web-dev-qa-db-ja.com

ウェブサイトのセキュリティ検証とは何ですか?

私は電子商取引のウェブサイトを持っていて、最近サイバー犯罪について話しているウェブページに出くわしました。これはウェブサイトのセキュリティ検証が何を意味するのか疑問に思いました。

  • ウェブサイトのセキュリティ検証の意味を知っている人はいますか?
  • このような詐欺事件を防ぐために、どのように私のウェブサイトを検証できますか?
securityecommercecreditcardfraud-detection
5
voidstar

セキュリティ認証は通常、侵入テストの結果に基づいており、倫理的ハッカーがセキュリティ制御を通過することがどれほど困難かを示します。このテストが経験豊富な専門家によって行われる場合、これは非常に便利です。

しかしながら

  • セキュリティテストは、ある時点で行われます。攻撃の翌日に新しい0デイエクスプロイトがリリースされる可能性があり、サイトが脆弱な場合、セキュリティ認証は事実上役に立ちません。

  • クレジットカードデータを処理する組織の場合、PCI-DSSは、データを適切に保護することを証明することになっていますが、不適切な点はメディアによって実証されていますPCIに準拠した組織に対する有名な攻撃(例:Worldpay 2009年)-それにもかかわらず、PCIには多くの優れたアクティビティが記載されています。 。

そのため、サイトについて心配している場合、セキュリティの一般的な推奨事項は次のとおりです。

  • 資産のリスク評価
  • プラットフォームとコードにパッチを適用!!!
  • 安全なコーディングで開発者を訓練する-認証することは有用です(このSANSイニシアチブを参照してください
  • OWASP top ten を見て、最も一般的な攻撃とその対処方法を確認してください。
  • 使用しているプラ​​ットフォームを理解し、それらのプラットフォームのセキュリティ勧告を監視します
  • 定期的な侵入テスト-毎年、すべてのメジャーアップデート、リスクプロファイルまたは脅威の状況の変更
  • 多層防御アプローチ。特定のセキュリティ層に障害が発生した場合、侵害される前にそれを発見できます。
4
Rory Alsop