ハッキング時代の信頼できるアプリケーションとデータセキュリティの検証

Oro、Incの創設者兼CEOであるYoavKutnerによる

信頼できるアプリケーションとデータのセキュリティを実現するには、B2Beコマースソリューションは、運用の潜在的に脆弱な領域を調査および特定する必要があります。

大規模なB2B企業と、数千人の従業員と数百万のWebサイト顧客を抱える複雑なマルチレベルの組織階層をサポートするためにゼロから構築されたB2Beコマースアプリケーションはほとんどありません。

複数レベルの強化されたセキュリティ対策を組み込み、アプリケーションとデータを確実に保護し、プライバシー規制へのコンプライアンスを維持します。

アプリケーションのセキュリティ機能

セキュリティハッキングの毎日のニュースで、B2B eコマースソリューションは、比類のない制御とユーザーによるカスタマイズ可能なアクセス、および複雑な階層のサポートを提供する必要があります。お客様は、最新の暗号化を利用して、ログインプロトコルをカスタマイズする必要があります。

アクセス制御

アクセス制御リスト（ACL）を使用して、さまざまなデータタイプへのアクセスを許可または拒否するルールを確立するには、機密データが含まれます。

アプリケーション内のすべてのユーザーには役割があり、すべての役割には、エンティティおよびシステム機能に対するアクションを実行または制限するように構成された一連の権限があります。

さまざまな組織が、データアクセスを制限し、個人ベースのレベルで権限を制御することを選択しています。

すべてのB2B企業は、最新の販売レポートを表示するだけの場合でも、顧客の注文を完全に変更する場合でも、支払いを承認する場合でも、ユーザーに許可されるアクションを制御する必要があります。

リードや機会を利用するために販売を制限することは、マーケティングリストやキャンペーンを管理するためのアクセス権を持つマーケティングとは異なります。管理者はすべてのシステムにグローバルにアクセスします。

開発者の支援を必要とせずに、UI（ユーザーインターフェイス）から直接データとレコードへのアクセスを完全に制御することが不可欠です。

階層化構成

B2Cの売り手とは異なり、B2Bの構造とプロセスは一般的に非常に複雑です。単一の企業が複数のサブ組織を通じて商品とサービスの両方を提供し、それぞれが異なる地域または国に専用のWebサイトを持っている場合があります。多くのアプリケーションは、B2B企業の複雑さを抑えるために構築されています。

B2Bソリューションは、企業のニーズに特に適合するように、アプリケーション構成UIから任意のアプリケーションをセットアップおよび構成する必要があります。グローバル、組織、Webサイト、およびユーザーレベルで構成を適用します。

グローバル設定を使用 アプリケーション全体に影響を与えます。

テーラー組織の設定 組織ごとにオプションを構成し、各Webサイトを構成する 企業の各レベルで必要な機能に準拠するため。

ユーザーレベル 構成により、従業員は特定のアプリケーション設定を個人の好みに適合させることができます。

さまざまな国に複数のWebサイトを持つグローバル企業は、各サイトに適切な通貨と言語を設定できます。さまざまなローカル倉庫を追加し、在庫オプションを管理し、表示される製品を制御し、各Webサイトでそれらをどのように配置するかさえも重要です。

多層構成により、B2Bビジネスは、実質的にあらゆるニーズに合わせてアプリケーションを適応させることができます。これにより、マルチレベルの階層、多数の組織、および複数のWebサイトを持つ複雑なB2B、B2C、およびB2B2Cビジネスでデータとアプリケーションを安全に保つために必要な柔軟性が提供されます。

アプリケーションを安全に保つ

暗号化

セキュリティ違反を防ぐために、B2Beコマースアプリケーションは元のデータを暗号化して安全に保つ必要があります。同社は、最新かつ最も堅牢な暗号化ソリューションをサポートするために、常に新しいテクノロジーをレビューしています。

• データベース列の暗号化により、データベースファイル全体を暗号化する代わりに、暗号化するデータを選択できます。
• ユーザーパスワードは、開いたり暗号化されたテキストではなく、元に戻せないハッシュとして保存されます。
• HTTPS強制リダイレクトにより、ブラウザとWebサーバー間のリンクのセキュリティが確保されます。
• オンライン支払いプロセスの安全なアーキテクチャと、支払いゲートウェイとのすぐに使える統合により、トランザクションが安全に保たれます

パスワードとセッションの保護

B2B eコマース製品は、安全でないパスワードを防ぎ、ユーザーが強力なクレデンシャルを作成するように動機付けるために、ベストパスワードプラクティスを組み込む必要があります。管理者は、アプリケーションユーザーのパスワードとログインの制限を次のようにカスタマイズできます。

• 必要なパスワードの長さと複雑さを構成します
• パスワード変更ポリシーとパスワード履歴を適用する
• ログインの試行回数を制限する
• ブルートフォース攻撃を防ぐために、ログインに数回失敗した後にアカウントをロックします。

アプリケーションのセキュリティを強化するために多要素認証をサポートすると、追加の認証要素が作成されます。

企業は、使用しているエンタープライズソフトウェアが安全であることを確認する必要があります

アプリケーションのセキュリティプロセスには、PCIDSSおよびSOC2への準拠が含まれている必要があります。これらの2つのバッジは、クレジットカード情報や機密データを扱うソフトウェアに必須です。

これらは、アプリケーションが安全であると主張するだけでなく、公平なサードパーティと最高のセキュリティ基準を維持する能力によって徹底的に監査されたことを保証します。基準が維持されていることを確認するために、定期的に監査人にコンプライアンスを確認する必要があります。

データセキュリティは、eコマース企業にとって非常に重要です。 B2B eコマースアプリケーションは、顧客の個人データやクレジットカード番号を頻繁に保存し、オンライン支払いをサポートします。

潜在的なセキュリティの脅威を防ぐために最新のセキュリティプロセスを順守し、セキュリティを絶えず改良および改善して、顧客データを保護するためのセーフガード、手順、およびポリシーの最先端を維持します。

著者について：Yoav Kutnerは、Oro、Inc.の創設者兼CEOです。Oroを設立し、OroCommerce、OroCRM、およびOroPlatform製品を構築する前は、MagentoのCTO兼共同創設者でした。開始からeBay、Incによる買収後まで、すべてのMagento製品の製品および技術開発。彼はビジネスアプリケーション市場で先見の明のある製品であることが証明されています。彼はUCLAからコンピュータサイエンスの学士号を取得しました。