potřeba.

Můžete například zjistit, že vaši zaměstnanci používají pět různých aplikací pro správu sociálních médií, protože neexistovaly žádné pokyny, kterou aplikaci mají používat. Jakmile to zjistíte, můžete všechny tyto aplikace projít a vybrat jednu, kterou by měli všichni zaměstnanci pro sociální média používat, a snížit tak počet aplikací používaných ve firmě.

Kontrola počtu aplikací, které vaši zaměstnanci používají, vám také pomůže odhalit ty aplikace, které se již nepoužívají, ale stále mají přístup k firemním datům. Tyto aplikace mohou být snadno použity jako vstupní body do vašeho systému, aniž byste si toho všimli – proto by měly být okamžitě odstraněny. Výborným postupem je také zaslat poskytovateli e-mail s žádostí o odstranění všech dat, která by mohla mít uložena a která se týkají vašeho obchodu a uživatelů.

Stanovte zásady zabezpečení aplikací třetích stran

Poté, co jste zkontrolovali všechny aplikace používané ve vaší společnosti a odstranili ty nepotřebné, je čas vytvořit (nebo aktualizovat) bezpečnostní směrnice. Jedním z bodů, které byste měli doplnit, je jasný popis toho, jak mají vaši zaměstnanci zacházet s daty, která jdou do a z aplikací třetích stran – zejména s těmi s citlivými údaji. Dalším bodem, který je třeba zahrnout, je, jaký bude nový postup při přidávání nových aplikací do sítě. Například všechny nové aplikace, které chtějí zaměstnanci používat, by měly být nejprve zaslány správcům IT ke kontrole a schválení.

Dobrým nápadem je také popsat, jak mohou zaměstnanci přistupovat k datům při práci na svých osobních zařízeních. To je obzvláště důležité, pokud denně používají internetové připojení ze svého domova nebo místní kavárny, protože to může zvýšit riziko problémů s ochranou osobních údajů a jejich narušení – proto by měli být proškoleni, jak internetové připojení zabezpečit.

Zásady jsou také skvělým způsobem, jak zaměstnance poučit o nejčastějších kybernetických hrozbách (jako jsou phishingové útoky) a o tom, jak by se měli zachovat, pokud si všimnou narušení bezpečnosti nebo problémů s ochranou soukromí. Tímto způsobem je můžete přimět k větší opatrnosti při práci a zajistit, že budou vědět, jak reagovat (a koho upozornit) v případě jakýchkoli problémů.

Zaveďte přísné zásady používání hesel

Používání krátkých a snadno uhodnutelných hesel nebo opakované používání stejného hesla pro více aplikací je již tak dost nebezpečné pro soukromé aplikace. Pro firemní aplikace by to mělo být nepřípustné, ale stále se to děje až příliš často.

Výzkum společnosti NordPass zjistil, že zaměstnanci pracující pro společnosti z žebříčku Fortune 500 používají hesla, která lze prolomit za méně než sekundu, a to pouhým útokem hrubou silou. S tak slabým heslem, jako je „heslo“, které zabezpečuje aplikace s daty jejich zákazníků, plány kampaní nebo finančními údaji obchodu, několikanásobně roste riziko, že by se data mohla dostat do nepovolaných rukou.

Z tohoto důvodu potřebujete zajistit, aby vaši zaměstnanci používali u každé aplikace silné heslo a aby nepoužívali stejná hesla u více aplikací. Jedním z nejlepších způsobů, jak toho dosáhnout, je software na správu hesel, který automaticky generuje silná unikátní hesla, které je velmi obtížné prolomit, i za použití útoku hrubou silou.

Správce navíc může všechna hesla ukládat do databáze, takže si zaměstnanci budou muset pamatovat pouze jedno heslo, které budou používat k přihlášení do správce. Skvělým nápadem je vybrat si správce hesel, který podporuje vícefaktorové ověřování, a chránit tak databázi a hesla dále uvnitř.

Nastavte, kdo má přístup k jakému typu dat

Možná je to překvapivé, ale většinu datových incidentů ve skutečnosti nezpůsobují třetí strany, ale zaměstnanci. Podle studie společnosti CybSafe byla lidská chyba, ať už úmyslná, nebo neúmyslná, hlavní příčinou 90 % případů narušení bezpečnosti dat v roce 2019. K narušením může docházet obzvláště často, pokud neexistují žádná pravidla pro to, kteří zaměstnanci mohou přistupovat k citlivým nebo důležitým údajům – a každý tak může přistupovat ke všem zdrojům.

Riziko, že k tomu dojde, však můžete výrazně snížit tím, že prostřednictvím panelu správce nastavíte přísná oprávnění pro to, kdo má k jakým datům přístup, a omezíte přístup k nejcitlivějším souborům pouze na zaměstnance, kteří je potřebují k práci. Nastavení oprávnění lze také z panelu správce kdykoliv změnit, takže můžete například dočasně udělit výsadní přístup některým zaměstnancům a později tato oprávnění odebrat.

Zabezpečení lze dále zvýšit přidáním dvoufaktorového ověřování pro přístup ke zvláště citlivým zdrojům. Pak by v případě, že budou přihlašovací údaje vašeho zaměstnance nějakým způsobem kompromitovány (například prostřednictvím phishingového útoku nebo útoku hrubou silou), měl další krok ověření zabránit neoprávněným uživatelům v přístupu ke zdrojům.

Nástroje pravidelně aktualizujte

Nakonec zajistěte, aby všechny aplikace, které vaši zaměstnanci používají, byly pravidelně aktualizovány – zejména ty na jejich vzdálených zařízeních. I když se někdy může zdát únavné sledovat aktualizace všech aplikací, které váš tým používá, pravidelné aktualizace softwaru jsou pro digitální bezpečnost a zabezpečení dat zásadní.

Starší verze aplikací mohou obsahovat zranitelnosti kódu, problémy se soukromím nebo jiné bezpečnostní chyby, které mohou kyberzločinci snadno zneužít. Starší verze navíc mohou být náchylné k pádům nebo poruchám, což také ohrožuje vaše data. Pravidelnou aktualizací všech aplikací, které váš tým používá, můžete všem těmto problémům předejít a získat přístup k nejnovějším nástrojům a funkcím.

Většinu aplikací lze navíc nastavit tak, aby se automaticky aktualizovaly, jakmile je k dispozici nová verze. Tuto možnost stačí povolit v panelu správce. Díky tomu se nemusíte starat o každodenní kontrolu a následnou aktualizaci aplikací, abyste měli jistotu, že používáte nejnovější a nejbezpečnější verzi.

Závěr

Kolik času a energie bychom denně promrhali bez nástrojů třetích stran? Pravděpodobně až moc. Nyní však tyto nástroje mohou převzít většinu rutinních úkolů, jako je shromažďování analytických dat nebo publikování na sociálních sítích, díky čemuž mají e-commerce značky mnohem více času věnovat se návštěvníkům a zákazníkům svého obchodu. Data z těchto nástrojů jsou navíc neocenitelná, pokud jde o zlepšení zkušeností nakupujících v obchodě a jejich zapojení.

Tyto aplikace se však také mohou rychle stát pro e-shop významnou bezpečnostní hrozbou, pokud vy a váš tým nejste při hledání nových aplikací, které byste mohli do svého obchodu přidat, dostatečně opatrní. Některé aplikace například nemusí být v souladu s vašimi zásadami zabezpečení nebo ochrany osobních údajů – nebo mohou mít závažné bezpečnostní chyby, které mohou hackerům umožnit snadný přístup k vašim datům.

Vsadíme se však, že jakmile najdete ty správné, už si provozování svého obchodu bez nich nebudete umět představit – možná by jednou z nich mohl být Luigi’s Box?