blog iPresso Marketing Automation

Bezpieczeństwo systemu do automatyzacji marketingu cz. 2.

Najważniejsze zagadnienia

Warto zwracać uwagę na to, czy aplikacja umożliwiająca płatności online, weryfikuje adresy billingowe. Innymi słowy, czy podaje kody bezpieczeństwa karty kredytowej lub debetowej (tak zwane Card Verification Value lub Card Verification Code – CVV / CVC).

Istotną rzeczą, jeśli chodzi o aplikacje webowe, jest też zwracanie uwagi na tak zwane nagłówki bezpieczeństwa: Cross Origin Resource Sharing (CORS) i Content Security Policy (CSP). Pozwalają one określić ścisłą politykę zachowania aplikacji względem źródeł i zasobów, które mogą trafiać do aplikacji i być przez nią wykorzystywane w kontekście dostarczanych funkcjonalności. Niewłaściwa implementacja takich nagłówków też jest poważnym uchybieniem.

Brak właściwej implementacji powyższych mechanizmów powinien stawiać pod znakiem zapytania wykorzystanie rozpatrywanego rozwiązania marketing automation. Wszystkie odstępstwa od prawidłowej implementacji powyższych przykładów powinny być poddane dyskusji.  Brak wdrożenia pewnych mechanizmów jest nieunikniony z powodu balansu między funkcjonalnością a bezpieczeństwem, ale niektóre z nich są absolutnie niezbędne.

Kolejną istotną kwestią jest zgodność z przepisami RODO, znanymi międzynarodowo jako GDPR. Koniecznie trzeba zweryfikować, czy aplikacja jest zgodna z wymaganiami RODO, czy klienci docelowi (uczestnicy promocji, itp.) mają dostęp do swoich danych, mogą je edytować, itd. Tego rodzaju zmiany powinny być rzecz jasna podstawą.

Więcej o RODO na naszym blogu:

Warto też sprawdzić, czy firmy dostarczające systemy marketing automation posiadają system zarządzania bezpieczeństwem informacji. Nie ręczymy za inne, ale iPresso posiada taki system, ponieważ kwestie szeroko pojętych norm ISO są dla nas bardzo ważne. Na system zarządzania bezpieczeństwem informacji składają się odpowiednie procedury i polityka bezpieczeństwa. Kluczowe z punktu widzenia naszych partnerów jest to, jak przetwarzamy dostarczane nam informacje, jak zapewniamy bezpieczeństwo, jak przygotowana jest dokumentacja produktowa. Całość procesu przetwarzania informacji na każdym z procesów tworzenia i dostarczania oprogramowania jest zgodna z procedurami i politykami systemu zarządzania bezpieczeństwem informacji. Jednym z etapów weryfikacji dostawcy rozwiązania marketing automation powinno być zapytanie o kwestie polityki bezpieczeństwa.

Tak zorganizowane systemy bezpieczeństwa pomagają ustrukturyzować bezpieczeństwo aplikacji i kontrolować podejście do przetwarzania danych ze strony osób zatrudnionych w firmie. Chodzi zarówno o dostęp do poszczególnych systemów jak i elementarną świadomość tego kto i za co jest odpowiedzialny. To pomaga reagować i zapobiegać incydentom bezpieczeństwa informacji. Firmy, które nie posiadałyby systemu bezpieczeństwa miałyby duże problemy z jego zapewnieniem – wyłoby to raczej niewykonalne. Nawet w niewielkiej firmie znajduje się przynajmniej jeden serwer (a najczęściej jest ich kilka), przynajmniej kilka szafek z dokumentami. Bez odpowiednich procedur podejście do przetwarzania informacji w organizacjach byłoby luźniejsze, a to nie sprzyjałoby bezpieczeństwu.

Właśnie dlatego aplikacja iPresso posiada certyfikat zgodności z normą ISO 27001. To międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Norma reguluje standardy w obszarach polityki bezpieczeństwa, organizacji bezpieczeństwa informacji, zarządzania systemami i sieciami, kontroli dostępu, zarządzania ciągłością działania, zarządzania incydentami związanymi z bezpieczeństwem informacji i innych.

Tu dochodzimy do dokumentu Application Security Verification Standard (ASVS). To jeden z najpopularniejszych dokumentów standaryzujący najważniejsze rodzaje zagrożeń dla bezpieczeństwa informacji oraz aplikacji webowych, którego metodyki i wskazówki tworzenia, utrzymywania oraz testowania oprogramowania są bardzo dobrą wykładnią dla utrzymania bezpieczeństwa aplikacji na solidnym poziomie. Dokument opisuje trzy poziomy zabezpieczeń i w zależności od tego jak istotną z punktu widzenia społecznego lub gospodarczego jest dana firma lub instytucja, powinna dostosować poziom zabezpieczeń do poziomu istotności rozwiązania, jakie oferuje. Na pierwszym poziomie weryfikowane są kwestie podstawowe, takie jak na przykład certyfikaty SSL. W zależności od poziomu zabezpieczeń, klient weryfikuje tutaj – podstawowe kwestie jaki nagłówki bezpieczeństwa i odpowiednie poziomy szyfrowania komunikacji (poziom pierwszy/drugi) albo bardzo szczegółową listę zabezpieczeń obejmującą analizę kodu źródłowego (poziom trzeci). W zależności od tego czy aplikacja jest webowa czy mobilna, powinna spełniać szereg wymogów bezpieczeństwa. Dostawca oprogramowania, a potem klient korzysta z dokumentu ASVS by „odhaczyć” wszystkie zalecenia, które software powinien spełniać. ASVS jest powszechnie akceptowany w świecie dostawców oprogramowania, a jego wytyczne są jedną z podstaw do konstruowania prawidłowo zabezpieczonego software’u.

Kolejną kwestią, kluczową z punktu widzenia narzędzi do automatyzacji marketingu, jest szyfrowanie przesyłanych danych. Klienci takich aplikacji pracują przecież z danymi tysięcy, a nawet milionów klientów, więc mechanizmy zabezpieczające nie mogą być przestarzałe. Powinny być aktualne, zaimplementowane do aplikacji w odpowiedni sposób i korzystać z bezpiecznych metod szyfrowania. Producent oprogramowania powinien też do jego tworzenia stosować najnowsze wersje narzędzi. Oznacza to, że wszystkie elementy, od których zależy działanie aplikacji powinny być na bieżąco aktualizowane i być w najnowszych wersjach.

Wnioski

Program do automatyzacji marketingu musi być bezpieczny. Od tego zależy wizerunek agencji, stacji telewizyjnej, firmy produkcyjnej. Także ich relacje z klientami i partnerami biznesowymi. Tu nie można pozwolić sobie na brak jakości i dyscypliny w przestrzeganiu reguł bezpieczeństwa. Dlatego tak ważna jest świadomość developerów przy tworzeniu oprogramowania i współpraca z klientem na szkoleniach z używania aplikacji. Swoją rolę mają też do spełnienia zewnętrzne firmy audytorskie, swoją renomą potwierdzając skuteczność zastosowanych rozwiązań.

Dlatego decydując się na konkretną aplikację, zaufaj wiarygodnemu dostawcy i nie wahaj się pytać o konkrety.

Jarosław Ściślak

Dodaj komentarz