你辛辛苦苦把网店做起来了,每天也出几十单。结果半夜接到短信,说你的网站被黑了,客户的姓名、电话、地址全被拖走。第二天,几个客户找上门来,说收到了诈骗电话,对方连买的东西、花了多少钱都一清二楚。
这生意还怎么做?
很多人觉得,数据安全是大公司的事,自己一个小网店,谁稀罕来黑你。但现实是,黑客专挑小站点下手,因为你们的防护最弱,得手最容易。一旦出事,赔钱、赔信誉,搞不好店就关了。
今天不说那些虚的,就聊一个最核心的东西:支付数据安全。你只要在网上收钱,就绕不开这件事。
你的网店,到底谁在管钱?
先搞清楚一个关键问题:你的网站,是自己搭的服务器,还是用的现成的网店系统?
用现成的网店系统(比如有赞、微盟、Shopify 这类):你的生意,你的钱,是走他们的支付通道。客户的卡号、密码这些敏感信息,你根本接触不到。这种情况下,最重的安全担子已经由平台方扛了。你主要操心的是你自己的账号别被盗,后台别让人登进去乱改价。
自己搭网站、自己管服务器(比如用开源程序建站):你就要自己面对支付安全这道坎。因为你经手了客户的支付信息,你就要对这套流程负责。
先别慌,看你属于哪一级
自己管服务器的老板,别一上来就想着搞什么顶级防火墙。先看你的交易量,不同规模,要求天差地别。
一般来说,按过去一年的交易笔数,分成四个档次:
- 级别最低的:一年线上刷卡交易不到两万笔。大部分中小老板都在这档。这档要求最基础,主要是填个自我评估问卷,证明你做了该做的事。
- 再往上:两万到一百万笔。除了填问卷,可能还要找第三方机构做个漏洞扫描。
- 百万笔以上的:要求就严了,需要专业机构来审计。
- 最高级别:年交易量超六百万笔的,那是大厂的玩法,各项审查最严。
关键点:别觉得自己生意小、交易少,就不用管。恰恰相反,小老板最容易栽跟头。因为你觉得“没人会盯上我”,结果黑客就专找这种心理的。
三件事,保住你的店
不管你是哪一级,核心就三步。这不是一次性活,你得持续干。
第一步:盘家底。 把你网站上所有跟钱有关的数据、流程、服务器、软件,全部捋一遍。问自己几个问题:客户的支付信息存在哪个文件夹里?走哪条路传输?谁有权限看到?哪个环节最容易被攻破?
第二步:堵漏洞。 能不留客户数据,就绝对不留。这是最狠的一招。最好的安全,就是你不存那些东西。让支付平台去存,让银行去管。你就做个“二传手”,把订单信息传过去,钱到账就行,客户的卡号密码你别碰。实在要留的,必须加密,而且只留必要信息,比如订单号、金额,把有效期、安全码这种敏感信息处理掉。
第三步:交作业。 根据你第一步盘出来的结果和第二步的整改情况,按要求填好问卷或者报告,交给你的收单银行或者合作的支付机构。证明你干了活,合规了。
别踩这个坑
很多老板觉得:“我一年才卖几十万,谁会来黑我?我不管了。”
这是最蠢的想法。
你看那些大商场被黑,新闻一报,大家知道了。你一个小店被黑,没人报道,但你的客户会知道。他们会去网上骂你,会在朋友圈说你家不安全。你靠一个个好评攒起来的口碑,一夜之间就没了。
而且,现在支付平台对不合规的商家处罚很严。轻的罚款,重的直接关掉你的收款通道。到时候你连钱都收不了,生意直接停摆。
最后说句实在话
现在的客户,越来越精了。很多人付款的时候,会看你的网站有没有那个“安全锁”标志,会不会跳转到正规的支付页面。如果你连最基础的支付安全都做不好,客户根本就不敢下单。
把这套东西搞明白,不是为了应付谁,是为了让你自己睡得着觉,让你的店能长久地开下去。别等出事了再后悔,那会儿什么都晚了。
微信扫码