การจัดการความมั่นคงปลอดภัยของเว็บไซต์และเว็บแอพพลิเคชั่น

ปัจจุบันเว็บไซต์และการทำธุรกรรมอิเล็กทรอนิกส์ เป็นสื่อประชาสัมพันธ์และเป็นช่องทางการตลาดของหลายองค์กร ซึ่งจะทำอย่างไรให้ข้อมูลที่มีการส่งผ่านครือข่ายเหล่านั้นมีความมั่นคงปลอดภัยเมื่อมีการทำธุรกรรมอิเล็กทรอนิกส์และการชำระเงิน ดังนั้น การพัฒนาเพื่อช่วยให้ผู้ค้าทุกรายทั่วโลกมีมาตรการด้านความปลอดภัยของข้อมูลที่เป็นมาตรฐานเดียวกัน จึงมีข้อกำหนดของมาตรฐาน PCI DSS บางข้อที่เป็นการสร้างความปลอดภัยเบื้องต้นแก่เว็บไซต์ และเว็บให้บริการธุรกรรมอิเล็กทรอนิกส์ ในการจัดการเพื่อให้เกิดความมั่นคงปลอดภัยนั้นจะอยู่ในส่วนที่เป็น Server Side System ซึ่งเป็นความรับผิดชอบของผู้ค้า เจ้าของเว็บไซต์หรือผู้ดูแลระบบ และผู้พัฒนาเว็บไซต์ที่ควรพิจารณาและดำเนินการเพื่อเพิ่มความมั่นคงปลอดภัยแก่ระบบสารสนเทศ ดังนี้
– เปิด services และโปรโตคอล เฉพาะที่มีการใช้งานในเครื่องให้บริการ และอุปกรณ์เครือข่ายที่จำเป็นต้องใช้งานเท่านั้น เพื่อลดช่องทางการถูกโจมตี หรือเข้าถึงระบบโดยผู้ไม่ประสงค์ดี
– ปรับแต่งค่าคอนฟิกูเรชันของเครื่องให้บริการให้มีความมั่นคงปลอดภัยทั้งในระดับระบบปฏิบัติการ ระดับโปรแกรมประยุกต์ รวมทั้งอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ เพื่อลดการโจมตีระบบ
– ยกเลิกฟังก์ชันของระบบปฏิบัติการและโปรแกรมประยุกต์ ที่มีการติดตั้งบนเครื่องให้บริกา และอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ที่ไม่มีการใช้งาน เพื่อลดเครื่องมือที่อาจถูกใช้โจมตีระบบ
– เข้ารหัสข้อมูล และช่องทางการเชื่อมต่อสื่อสารเพื่อจัดการระบบของผู้ดูแลระบบเมื่อมีการเข้าถึงเครื่องให้บริการ หรืออุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ โดยเลือกใช้โปรโตคอลที่มีการเข้ารหัสเช่น SSH VPN หรือ SSL เป็นต้น
– ใช้วิธีการเข้ารหัสที่มีความแข็งแกร่งยากต่อการถอดรหัส และเลือกโปรโตคอลที่มีความมั่นคงปลอดภัย เช่น SSL SSH หรือ VPN เป็นต้น
– พัฒนาและดูแลรักษาระบบปฏิบัติการ โปรแกรมประยุกต์ และอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของการให้บริการเว็บไซต์ ให้มีความมั่นคงปลอดภัยอยู่เสมอ
– ห้ามเก็บข้อมูลที่ใช้ยืนยันตัวตนของลูกค้าภายหลังการพิสูจน์ตัวตนของระบบ เพื่อป้องกันการนำข้อมูลไปใช้สวมรอยทำธุรกรรมอิเล็กทรอนิกส์
ดังนั้น สิ่งที่ควรคำนึงถึงด้านการจัดการความมั่นคงปลอดภัยสารสนเทศ คือ พึงปฏิบัติตามคำแนะนำตามมาตรฐาน อื่น ๆอย่างครบถ้วน แต่สิ่งเหล่านี้ก็ไม่ได้หมายความว่าระบบสารสนเทศจะเกิดความปลอดภัยขึ้นที่สุด แต่จะสามารถช่วยลดโอกาสและความเสียหายที่อาจเกิดขึ้นกับระบบสารสนเทศได้เช่นกัน