Tulostusversio

4/2011

Palveluntarjoajan vastuu: Verkkokauppias, tarkista nämä!

Teksti: Marjo Rautvuori

Vinkeiksi verkkokaupan tekniseen toteutukseen ja sen tietoturvaan KPMG:n tietoturvallisuuspalveluista vastaava Mika Laaksonen antaa seuraavat asiat:

Huomioi yleisimmät haavoittuvuudet

OWASP on tietoturvaa edistävä nettiyhteisö, joka on nimennyt verkkopalvelujen kymmenen yleisintä haavoittuvuutta (OWASP Top 10). Varmista, että sivuston toteutuksessa ja testauksessa on huomioitu nämä haavoittuvuudet.

Salaa liikenne

Koko sivuston käyttö tulisi salata, eli https-salauksen pitäisi olla pakotettuna alusta asti eikä vain kirjautumis- ja maksamisvaiheissa. On myös oltava tarkkana, jos palvelussa käytetään ulkopuolelta linkattua materiaalia, kuten kuvia. Pystytäänkö ne tarjoamaan https:n yli vai pitäisikö ne siirtää omalle palvelimelle?

Rekisteröintitietojen välittäminen sähköpostilla

Sähköpostikuittauksessa ei koskaan saa näkyä käyttäjän syöttämää salasanaa eikä muitakaan henkilötiedoiksi luokiteltavia tietoja.

Linkki verkkomaksupalveluun

Usein kauppiaat käyttävät ulkopuolisia maksupalveluita. Tällöin on huolehdittava siitä, ettei maksukuittausta pysty väärentämään. Maksupalvelun ja kauppiaan palvelun välille tarvitaan erillinen tarkistusyhteys. Kuittaus ei saa perustua puhtaasti ostajan selaimen välittämään tietoon.

Salasanan palautustoiminto

Pitääkö käyttäjän tietää muuta kuin sähköpostiosoitteensa? Sopiva menetelmä on aina kompromissi käytettävyyden ja tietoturvan välillä. Joidenkin sivustojen vaatimat turvakysymykset vaikuttavat turhilta. Toimiva palautusmenetelmä on itse asiassa varsin yksinkertainen: Lähetetään salasana ennalta määrättyyn sähköpostiosoitteeseen ja pyydetään käyttäjää vaihtamaan se seuraavan kirjautumisen yhteydessä.

---

Kansallisen tietoturvaviranomaisen CERT-FI:n ohje: Verkkopalvelun ohjelmistoalustan valinta ja palvelun turvallinen ylläpito >>

Lue myös

Palveluntarjoajan vastuu: Uusyrittäjää ei neuvota tietosuojasta »
Palveluntarjoajan vastuu: Yritykset luottavat tietoturvaansa »
Palveluntarjoajan vastuu: Yrittäjän linkkivinkit »
Palveluntarjoajan vastuu: Rekisteritietojen tarkastus etanapostin varassa »
Palveluntarjoajan vastuu: Rekisterinpitäjän muistilista »
Palveluntarjoajan vastuu: Verkkokauppias vastaa tietoturvasta »
Palveluntarjoajan vastuu: Finnair vannoo PCI:n nimiin »
Palveluntarjoajan vastuu: Raportointi auttaa noudattamaan lakia »
Palveluntarjoajan vastuu: Lainsäädäntö ohjaa toimimaan tietoturvallisesti »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.