Turvallista verkkokauppaa jo kymmenen vuotta

CERT-FI:n tiedote joistakin verkkokauppaohjelmistoista löydetyistä haavoittuvuuksista on johtanut ylilyönteihin verkkokaupparatkaisuja tarjoavien yritysten markkinointiviestinnässä. Verkkokauppiaita on lähestytty aggressiivisilla massapostituksilla. Samalla on markkinoitu omaa verkkokaupparatkaisua turvallisena vaihtoehtona, vaikka useimmissa verkkokaupparatkaisuissa ei ole koskaan ollut kyseistä haavoittuvuutta.

"Hyvä kuulla, että tuo on otettu huomioon. En kyllä muistakaan, että olisimme törmänneet Clover Shopissa oleviin ongelmiin." -CERT-FI:n tietoturva-asiantuntija

Ensimmäiset Clover Shop -verkkokauppaohjelmistot julkaistiin vuonna 2001.

Tilaus ja maksu turvallisesti erillään

Clover Shopissa periaatteena on, että aivan aluksi tilaus vastaanotetaan. Kun asiakas painaa Lähetä tilaus -nappia, tilaus tallentuu tietokantaan ja asiakkaalle lähetetään sähköpostitse tieto tilauksen vastaanottamisesta. Tämä käytäntö johtuu mm. siitä, että kuluttajansuojalain mukaan tilaus astuu voimaan, kun asiakas lähettää tilauksen.

Tilauksen status on aluksi "avoin". Verkko- tai korttimaksulla maksettujen tilausten status vaihdetaan automaattisesti "maksetuksi", jos asiakas palaa verkkokauppaan maksun jälkeen. Paluutietojen tarkistamisessa noudatetaan maksuliikennepalvelujen tarjoajien laatimia teknisiä määrittelyjä.

Tunnettuja riskejä

Maksun paluutietojen tarkistamiseen liittyy kuitenkin tunnettuja riskejä. Riskit liittyvät mm. tietokoneiden laskentatehon kasvamiseen, mies välissä -hyökkäyksiin ja verkkokauppaohjelmistojen haavoittuvuuksiin. Siksi edes maksuliikennepalvelujen tarjoajat eivät takaa täyttä varmuutta (kts. esim. Nordean e-maksun palvelukuvaus, sivu 9). Suosittelemme vahvasti, että verkkokauppiaat todellakin käyttäisivät verkkokaupan hallintasivulla olevia maksutilakyselynappeja (verkkomaksut ja maksuportaalit) tai kauppiaille tarkoitettuja www-käyttöliittymiä (korttimaksut).

Copyright © 2001-2008 Apilaratas Oy, 2009- Clover Shop Oy | Tietosuojaseloste | Yhteystiedot