Turvallinen ohjelmisto

EsittelyKäyttöohjeet › Turvallinen ohjelmisto

Turvallisuusilmapiirin kiristyminen maailmalla on vaikuttanut ohjelmiston tuotekehitykseen positiivisella tavalla. Ohjelmistoon toteutetut turvallisuusratkaisut ylittävät reippaasti nykyvaatimukset. Kerromme tällä sivulla ensin yleisistä turvallisuusriskeistä. Lopuksi paljastamme jotain itse ohjelmiston turvallisuudesta.

Muun muassa Deutsche Telekom näyttää kyberhyökkäykset kartalla.

Turvallisuusriskit

Suurimmat turvallisuusriskit ovat käyttäjälähtöisiä. Ohjelmiston käyttäjät, eli verkkokauppiaat ja heidän avustajansa, saattavat esimerkiksi säilyttää salasanaa Post-it -lapulla näyttöön liimattuna tai tallentaa sähköpostiviestejä yhdysvaltalaiselle pilvipalvelimelle. Salasanoina saatetaan käyttää heipparallaa-tyylisiä salasanoja. Verkkokaupan asiakkaat saattavat käyttää samaa salasanaa eri verkkopalveluissa tai ilmoittaa henkilötunnuksensa, vaikka sitä ei kysytä.

Riskien vähentäminen

Internetiin kytketyn tietojärjestelmän turvallisuusriskejä ei voida koskaan poistaa kokonaan, mutta hyväksyttävä riskitaso on mahdollista saavuttaa. Clover Shoppia käyttävän verkkokauppiaan ei tarvitse huolehtia ohjelmiston turvallisuudesta. Riittää, että hän käyttäytyy Internetissä järkevästi kaiken kiireen keskellä.

Salasanat

  • Käytä eri verkkopalveluissa vaikeasti arvattavia salasanoja, kuten esimerkiksi Fn34V###Xi7D
    - Salasanan pituudella ei ole niin suurta merkitystä kuin yleisesti luullaan
  • Käytä eri verkkopalveluissa eri salasanoja
  • Vaihda salasanasi edes kerran vuodessa
  • Vältä salasanan tallentamista minkään ohjelman muistiin
    - Selaimen muistiin voit sen tallentaa

Oma tietokone

  • Älä avaa sähköpostin liitetiedostoja, vaikka lähettäjänä olisi tuttu henkilö, ellet odota kyseistä liitettä
  • Päivitä käyttöjärjestelmä automaattisesti
  • Tarkista käyttöjärjestelmän tietosuoja-asetukset
  • Asenna tietoturvaohjelmisto (Bitdefender, Norton tms.)
  • Päivitä tietoturvaohjelmisto automaattisesti
  • Päivitä selain automaattisesti (Firefox, Chrome jne.)
  • Tarkista selaimen tietosuoja-asetukset
  • Päivitä selainlaajennukset ja lisäosat riittävän usein (Adobe, Flash, Java jne.)
  • Päivitä pdf-lukijasi automaattisesti (Adobe Acrobat)
  • Päivitä FTP-ohjelma riittävän usein (Filezilla jne.)

Ohjelmisto

  • Asenna ohjelmisto suomalaiseen www-hotelliin
  • Asenna ohjelmisto salattuun yhteyteen (https://)
    - Salattu yhteys salaa tietoliikenteen Internetissä, mutta ei tee mitään muuta
  • Päivitä ohjelmisto säännöllisesti

Riskien toteutuminen

Turvallisuusriskin toteutuminen edellyttää yleensä, että jokin kolmas toimija rikkoo lakia. Näitä henkilöitä kutsutaan krakkereiksi. Krakkerit asentavat botteja, eli viruksia ja vakoiluohjelmia käyttäjien tietokoneille. Nämä botit suorittavat murtoja itsenäisesti. Botit voivat asentaa myös uusia botteja. Usein näitä botteja onkin ketjutettu ja hajautettu eri tietojärjestelmiin halutun lopputuloksen aikaansaamiseksi.

Ohjelmiston turvallisuus

Tuotekehitystiimillämme on yli kymmenen vuoden kokemus turvallisten verkkopalvelujen suunnittelusta. Neljännen ohjelmistosukupolven Clover Shopin turvallisuus perustuu muun muassa asennusten hajauttamiseen, turvallisuuskerroksiin, salattuun lähdekoodiin ja salausalgoritmien tehosekoitukseen. Tarkat yksityiskohdat ovat salaisuuksia. Voimme kuitenkin paljastaa muutamia yleisesti tiedossa olevia seikkoja.

  • Ohjelmisto asennetaan verkkokauppiaan itse valitseman www-palveluntarjoajan kotisivutilaan.
  • Tiedot eivät vuoda verkkokauppapalvelun tarjoajalle, koska verkkokauppapalvelun tarjoajaa ei ole.
  • Tiedot eivät vuoda verkkokauppapalvelun tarjoajalta verottajalle vertailutietotarkastuksen yhteydessä, koska verkkokauppapalvelun tarjoajaa ei ole.
  • Palvelunestohyökkäyksiä ei voida keskittää kaikkiin verkkokauppoihin yhtä aikaa, koska asennukset on hajautettu eri www-palveluntarjoajien kotisivutiloihin.
  • Krakkeri ei voi lukea ohjelmiston lähdekoodia, koska lähdekoodi on salattu.
  • Krakkeri ei voi muuttaa ohjelmiston lähdekoodia, koska lähdekoodin salaaminen tarkoittaa myös itselukitusmekanismia.
  • Ohjelmisto ei käsittele korttitietoja ja on siksi vapautettu PCI DSS -standardin vaatimuksista.
  • Ohjelmisto ei käsittele pankkitunnuksia tai maksuja.
  • Verkkomaksaminen tapahtuu turvallisesti pankkien omilla sivuilla.
  • Jokaisen salasanan tiiviste lasketaan erilaisella kaavalla.
  • Ohjelmisto ei käsittele henkilötunnuksia.
  • Ohjelmisto voidaan asentaa salattuun (https://) yhteyteen.
  • Sähköpostiviestit voidaan lähettää omilla SMTP-tunnuksilla autentikoidusti ja salatusti.
  • Lomakkeissa on sekä esitarkistus (pattern) että vastaanottotarkistus (POST).
  • Hallintaliittymän käyttäjillä on rajoitetut toimialueet.
Scroll to Top