La seguridad es una de las claves del éxito de cualquier tienda online. Que los usuarios tengan la percepción de que están comprando en un entorno seguro, pero también que éste efectivamente lo sea, y esté protegido de cualquier tipo de ataque, pérdida de datos… De hecho, difícil es transmitir esa imagen de seguridad imprescindible para que los usuarios confíen en nuestr eCommerce y se decidan a comprar en ella, si previamente no hemos dedicado el tiempo y el dinero necesario para que sea de verdad un sitio seguro.

Pero ¿cuáles son las medidas que hemos de implementar para garantizar la seguridad de nuestra tienda online y conseguir, y merecer, la confianza de nuestros usuarios? Aquí os dejamos una serie de consejos básicos:

1. Elegir una plataforma de eCommerce segura y mantenerla constantemente actualizada

El primer paso para tener una tienda online segura es usar una plataforma de comercio electrónico fiable y segura. En principio, esto no debería ser ningún problema, ya que en el mercado existen diferentes plataformas como Magento, PrestaShop, WooCommerce o Shopify, que ofrecen todas las funcionalidades imprescindibles para contar con una completa tienda online y garantías más que suficientes de seguridad.

Ahora bien, una vez instalada la plataforma y con la tienda en funcionamiento, es necesario estar atento a las diferentes actualizaciones de seguridad que se van lanzando periódicamente y que ponen al día el sistema, y le permiten afrontar con garantías nuevas amenazas y solucionar posibles fallos o agujeros de seguridad. La tienda online más segura hoy dejará de serlo en muy poco tiempo, si no se cuida y se mantiene constantemente actualizada.

Por otro lado, también tenemos la opción de decidirnos por un desarrollo a medida. En ese caso, hemos de tener muy claro que la empresa que elegimos para realizarlo cuenta con expertos en seguridad que cuidarán de que nuestra tienda cumpla con todos los requisitos de seguridad, y que deberán ocuparse de tenerla constantemente preparada para afrontar las amenazas que vayan surgiendo.

2. Elige un hosting que se tome en serio la seguridad

Elige un hosting estable, que cuente con un equipo técnico experto en seguridad, que monitorice tus sistemas las 24 horas del día, y que sea capaz de abordar las amenazas web y ofrecer soluciones eficaces.

En el caso de CUSTOS messium, ofrecemos a nuestros clientes dos modalidades de alojamiento con monitorización las 24 horas del día:  hosting compartido con administración proactiva de la plataforma 24x7x365, y hospedaje  en servidor dedicado con administración proactiva 24x7x365. Con lo que aseguramos una monitorización constante de tu plataforma, un entorno siempre actualizado y una respuesta rápida ante cualquier tipo de problema de seguridad.

Puedes ver todas nuestras ofertas de hospedaje web en el siguiente enlace

3. Adoptar protocolos de encriptación

Instalar un certificado SSL, para cifrar los datos que nos envían los compradores (contraseñas, datos personales, número de tarjeta), de manera que solo sean legibles para el servidor del destinatario de la información.

Ahora mismo, los diferentes navegadores consideran como no segura cualquier página que no tenga instalado un certificado SSL validado, y son pocos los usuarios que se aventuran a realizar una compra en una tienda que no incluya un certificado SSL que haga funcionar la página bajo el protocolo https.

Existen principalmente tres tipos de certificados:

• Certificados autofirmados: no han sido emitidos por una   autoridad   certificadora   de   confianza, de manera que aunque la URL de la web comience por https, el navegador no podrá reconocer la legitimidad del sitio web y avisará al usuario de que está entrando en un sitio web no confiable.
• Certificados sin validación extendida: son emitidos por una autoridad reconocida, y los navegadores no lanzarán ninguna alerta de seguridad.
• Certificados con validación extendida: como los anteriores, son emitidos por una autoridad certificadora y reconocidos por los navegadores. Son los que otorgan las máximas garantías de conexión, por los que son los que mayor confianza generan en los usuarios. Cuando un cliente se conecta a una web con un certificado SSL de validación extendida, verá un candado.

Para instalar un certificado SSL validado, previamente hay que adquirirlo de un proveedor reconocido como Digicert, Trustwave, Comodo o Symantec, generar una solicitud de firma de certificado para el dominio de la web y, una vez obtenido, implementarlo en la web. Un trabajo que en CUSTOS realizamos para nuestros clientes, desde la compra del certificado hasta la instalación, sin aplicar costes por las tareas de instalación.

4. Realizar diariamente copias de seguridad de tu tienda online

Conviene realizar diariamente una copia de los datos originales, con el objetivo de disponer de un sistema de respaldo en caso de pérdida, deterior o robo de información, que permita recuperar datos y volver a funcionar a pleno rendimiento en un plazo corto de tiempo.

A la hora de poner en marcha un sistema de copias de seguridad es necesario analizar la información de la empresa, con el fin de descartar aquella que carece de relevancia, incluir todos los equipos de la organización, definir el número de versiones que se almacenarán de cada elemento y el tiempo que se conservarán, el tamaño de la empresa y el volumen de información que maneje.

Además, es importante realizar pruebas de restauración, con el fin de comprobar que las copias realizadas no son inaccesibles; controlar los soportes en los que se realizan las copias a través de un correcto etiquetado y registro de su ubicación, valorar la posibilidad de cifrar las copias, en el caso que contengan información confidencial etc.

5. Contraseñas fuertes

Utiliza scripts que te faciliten generar contraseñas fuertes y blindadas en cualquier momento. Si es posible, además, también es conveniente incluir la opción de doble autentificación, con el fin de mejorar la seguridad e impedir la entrada de intrusos.

Además, en el caso de que tus clientes se puedan registrar en tu eCommerce, obliga a que generen contraseñas fuertes, que tengan una cantidad determinadas de caracteres y en las que haya una mínima combinación de letras números, símbolos…

6. Instalar cortafuegos

Un cortafuegos o firewall es un sistema de software o hardware que sirve como compuerta entre dos o más redes, de modo que permite la entrada al tráfico autorizado y bloquea el acceso al que resulta sospechoso.

Existen muchos tipos de cortafuegos, pero para las tiendas online se recomienda la utilización de proxys. Éstos funcionan como programas intermediarios entre las redes, por lo que el tráfico entrante no se conecta directamente a la red de nuestra tienda online.

5. Instalar pasarelas de pago seguro

Lo normal es que las tiendas online cuenten con una pasarela de pago proporcionada por una entidad bancaria. Si es así, deberá tener un certificado SSL de validación extendida, con el fin de que el cliente pueda identificar la entidad bancaria a la que pertenece, y tener la seguridad de que sus datos viajan cifrados.

Una de las ventajas de utilizar una pasarela de pago proporcionada por un banco, es que la tienda no tiene acceso a los datos bancarios del cliente, por lo que no deberá tomar medidas adicionales para su protección.

Por supuesto, antes de poner la pasarela de pago en producción, será necesario realizar pruebas para comprobar que funciona correctamente y corregir posibles errores. Además, también es   imprescindible incluir medidas de seguridad antifraude:

• Que solicite el CVV para poder realizar el pago.
• 3DSecure: se trata de un sistema promovido por Visa  y  MasterCard  y Ciberseguridad en comercio electrónico, que verifica  que  el  cliente  que  está  realizando  la  compra  es  el verdadero  titular  de  la  tarjeta, solicitando un número de PIN que solo él debe conocer. Aunque de momento no es obligatorio, lo será en el futuro. Al implementar el sistema 3DSecure en la pasarela de pago los negocios ya no son los responsables de las devoluciones a causa de las reclamaciones de fraude por parte de los propietarios de la tarjeta, ya que se transfiere la responsabilidad de las reclamaciones por fraude a la entidad emisora de la tarjeta.

7. No almacenes datos de tarjetas bancarias

Es una forma de proteger a nuestros clientes frente a posibles ataques de hackers. En el caso de que sea necesario guardar esos datos, conviene adoptar medidas adicionales de seguridad y tener en cuenta la normativa de protección de datos vigente.

8. Utilizar captcha

Utilizar sistemas de captcha en los formularios en los que los clientes tengan que introducir datos, con el fin de diferenciar personas de máquinas y que éstas no puedan crear contenidos o cuentas de usuario de manera automática.