Pouze text - only text Econnect Zpravodajství Informační servis pro NNO
- Kalendář akcí | Práce v NNO | Katalog odkazů | Občan TOPlist
- -
Pouze text - only text
logo Econnectu Informační servis pro NNO
pro registrované uživatele pro novináře pouze text English
- Fundraising
[ nno.ecn.cz > fundraising > Bezpečnostní hlediska on-line plateb ]
-

 Novinky

 Fundraising novinky granty stipendia dárcovství případové studie literatura

 Právní servis

 Práce v NNO

 Vzdělávání NNO

Bezpečnostní hlediska on-line plateb

20. 1. 2005 - PRAHA [Econnect]

Placení on-line s sebou kromě nesporných výhod nese také některá rizika. Některá se z nich se dají přirovnat k rizikům, s nimiž se setkáváme při běžném platebním styku v reálném světě, jiná jsou specifická pro svět elektronické komunikace. Více o bezpečnostních hlediscích on-line plateb se dozvíte v tomto textu.

Být informován o rizicích spojených s on-line platbami je důležité jak pro koncového uživatele, kterému jde o jeho vlastní peníze, tak pro provozovatele a zřizovatele on-line platebního systému, jemuž by mělo záležet na jeho důvěryhodnosti a odolnosti proti zneužití. V případě, že platební systém provozujeme za účelem získání finančních prostředků ve formě darů či sponzorství, je třeba věnovat tomuto aspektu o to vyšší pozornost. Uživatel raději podstoupí jisté riziko při nákupu zboží on-line, než při poukazování peněz na dobročinné účely.

V této kapitole probereme obšírně základní rizika a způsoby, jak tato rizika zcela eliminovat či alespoň podstatně omezit. Porozumění podstatě je nejdůležitějším krokem na cestě za bezpečnými on-line platbami.

Uvažujme pro názornost nad následujícím příkladem:

  1. Uživatel pomocí vyhledávače nalezne odkaz na informace o projektu, který ho zaujal, na vašich webových stránkách.
  2. Na stránkách se rozhodne koupit ve vašem on-line obchodu reklamní předmět a tím podpořit váš projekt.
  3. Zadá své osobní údaje, e-mailovou adresu, adresu pro zaslání faktury/potvrzení o daru, vyplní je do webového formuláře a odešle.
  4. Z nabízených platebních metod vybere platbu kreditní kartou, vyplní její číslo a odešle opět pomocí on-line formuláře.
  5. Objednané zboží přijde po několika dnech dobírkou spolu s fakturou.
  6. Po několika dnech přijde uživateli bankovní výpis, kde je transakce zaznamenána.

Kde mohou nastat bezpečnostní problémy:

1 - 4) Zcela zásadním článkem v zabezpečení elektronické komunikace je ochrana proti virům a jiným škodlivým programům (malware, spyware). Jakýkoliv program, a to nejen virus, může obzvláště v prostředí starších MS Windows potenciálně představovat hrozbu úniku informací. Je tedy třeba dodržovat zásady popsané níže v této kapitole.

2) Jakým způsobem se však návštěvník přesvědčí, že tyto stránky jsou opravdu vaše, číslo konta je správné a nikoliv podvodné, že stránky které vidí, nejsou jen kopií navlas podobnou té vaší, vytvořenou za účelem vylákání peněz. Naštěstí existuje metoda, jak lze technicky zabezpečit autenticitu navštívených stránek – pomocí takzvaných bezpečnostních certifikátů.

3 - 4) V okamžiku, kdy uživatel stiskne tlačítko Odeslat pod příslušným formulářem, putují jím vyplněné údaje po internetové síti až k příslušnému cíli, v našem případě on-line platební bráně. Cestou data projdou mnoha kabely (či vzduchem), jejichž vlastníky jsou různé společnosti, instituce či jednotlivci, kteří vám je v rámci dohody zvané Internet dávají za větší či menší poplatek k dispozici. V drtivé většině má vlastník přenosové cesty přímý přístup ke všem datům, která přes něj takto protečou. Je tedy třeba nějakým způsobem zabezpečit, aby se takto odeslaná data nedala přečíst a zneužít. K tomuto účelu slouží technologie zabezpečených přenosů.

3 – 4) Při zasílání údajů pomocí formuláře je třeba si uvědomit, že sytém, na který se informace odesílají, s nimi bude nějakým způsobem nakládat. Vzhledem k tomu, že některé z odesílaných údajů mohou být osobního rázu, je nutné zajistit, aby s nimi bylo nakládáno v souladu s platnými pravidly na ochranu osobních údajů.

5-6) Teprve v tomto okamžiku může uživatel říci, zda naletěl podvodníkovi, nebo zda byla jeho transakce korektně provedena. V případě že má jakékoliv pochybnosti, může zahájit proces reklamace s vydavatelem jeho kreditní či debetní karty, obvykle svou bankou.

Jak vidíme, existuje několik různých fází, kde může dojít k problémům. Nahoře uvedený seznam se dá vyjádřit několika body, shrnujícími jejich příčiny:

  • Nedostatečné zabezpečení na straně uživatele.
  • Nedostatečné zabezpečení přenosu.
  • Nemožnost ověřit autenticitu.
  • Nedostatečné zabezpečení dat odeslaných na server.

Většinu z nich lze eliminovat dodržováním určitých doporučených pravidel a správným nastavením systému.

Zvýšení bezpečnosti na straně uživatele

V běžném životě se chráníme proti tomu, aby někdo cizí manipuloval našimi penězi různě. Ukládáme je do bank či prádelníků, ohlížíme se, zda za námi nikdo nestojí, když zadáváme PIN u bankomatu.

Při používání peněz ve virtuálním světě internetu je třeba zachovávat stejnou obezřetnost. Musíme si uvědomit, že pro jakýkoliv elektronický systém, říkejme mu třeba Robot, je těžké rozhodnout, zda je to opravdu paní X. Ypsilonová, kdo se právě rozhodl disponovat penězi paní X.Ypsilonové. Při vybírání peněz z Robota - bankomatu se tento rozhodne podle vloženého čísla PIN. Zda jej tam spolu s kartou vložila paní X. Ypsilonová nebo DR. Mráček odnaproti je mu zcela lhostejno. Proto se paní Ypsilonová vždy pečlivě rozhlédne kolem sebe, zda se někdo nesnaží okoukat její PIN. Ví totiž, že s PINem a její odcizenou kartou se za ni může kdokoliv vydávat, ne sice třeba u jejího kadeřníka, ale zcela jistě u kteréhokoliv bankomatu.

Otázkou tedy je, jak se ujistit, zda se nám někdo „nedívá přes rameno“ při používání počítače. Je to samozřejmě nesrovnatelně těžší, a řekněme si rovnou, že to zcela na 100 % zajistit nejde. O co jde?

Smůlou je, že počítače jsou velmi univerzální. Spustí se stejnou chutí jak program na hraní hudby či domina, počítání diferenciálních rovnic nebo předpověď budoucnosti, tak program na odeslání všech dokumentů které jste uložili na pevný disk v předchozích třech dnech na webovou stránku www.heleconapsal.com, či rovnou umožní někomu zvenčí odezírat všechny úhozy na vaši klávesnici. Většinou při tom ani nepípnou, zvláště v posledně jmenovaném případě. Jak se takové programy do počítače dostanou?

Před příchodem internetu a jiných sítí to měly mnohem těžší. Dnes se ovšem programy posílají emailem, stahují z webových stránek, sítí na výměnu hudby atd. Většina uživatelů počítačů (pomineme-li ty, kteří si myslí, že se jim to vůbec stát nemůže) slyšela o počítačových virech a jejich nebezpečích a snaží se proti nim nějak bránit, například instalací skvělého a pro domácí použití zdarma AVG české provenience. Jen malá část z nich si ale uvědomuje, že zde mluvíme i o programech, které dobrovolně stáhneme, nainstalujeme a spustíme a často i používáme. Například ten roztomilý lechtivý vtipný spořič obrazovky, nebo ten šikovný prográmek, co jsem jen jednou spustil, a od té doby má zkušební verze DreamWeaveru na jeden měsíc nekřičí, že už je to dva roky a já jsem stále nezaplatil.

Proti takovým programům je těžké se bránit. Věřme nebo ne, váš počítač se jen těžko rozhodne, zda chcete program, který něco čte a něco někam odesílá, opravdu používat nebo ne.

Je několik programů, které vám pomohou bránit se těmto rizikům. Předně jsou to firewally, ať už to jsou ty, které za vás spravuje správce vaší sítě, tak v poslední době osobní firewally typ ZoneAlarm. Sice obvykle nezabrání instalaci takových programů, ale většinou jim zamezí komunikaci s okolním světem a tím je v podstatě zneškodní. Usnadňují také jejich odhalení.

Dále existují programy, které se specializují na odhalování špionážního software (spyware) ve vašem systému, jako například AdAware od firmy LavaSoft.

V neposlední řadě je taktéž třeba dbát na pravidelné instalace opravných balíčků k vašemu software, nástroji jako Windows Update, pokud používáte Windows, či up2date nebo apt, pokud používáte Linux.

Ať již se je rozhodnete používat či nikoliv, zde je několik pravidel, která byste měli dodržovat:

  • Nespouštějte přílohy emailů, pokud jsou spustitelné.
  • Nestahujte a neinstalujte programy z neznámých zdrojů.
  • Nesnažte se obejít ochrany komerčních programů pomocí takzvaných cracků a hacků – raději se poohlédněte po freeware a Open Source alternativách a podporujte je.
  • Nestahujte kradený software a software umožňující přístup k jinak placenému obsahu, především erotickému. 99% programů zmíněných výše se nachází právě zde.
  • Používejte jiný než nejrozšířenější (MS Windows) operační systém, například Linux.

Tip:

Webové prohlížeče často kladou otázky typu ano/ne, na které je mnohdy poněkud složité zvolit z hlediska bezpečnosti správnou odpověď. V případě, že si nevíte rady, raději zavřete dialogové okno pomocí křížku nebo Alt F4. Mnohdy pak můžete dále pokračovat v prohlížení stránky. Pokud ne a nejste si odpovědí jistí, zvažte, zda není lepší se takovým stránkám úplně vyhnout.

Ačkoliv se předchozí řádky mohou zdát poněkud zastrašující, praxí dokázanou pravdou je, že při dodržování těchto pravidel snížíte pravděpodobnost zneužití vašich osobních údajů či údajů o čísle karty tímto způsobem na míru zcela srovnatelnou s mírou rizika spojeného s užíváním kreditních karet a jiných bezhotovostních způsobů plateb v běžném životě.

Mimochodem je v této souvislosti zajímavé zmínit, že platební metody, které kombinují zasílání údajů pomocí on-line formulářů s dalšími metodami ověřování totožnosti, jako například přístupový a certifikační kód zasílaný například systémem eBanky na mobilní telefony, jsou v tomto ohledu velmi bezpečné.

Tím jsme probrali první ze zmíněných problémů – nedostatečné zabezpečení na straně uživatele. Další dva – ochranu přenosu a autentikaci, vysvětlíme zároveň s popisem dvou již zmíněných technologií:

Zabezpečené přenosy

Pod tímto poměrně širokým názvem budeme v tuto chvíli rozumět přenos požadavku (vyplněného formuláře, okénka s číslem kreditní karty) z webového prohlížeče na vašem počítači na server (vzdálený počítač) provozovatele on-line obchodu, či jiné aplikace vyžadující zaslání osobních, či citlivých dat. Jak jsme zmínili již výše, vzhledem k tomu, že informace prochází předem ne vždy známou cestou přes technická zařízení různých provozovatelů, je třeba zajistit aby se nedostala do nepovolaných rukou.

To se dělá obvykle pomocí technologie zvané šifrované či chráněné http – https. Setkáte se i s honosným názvem Šifrovaná komunikace na protokolu SSL (Secure Socket Layer).

Co si pod tím představit? Data tekoucí kabelem normálně (http protokolem) v nezašifrované podobě, tedy zhruba takto:

………….CISLO ME KARTY JE: 287918273912873…………ADAM….

Budou při použití http protokolu vypadat například takto:

………….h;ŰŢB1ü8qqĎ5ŹCeş1754MóKÄܸµ#úbî’&ą3f`…………t[¨o»Fn"….

Podstatnější než estetický dojem z takto napsaného textu je ovšem matematická teorie, která se za tímto „rozsypaným čajem“ skrývá. Ta zaručuje, že ať se bude kdokoliv snažit šifru rozluštit, nepodaří se mu to v současné době dostupnými prostředky v rozumnou dobu (jde spíše o roky než vteřiny). O bezpečnosti těchto šifer se vedou učené debaty, my se spokojíme s faktem, že drtivá většina bank používá právě tento protokol pro zabezpečení svých klientských on-line aplikací (internet banking).

Nyní ovšem přichází to nejdůležitější – jak já jako uživatel poznám, zda komunikuji se serverem (stránkami) pomocí zabezpečeného přenosu?

Různé webové prohlížeče dávají tuto jistě potěšující okolnost najevo různě. Drtivá většina vám ukáže před internetovou adresou https:// a dále v některém z rohů ikonu zamčeného zámku, či klíče který je celý, ačkoliv běžně bývá zlomený. Některé prohlížeče vás také při vstupu do zóny zabezpečených přenosů a hlavě jejím opuštění pilně informují vyskakujícími okny.

Praktická rada zní:

Dbejte na to, aby jste při odesílání jakýchkoliv osobních údajů komunikovali se stránkami pomocí zabezpečeného protokolu https://.

Není sice až tak důležité, zda je protokolem https chráněna stránka s formulářem žádajícím ony údaje, ale spíše zda je jím chráněna stránka bezprostředně následující po stisknutí tlačítka Odeslat. Na tuto skutečnost se ovšem vztahuje přísloví o honění Bycha, proto si raději dejte pozor již při vyplňování formuláře.

Bezpečnostní certifikáty

Pomocí zabezpečených přenosů už dokážeme dostat citlivé údaje z našeho počítače na počítač vzdálený. Onen vzdálený počítač patří … komu vlastně?

No ten přece patři Oldovu strýčkovi. Má přece adresu https://www.olduvstrycek.cz/. Podobně jako adresa https://www.o1duvstrycek.cz/!!!

Záměna písmene „l“ za číslici „1“ je zcela triviální. V praxi existuje mnoho dalších způsobů, jak zmást uživatele. Nehledě na to, že Oldův strýček se ve skutečnosti jmenuje pan Novák a samozřejmě svůj web provozuje pod doménou www.novak.cz.

Otázka zní – jak si mohu být jist, že stránky, které se mi zobrazují v prohlížeči skutečně patří tomu, komu mám zájem své údaje poskytnout.

Na tuto otázku odpovídá bezpečnostní certifikát. Takový bezpečnostní certifikát je v podstatě kusem elektronického kódu, který potvrzuje, že stránka, s níž komunikujete pomocí https protokolu, je provozována panem Novákem, který bydlí v Praze, v České republice. Uživatel MS Internet Exploreru se od odborníků na didaktiku dozví následující:

„Certifikát vydaný certifikačním úřadem potvrzuje vaši totožnost a obsahuje informace nezbytné k ochraně dat nebo k vytvoření zabezpečených síťových připojení.“

Certifikát sice spíše potvrzuje totožnost pana Nováka než Vaši a Vaše data příliš neochrání – to udělá zabezpečený přenos pomocí https a také pan Novák se musí snažit (viz dále). Co vám ale certifikát říká je, že nějaká třetí strana ověřila nějakým způsobem totožnost pana Nováka (nahlédnutím do jeho občanského průkazu, rodného listu, u firem do obchodního rejstříku) a na tento úkon vydala certifikát, který následně umožňuje panu Novákovi provozovat web se zabezpečenými přenosy pomocí protokolu https. Dále certifikát potvrzuje, ačkoliv to výslovně neříká, že si tato třetí strana za tuto relativně triviální službu vyžádala od pana Nováka poměrně tučnou odměnu.

Touto třetí stranou je takzvaná certifikační autorita. V Čechách je zatím jedinou akreditovanou certifikační autoritou 1. CA, která ovšem v současné době nevydává serverové certifikáty. V praxi se nejspíše setkáte s certifikáty vydanými společnostmi Thawte nebo VeriSign (naříklad eBanka). Lépe řečeno se s nimi nesetkáte, protože běžné prohlížeče tyto certifikáty automaticky akceptují a rovnou naváží bezpečnou komunikaci.

Praktická rada:

Pokud se při vstupu do oblasti https:// objeví hlášení o nějakém problému s certifikátem, raději se stránce vyhněte či si ověřte její důvěryhosnost jiným způsobem (např. telefonicky).

Pokud se https:// spojení naváže automaticky, je velká jistota, že se stránkou je vše v pořádku. Ne, že by certifikát přímo dokazoval, že pan Novák je Oldův strýček. Co ale říká je to, že majitel tohoto doménového jména (www.novak.cz) nějakým způsobem prokázal svou totožnost nějaké zavedené certifikační autoritě, a v případě podezření z nekalé činnosti je dohledatelný, respektive že za touto webovou stránkou stojí nějaká existující fyzická či právnická osoba. To samo o sobě stačí k tomu, aby byl certifikovaný zabezpečený přenos považován za bezpečný, o čemž svědčí jeho hojné používání v téměř všech on-line obchodech.

A co když…

A co když jsem dodržel všechna doporučení, a přesto jsem zboží nedostal? Co když někdo přece jen odcizil číslo mé karty? Co když mi najednou začnou z karty záhadně mizet peníze?

Toto se všechno může stát. A také se to stává. Nesouvisí to ovšem ani tak s on-line platbami. K odcizení, dokonce naklonování karty může dojít při platbě v restauraci, placení v bankomatu atd. Platební karta je nástroj jednoduchý, efektivní, široce používaný a hlavně v západních zemích nesmírně oblíbený. Pro banky představuje používání platebních karet obrovský zdroj příjmů. Proto se banky, ačkoliv si to zrovna do výlohy nedávají, rozhodly nést hlavní část rizika. Vaším úkolem je pouze sledovat pohyby na vašem účtu, a v případě nesrovnalostí kontaktovat Vaší banku v určitém časovém limitu (cca 80 dní) a podat reklamaci. Je na bance, aby dokázala, že peníze které Vám strhla z účtu, strhla oprávněně a s vaším souhlasem. V drtivé většině případů financují náklady související se zneužitím platebního nástroje banky samy z poplatků které účtují za vedení karet a za provádění transakcí.

Shrnutí:

Při on-line placení z hlediska uživatele je důležité, aby:

  • váš počítač byl řádně zabezpečen proti virům pomocí antivirového programu, proti průnikům zvenčí pomocí firewallu a byly nainstalovány všechny opravy vydané od dodavatelem operačního systému
  • stránky s formulářem pro zadání citlivých údajů byly řádně chráněny protokolem https://
  • certifikát vydaný certifikační autoritou byl platný a prokazoval, že skutečně odesíláte vaše data správnému příjemci
  • vaše banka umožňovala internetové platby a reklamace související s on-line transakcemi
  • jistěte se, že provozovatel zachází s vašimi osobními údaji ve shodě s platnými pravidly pro ochranu osobních údajů

Zvýšení bezpečnosti na straně provozovatele systému

V předchozím textu jsme se dívali na bezpečnostní otázky on-line plateb z hlediska uživatele, přičemž jsme několikrát narazili na to, co by měl uživatel od systému požadovat. Vžijme se nyní do role provozovatele systému, který musí toto vše zajistit, především:

  • zabezpečení systému proti neoprávněným průnikům
  • získání a instalace platného bezpečnostního certifikátu
  • zřízení zóny se zabezpečenými přenosy
  • ochranu veškerých shromážděných dat v souladu s platnými právními úpravami

Hned v úvodu si řekněme, že všechny výše uvedené body jsou netriviální a k jejich zajištění je vhodné využít specializovaných služeb firem či organizací, které se touto problematikou (která řádově přesahuje rozsah tohoto textu) profesionálně zabývají. Nejobvyklejší cestou je oslovení poskytovatele vašeho webového prostoru (váš ISP – Internet Service Provider) a zjištění, jaké služby v této oblasti poskytuje. V dalším textu se proto zaměříme na primárně na tuto situaci, a vysvětlíme si, o co jde.

Zabezpečení systému proti neoprávněným průnikům

Vaše internetové (www) stránky jsou umístěny na počítači připojeném k internetu, který v optimálním případě běží nepřetržitě 24 hodin denně, 7 dní v týdnu. Takovému počítači se říká server. Uživatelé internetu k němu mohou přistupovat pomocí internetového prohlížeče a prohlížet si stránky na něm uložené. Vy jako vlastník stránek máte pravděpodobně poněkud vyšší pravomoci – po autorizaci heslem můžete stránky měnit, prohlížet sekce, které nejsou veřejně přístupné a podobně.

Server se v podstatě liší od obyčejného stolního počítače pouze v technických detailech. Pravidla pro jeho zabezpečení jsou tedy podobná jako pravidla pro stolní počítač. Musíme si ovšem uvědomit, že server je mnohem více „na očích“ a také výhody, které mohou útočníkovi plynout ze získání neoprávněného přístupu jsou obvykle mnohonásobně větší, než ze získání přístupu na váš domácí počítač.

Provozovatelem serveru je obvykle váš poskytovatel web hostingu – váš ISP. Ten v rámci poplatků, které vám za tuto službu účtuje, by měl zabezpečit server proti útokům zvenčí. Je třeba podotknout, že problematika zabezpečení webových serverů je poměrně obsáhlá, vyžaduje značné technické náklady a dá se dělat lépe či hůře resp. méně poctivě. Při výběru poskytovatele je dobré si ověřit, jaká bezpečnostní opatření implementuje. Vhodné je zeptat se především na:

  • prevence, detekci a zamezení neoprávněných průniků
  • pravidelné záplatování sytému
  • pravidelné zálohování dat a jejich případnou obnovu

Nejlevnější poskytovatelé budou často šetřit své náklady právě v této oblasti, proto je dobré zvážit míru rizika a investovat adekvátní prostředky na její snížení.

Vzhledem k tomu, že vám bude přidělen privilegovaný přístup ke stránkám pomocí hesla, je třeba mít také na paměti, že heslo musí být správně zvoleno. Je statisticky dokázáno, že velmi vysoké procento průniků je založeno na využití nesprávně zvoleného hesla či nesprávné manipulaci s ním. Zde je několik tipů pro správnou volbu hesla:

  • vymyslet takové heslo, které obsahuje malá i velká písmena, čísla nebo i zvláštní symboly a neobsahuje slovníkové výrazy (slova)
  • vymyslet heslo s použitím mnemotechnických pomůcek. Vymysleme si větu, která se nám bude dobře pamatovat, např: "Mám velkého bílého psa, který se jmenuje Adam". První písmena slov věty nám poslouží jako heslo - obdržíme "mvbpksja". Heslo bycom ještě mohli vylepšit tak, že malé písmeno "v" nahradíme velkým (protože pes je velký) a stejně tak malé "a" nahradíme velkým, protože jména píšeme s počátečním velkým písmenem. Nakonec tedy obdržíme řetězec "mVbpksjA".
Můžete se ovšem také rozhodnout provozovat svůj vlastní server. Starost o jeho správu a zabezpečení pak buď přenecháte specializované firmě, nebo se o něj budete starat v rámci svých vlastních technických kapacit. V případech, o nichž se mluví v tomto textu, však nebude tento model příliš častý, proto se jím dále nebudeme zabývat.

Získání a instalace platného bezpečnostního certifikátu

Jak jsme se již dozvěděli, bezpečnostní certifikát je vlastně takové potvrzení o tom, že za vašimi stránkami stojí nějaká existující fyzická nebo právnická osoba, tedy vy. Pro vydání certifikátu je tedy nutné, abyste vešli v kontakt s institucí, která certifikáty vydává, a prošli její ověřovací procedurou.

Často používané jsou certifikáty od firmy Thawte či VeriSign. Ani jedna bohužel nemá zastoupení v České republice. Získání certifikátu od Thawte je ovšem možné přes její nejbližší pobočku v Německu. Výhodami těchto certifikátu je to, že jsou automaticky rozpoznávány a akceptovány většinou internetových prohlížečů.

Pro získání certifikátu je nejprve třeba vygenerovat elektronickou žádost. To uděláte ve spolupráci s vaším poskytovatelem webhostingu, formát bude mimo jiné záviset na typu webserveru, který používáte.
Dále budte muset zaslat některé oficiální dokumenty, jako třeba potvrzení o zápisu do obchodního rejstříku a podobně, přesné informace získáte na stránkách zvolené certifikační autority.
Během několika dní Vám přijde certifikát, který pak nainstalujete na váš web server. Za certifikát na jeden rok vám bude bohužel například Thawte účtovat poměrně vysokou sumu 199 amerických dolarů.
Je také možné, že váš poskytovatel již nějaký certifikát má, a nabídne vám jej k použití. Protože jsou certifikáty vázány na doménové jméno, bude to v praxi znamenat, že uživatelé vašich stránek budou pro provedení přenosu citlivých dat přesměrováni na web provozovaný vaším poskytovatelem. Záleží na situaci, zda je toto pro vás (a hlavně pro vaše uživatele) vhodné, či ne.

Zřízení zóny se zabezpečenými přenosy

Po získání certifikátu je již zřízení https:// přenosů technickou záležitostí. Váš poskytovatel by měl být schopen toto provést během několika hodin, max. dní, po doručení platného certifikátu. Pokud server spravujete sami, existuje dostatek dokumentace, kterou lze použít.

Ochrana veškerých shromážděných dat v souladu s platnými právními úpravami

Dosud jsme se příliš nevěnovali otázce, co se stane s údaji po té, co dorazí, jakkoliv bezpečně, na server provozovatele. Zde záleží na aplikaci, která přijaté údaje zpracovává. Ta je může jednorázově použít k provedení či ověření nějaké transakce a zahodit, uložit do nějaké databáze pro pozdější zpracování a podobně. Pokud budete shromažďovat a zpracovávat osobní údaje, je třeba se seznámit s platnými pravidly. V Čechách je to především zákon o ochraně osobních údajů (č. 101/2000 Sb.), který vám zároveň může ukládat povinnost zaregistrovat se u Úřadu pro ochranu osobních údajů. Bližší informace lze získat na http://www.uoou.cz. Vaše uživatele bude také zajímat, co s poskytnutými údaji, například čísly kreditních karet či čísly účtů děláte. Proto, ať už je zákon jakýkoliv, je nutné dodržovat následující pravidla:

  • Proveďte pečlivou analýzu toho, jaké údaje potřebujete mít v jakém okamžiku k dispozici a k jakým účelům.
  • Neukládejte žádná data, která nezbytně nepotřebujete.
  • Vytvořte si a zveřejněte svou strategii na ochranu jakýchkoliv zaslaných údajů viditelně na vašich stránkách.
  • Tuto strategii dodržujte a neměňte, pokud to není nezbytně nutné.
  • Pro zabezpečení shromážděných údajů použijte techniky obecně používané k ochraně dat v elektronickém formátu.

Shrnutí:

Jak je vidět z předchozího textu, správné zabezpečení on-line plateb je nejen velmi důležité, ale také poměrně náročné. Investice se vyplatí pouze, pokud jsou očekávané příjmy z on-line plateb dostatečně velké. Pro příjmy malých částek je proto vhodné využít alternativních platebních metod, či se spojit s někým, kdo již on-line platební sytém provozuje.


Marek Tichý a Lucie Slauková

- 23. 3. 2007 -

ODPOVĚDĚT



Projekt podpořil

EUNROS
Projekt Informační servis pro NNO byl podpořen programem Evropské unie Phare – Rozvoj občanské společnosti

Služby Econnectu

ToolkitUnavuje vás tvorba www stránek v HTML?
Nemá váš webmaster čas na jejich aktualizaci?
S publikačním systémem TOOLKIT to zvládnete SNADNO, RYCHLE A SAMI:
VYZKOUŠEJTE ZDARMA!
vytisknoutvytisknout
Logo Econnectu Easy CONNECTion - snadné spojení mezi lidmi, kteří mění svět
Webhosting, webdesign a publikační systém Toolkit - Econnect
Econnect,o.s.; Českomalínská 23; 160 00 Praha 6; tel: 224 311 780; econnect@ecn.cz