Немного о безопасности для интернет-магазинов

В чем же заключаются основные проблемы, связанные с безопасностью использования всех этих решений? По большому счету, их можно разделить на две группы: использование непроверенных решений и недостаточно надежное хранение информации о платежных реквизитах покупателя.

Поговорим сначала о первой группе проблем. Некоторая, небольшая их часть заключается в использовании сомнительных платежных шлюзов, предлагающих мизерную комиссию за прием платежей от конечного покупателя. Разница с раскрученными и известными шлюзами может оказаться потрясающей: вместо 6-7% предлагают брать 0,5‑1%. Продавец, рассчитывающий на большие обороты, понимает, что это может помочь ему сэкономить десятки тысяч рублей, и соглашается. 

К сожалению, очень редко такие сервисы могут предоставить надлежащее качество обслуживания и обеспечить требуемый уровень безопасности клиентских транзакций, в результате чего страдает клиент, а магазин приобретает плохую репутацию. Большинство таких платежных шлюзов, пытающихся выиграть за счет демпинговых цен, живут на рынке не более полугода. Соответственно, если интернет-магазин планирует просуществовать несколько дольше и вырасти до сколь-нибудь заметного размера, ему стоит присмотреться к уже хорошо зарекомендовавшим себя у других продавцов шлюзам.

Но гораздо больше проблем вызывает использование неизвестно кем и когда написанных модулей для популярных «движков» интернет-магазинов, позволяющих подключить различные платежные системы и шлюзы. Зачастую владельцы интернет-магазинов, будучи сами не слишком хорошо знакомыми с программированием, предпочитают просто скачать и установить расширения для популярных CMS, которые позволят принимать оплату через популярные же платежные системы.

В общем-то, это вполне нормальный подход, если отнестись к выбору расширений достаточно ответственно. Увы, так делают далеко не все. Поэтому на многих сайтах, торгующих товарами через Всемирную сеть, модули оплаты работают из рук вон плохо, не говоря уже о том, что не обеспечиваются элементарные требования безопасности: платежные данные сохраняются в Cookies браузера и на самом сайте без какого-либо шифрования, данные передаются по простому HTTP-протоколу (если позволяет сама платежная система) и т.д. Всё это приводит к утечками информации о платежных данных пользователя и к последующей краже денег с его счетов.

Каким может быть выход из этой ситуации? Очевидно, что платежный модуль – не то, на чем стоит экономить. Любой работающий более-менее стабильно интернет-магазин может себе позволить заплатить несколько тысяч рублей за модуль, созданный не безымянным студентом, а нормальной Web-студией, которая, ко всему  прочему, может помочь и с его установкой в CMS магазина. Это исключит или, во всяком случае, минимизирует риск утечки клиентских данных и, в конечном итоге, положительно скажется на продажах.