Op woensdagavond 26 augustus 2015 stond het kantoor van True in het teken van Webshop Wednesday. Ongeveer twintig webwinkeliers luisterden naar de presentaties van Lisette Meij (ICTRecht), Remy de Boer (True) en Ray Bogman (SupportDesk).
De eerste spreker van de avond is Lisette Meij, werkzaam als juridisch adviseur bij ICTRecht. Samen met haar college Peter Kager is zij binnen ICTRecht verantwoordelijk voor alle privacy-gerelateerde zaken.
Lisette Meij: “Als je als webshop in meerdere Europese landen actief bent, merk je dat er momenteel overal andere regels gelden voor privacy en persoonsgegevens. De nieuwe Europese privacyverordening maakt daar een einde aan. Straks gelden in alle Europese lidstaten dezelfde regels op het gebied van privacy en persoonsgegevens.”
Lisette Meij verwacht dat in het najaar van 2015 de definitieve Europese tekst van de verordening klaar is. “Daarna geldt er nog twee jaar overgangsrecht. Webshops hebben dan nog twee jaar de tijd om hun webshop gereed te maken voor de nieuwe Europese wetgeving op het gebied van privacy en persoonsgegevens.”
Webshops verzamelen persoonsgegevens. Lisette Meij vertelt dat klanten expliciet toestemming moeten geven voor het verwerken van hun persoonsgegevens. “Consumenten moeten weten waarvoor ze toestemming geven. Webshops kunnen daarvoor checkboxen gebruiken. Er is dan sprake van een actieve handeling, omdat consumenten de boxen zelf moeten aanvinken.”
“In de praktijk komt het voor dat webshops hun klantgegevens doorspelen aan andere partijen. Klanten kunnen een verzoek indienen om hun persoonsgegevens te laten verwijderen. Als deze persoonsgegevens ook zijn doorgegeven aan derde partijen, dan moet een webshop ervoor zorgen dat ook daar aan dit verzoek wordt voldaan.”
Er komt een Europese toezichthouder, die erop gaat toezien of de regels worden nageleefd. Deze toezichthouder kan ook hoge boetes opleggen. “Vaak krijg je eerst een waarschuwing. Als je daarna de verbeteringen niet hebt doorgevoerd, volgt alsnog een boete. Ze mogen ook bij je langskomen om te controleren of je het wel goed doet.”
Webwinkeliers zijn straks verplicht om een register met betrekking tot persoonsgegevens bij te houden. Lisette Meij: “In dit register moet onder andere staan wie verantwoordelijk is, welke gegevens je verzamelt en hoe je dat doet. Op het moment dat de toezichthouder op de stoep staat, moet je dit register kunnen overhandigen.”
Check regelmatig de logs van jouw webshop
Remy de Boer, binnen True verantwoordelijk voor network en security, is deze avond de tweede spreker en geeft praktische tips aan ondernemers die hun webshop veiliger willen maken.
Remy de Boer: “Het is verstandig om wachtwoorden niet op losse plakbriefjes te schrijven. Gebruik ook verschillende wachtwoorden. Het is niet slim om dezelfde wachtwoorden voor meerdere applicaties te gebruiken. Bedenk ook lange wachtwoorden, omdat die lastiger te kraken zijn. Ik adviseer om een wachtwoord te gebruiken dat bestaat uit meerdere woorden die je gemakkelijk kunt onthouden.”
“Werk je met databases en heb je meerdere gebruikers, zorg er dan voor dat iedereen een eigen wachtwoord krijgt. Ook is het slim om de web- en databaseserver te scheiden. Het komt in de praktijk voor dat de databaseserver op de webserver staat. Als onbevoegden toegang krijgen tot de webserver, dan hebben ze gelijk toegang tot de database. Dat is iets wat je niet wil hebben. Scheid daarom de web- en databaseserver.
Remy de Boer hamert ook op het belang van beveiligde verbindingen. “Als je persoonsgegevens verzamelt, moet je ervoor zorgen dat de datatransmissie verloopt via beveiligde verbindingen. Zorg dat je als webshop ook in het bezit bent een SSL-certificaat.”
“Het is verstandig om regelmatig de logs van jouw webwinkel in de gaten te houden. Kijk bijvoorbeeld ook naar het aantal orders dat binnenkomt. Als er opeens verdacht veel bestellingen binnenkomen, kan het zijn dat met de verkoopprijs is gerommeld. Is jouw webshop gericht een Nederlands publiek en krijg je opeens veel bezoek uit bijvoorbeeld Polen, China of Rusland, dan is de kans redelijk groot dat er hackers toegang proberen te krijgen tot jouw webwinkel.”
Tot slot vertelt Remy de Boer dat het belangrijk is dat de software up-to-date blijft. “Zodra er een update van het CMS of een plugin beschikbaar is, adviseer ik deze onmiddellijk te installeren. Als je webshop draait op een verouderde versie van een CMS, dan is dat vragen om problemen.” Remy de Boer wijst erop dat True een securityscan op een webshop kan uitvoeren. Zo komen zwakke plekken aan het licht en kunnen op tijd verbeteringen worden doorgevoerd.
De Magento Dokter geeft beveiligingsadvies
De derde spreker van deze avond is Ray Bogman, die in het dagelijkse leven werkzaam is als CTO bij SupportDesk. Zijn bedrijf geeft support aan eigenaren van Magento- en grote Joomla-sites. Zijn bijnaam de Magento Dokter dankt hij aan het feit dat hij ooit op een Meet Magento event in een witte jas adviezen heeft gegeven voor dit opensource ecommerce systeem.
Ray Bogman: “Als het gaat om opensource ecommerce systemen dan heeft Magento wereldwijd een marktaandeel van 40 procent. Binnen Europa is Nederland de vierde grote speler in de markt van Magento.”
Als hij klanten ondersteunt met Magento, heeft hij vrijwel altijd toegang tot alle data. Hij noemt dat de God-mode. “In Magento zit een exportfunctie naar CSV of XML. Het is mogelijk om dan een complete dump te maken van de beschikbare klantgegevens. Dat zou in theorie niet mogen. Eigenlijk zou je een aparte login moeten hebben om deze export mogelijk te maken.”
SupportDesk krijgt regelmatig te maken met klanten wiens Magento-sites zijn gehackt. “In het geval van een hack willen klanten soms de backup terugzetten. Dat vind ik geen goed idee. Het is beter om de originele omgeving in quarantaine te zetten. Slimme hackers blijken daar vaak backdoors verstopt te hebben. Zet je de backup terug, dan is de kans groot dat later weer wordt gehackt vanwege de niet-ontdekte backdoor. Het resultaat is dat ze weer toegang hebben tot je data.”
Webshops die draaien op Magento maken ook gebruik van de diensten van derden, denk aan een webdeveloper of marketingbureau. Ray Bogman adviseert daarom webshops deze partijen aparte rollen met bijbehorende bevoegdheden te geven. “Zo voorkom je dat iedereen zomaar overal toegang tot heeft.”
Ray Bogman benadrukt dat Magento in de basis redelijk dom is. “Er is geen logging of tracing mogelijk binnen Magento. Met meerdere gebruikers is het zo onmogelijk te achterhalen wie wat gedaan heeft aan de achterkant van de site.” Hij adviseert gebruik te maken van de tool Admin Actions Log van Amasty. “Zo kun je altijd wie wat heeft gedaan in de code van de site. Dat is vooral slim als je werkt met meerdere partijen.”
Ook adviseert Ray Bogman two-factor authentication toe te passen. Dan is een wachtwoord alleen niet genoeg om op een applicatie in te loggen. Een extra controlelaag, bijvoorbeeld in de vorm van code die via de smartphone wordt verzonden, wordt dan toegepast om toegang te krijgen.
Tot slot drukt Ray Bogman de aanwezigen op het hart: “Clean your junk. Developers blijken vaak testbestanden aan te maken. Het gebeurt dat ze SQL-dumps op rootniveau neerzetten. Voor hackers is dat snoepgoed. In de root zijn vaak complete databases is te vinden. Dit getuigt van een slordige werkhouding.”
De slides van de presentatie van Ray Bogman zijn te bekijken op Prezi.