Säkerhet i webshopen

[Parvelito]

Har funderat lite på vad man som webshopägare kan ställas till svars för, om ens shop hackas sönder och samman.

Jag har t.ex. en hyrlösning från Textalk, och utgår från att de har en hög säkerhet och kunnande att hålla sig ajour med säkerhetsbrister. Om något händer antar jag att det är deras ansvarsförsäkring som blir ansträngd, inte min. Tänker jag rätt då?

På samma sätt utgår jag från att DIBS och Babs som sköter mina kortbetalningar har ordning på sitt, och att jag inte kan ställas till svars för det. Jag har ju inte uppgifter om betalningar på mitt system.

Men, om man har en egenutvecklad shop, eller använder någon gratismotor i botten som man sedan bygger ihop med olika komponenter, hur fungerar det då?

Vad kan man egentligen ställas till svars för, och hur klarar man av att skydda sig på en rimlig nivå?

Förstår att det kan vara känsligt att prata om egna erfarenheter, men rent hypotetiskt och i allmänna ordalag kanske vi kan föra diskussionen.

[Magnus]

Om man vänder på frågan då?
Vilka e-handelslösningar anses vara bäst när det gäller säkerhet.

[GregerA]

Jag har funderat lite av o till ända sedan jag läste frågeställningen första gången.

Om man tänker i termer av betallösning så vet jag inte om det går att ställa till så mycket ifall shopen hackas. Visst, det går kanske att skicka in falska transaktioner på nåt sätt, men det går ju inte att styra vart pengarna skall ta vägen. De landar ju på ditt konto, så det torde vara ett ganska ointressant hack. Möjligen intressant för en ren vandal.

I övrigt när det gäller produktinformation så om den skulle skadas eller förvanskas så är det knappast någon annan som blir lidande, bara du själv.

Information ur kunddatabas, jo, någon kan stjäla e-mailadresser och telefonnummer till dina kunder och börja bearbeta dem för att sälja något annat.

Men jag har svårt att se att det skulle kunna ske någon skada som skulle kosta dig mycket pengar i skadestånd till tredje man. Den största skadan lär du själv lida i förlorad försäljning och badwill.

[Katrin Lundgren]

Hm, jag är inte säker på att jag förstår vad du menar med frågan, du får gärna utveckla lite. Menar du om du kan bli skadeståndsansvarig till andra om din butik hackas och exempelvis börjar spamma andra? eller menar du vilket ansvar leverantörerna har gentemot dig om butiken hackas?

[Parvelito]

Jag menar säkerheten ur flera olika perspektiv.

Till att börja med så är det ju inte helt ovanligt man har samma password till i stort sett alla sajter man behöver logga in på. Det strider så klart mot allt vad säkerhetstänkande heter, men en genomsnittlig Internetanvändare är reggad på över 100 olika sajter läste jag för en tid sedan, och att ha 100 unika password av tillräcklig styrka är det ingen som har. Svensk lag är säkert rätt så mjäkig vad gäller skadestånd, men om man bl.a. har amerikanska kunder i en internationell webshop, som får sina paypal-konton plundrade?

Mailadresser som stjäls är väl ingen större fara, det är mest en massa badwill. Och ingen svensk webshop lagrar mig veterligen några kontouppgifter hos sig, eller finns det enkla shopar där man lagrar sådant lokalt och knappar in det i sin kortmaskin i den fysiska butiken?

Men, om någon installerar en trojan i din webshop, som smittar kunderna och läser av deras kortnummer, CVC-koder, bankkoder etc. Vem är ansvarig? Vem kan ställas till ansvar juridiskt?

OM en webshop som är hostad någonstans, en hyrlösning, blir hackad så att någon exempelvis mekar till priset på onlinespelskoder till 1kr som sedan säljs i tusentals under en natt, automatiskt genererade från spelbolagets server som får OK från den hackade shopen (och debiterar ägaren till den 100kr), vem är ansvarig?

Det finns en rad andra olika scenarier som kan inträffa om någon begår brottet ”dataintrång”, frågan är om man alltid kan skylla på förövaren. SAP-net grejen i förra valrörelsen kom väl tyvärr aldrig till HD för ett prejudikat i hur svaga lösenord man kunde ha.

Inget ont om billiga webhotell och billiga webshopar, men när alla bara konkurrerar med pris blir jag lite rädd för att man missar sådana här saker. Och jag tror inte att ansvarsförsäkringen för små enskilda firmor som gjort något dussin shopar är särskilt hög, om det ens finns någon.

I takt med att internetaffärerna blir allt mer komplexa med fler och fler aktörer som är inblandade i en och samma transaktion så tycker jag det är mer och mer viktigt att man börjar definiera vad som är MITT ansvar, vad som är någon ANNANS ansvar och vad den yttersta konsekvensen kan bli om ansvaret inte har täckning.

Väldigt mycket av detta är inte prövat med prejudicerande verkan i svensk rätt. Men som jag tolkar det hela är en egenmeckad shop med en open source-lösning i botten något som ger mig som ägare till webshopen ett betydligt större ansvar än om man har en hyrlösning där man rimligen inte själv är ansvarig för att patchar körs och brandväggar hålls rätt konfigurerade.

Eller är det mest bara jag som ser spöken, händer det inte att webshopar hackas och det händer saker?

[GregerA]

Om någon lyckas läsa av kortinformation via din webshop så kan du kanske bli ansvarig. Men de lösningar man förordar idag med ett betalfönster hos PSP:n (hostad lösning) bör inte göra det möjligt eftersom den sidan inte finns på din server överhuvudtaget, och ingen sådan information passerar din server. Den transaktionen sker helt mellan kundens browser och din PSP.
Det enda som kanske skulle vara möjligt är att någon hackar sig in och byter ditt anrop mot en fejkad betalsida som ser likadan ut som PSP:ns och där lurar kunden att mata in uppgifter som de sedan lägger beslag på. Är det riktigt illa och de kommer över viss data och nyckeln som du använder för att kryptera kommunikationen mot din PSP så kan de kanske t.o.m generera ett korrekt svar till dig, så att du inte märker något förrän det kommer in ovanligt lite pengar på kontot.

Jag vet inte riktigt vad som skulle hända rent ansvarsmässigt i ett sådant fall.

Inlösenavtalen garanterar väl i princip bara att du hålls skadeslös om någon lyckats betala med ett falskt/stulet kort hos dig och 3D-secure är aktiverat.

Men jag har faktiskt funderat på att abonnera på t.ex Trustwave för att få gjort en regelbunden säkerhetsscanning av servern (som ligger på ett webhotell). Förmodligen finns det ett o annat hål i den just nu … 😮

Vi lever i en tid där den som vill sälja något tvingas ta allt ansvar. Undrar vad den kommer att kallas i historieböckerna. :rolleyes:

[gunnar-medial]

Jag har ett besläktat ärende som pågår;

Jag fick brev i dagarna från inlösande bank att de håller på utreda en transaktion, dvs en betalning av en order i min webshop.

Den som handlat har gjort totalt två beställningar inom en vecka, betalat med kort, totalt ordervärde strax över 20000:-
Pengar har inkommit (Auriga) via kortinlösen på mitt konto, jag har levererat via Posten och jag kan se att beställaren hämtat ut varorna vid båda tillfällena. Detta innan banken hörde av sig så jag hann inte stoppa det hela.

Jag kollade nu med banken; denna bedragare har handlat på tyskt stulet kort, uppgivit en äkta address men annat namn, lyckats legitimera sig på något sätt vid Postens utlämningsställe (matbutik i Eslöv..) och fått ut varorna.

Banken säger att jag som handlare är skyddad via 3DSecure-tjänsten, det är utländsk kortutgivare eller rättmätige kortinnehavaren som får ta smällen medan snubben i Eslöv blir något för lagens medarbetare att fånga in.
Något man kan göra som svensk e-handlare är att hos kortbetaltjänsten spärra användning av utländska kort om man inte handlar med utlandet.
Det tycks mest vara utländska kort som figurerar i bedrägerisammanhang.

Kul sätt att börja sin e-handlar-karriär….första kunden i shopen är en bedragare. Om jag sänker priset på prylarna i shopen så att även de som betalar ur egen ficka börjar handla så kanske andelen bedragare minskar.
Men då gör jag ju ännu mer förlust på det jag säljer än i dagsläget

Författare

Inlägg

[Författare]

Inlägg