黑客时代的可信应用程序和数据安全验证

作者：Oro, Inc 创始人兼首席执行官 Yoav Kutner

为了实现受信任的应用程序和数据安全，B2B 电子商务解决方案必须检查和识别运营中可能存在漏洞的区域。

很少有 B2B 电子商务应用程序是从头开始构建的，以支持具有数千名员工和数百万网站客户的大型 B2B 企业和复杂、多层次的组织层次结构。

结合多个级别的增强安全措施，确保应用程序和数据受到保护，并遵守隐私法规。

应用程序安全功能

随着安全黑客的每日新闻，B2B 电子商务解决方案必须提供无与伦比的控制和用户可定制的访问，并支持复杂的层次结构。客户必须利用最新的加密技术并自定义登录协议。

访问控制

使用访问控制列表 (ACL) 建立允许或拒绝访问不同数据类型的规则，包括敏感数据。

应用程序中的每个用户都有一个角色，每个角色都有一组权限，配置为执行或限制对实体和系统功能的操作。

不同的组织选择在个人层面上限制数据访问和控制权限。

所有 B2B 公司都必须控制允许用户执行的操作，无论是查看最新的销售报告，还是完全修改客户的订单或授权付款。

限制销售以使用潜在客户和机会与有权管理营销列表和活动的营销不同；管理员可以全局访问所有系统。

保持对直接从 UI（用户界面）访问数据和记录的完全控制，无需开发人员协助。

分层配置

与 B2C 卖家不同，B2B 结构和流程通常非常复杂。一个企业可以通过多个子组织提供商品和服务，每个子组织都有针对不同地区或国家的专用网站。许多应用程序都是为了应对 B2B 企业的复杂性而构建的。

B2B 解决方案希望从应用程序配置 UI 设置和配置任何应用程序，以特别符合公司需求。在全局、组织、网站和用户级别应用配置。

使用全局设置 影响整个应用程序。

裁缝组织设置 专门为每个组织配置选项并配置每个网站 以符合企业各个级别所需的功能。

用户级别 配置使员工能够根据个人喜好调整某些应用程序设置。

在各个国家拥有多个网站的全球企业可以为每个网站设置适当的货币和语言。能够添加不同的本地仓库、管理库存选项、控制显示的产品甚至是它们在每个网站上的排列方式都至关重要。

多层配置允许 B2B 企业调整应用程序以适应几乎任何需求。这提供了必要的灵活性，可在具有多级层次结构、众多组织和多个网站的复杂 B2B、B2C 和 B2B2C 业务中保持数据和应用程序的安全。

确保应用程序安全

加密

为防止安全漏洞，B2B 电子商务应用程序必须加密原始数据以确保其安全。该公司不断审查新技术以支持最新、最强大的加密解决方案。

• 数据库列加密允许我们选择要加密的数据片段，而不是加密整个数据库文件。
• 用户密码存储为不可逆的哈希值，不是开放的或加密的文本。
• HTTPS 强制重定向确保浏览器与网络服务器之间的链接安全。
• 在线支付流程的安全架构以及与支付网关的开箱即用集成确保交易安全

密码和会话保护

B2B 电子商务产品必须采用最佳密码实践，以帮助防止不安全的密码并激励用户创建强凭据。管理员可以为应用用户自定义密码和登录限制：

• 配置所需的密码长度和复杂性
• 执行密码更改政策和密码历史记录
• 限制登录尝试次数
• 在多次登录失败后锁定帐户以防止暴力攻击。

支持多因素身份验证以加强应用程序安全性创建了一个额外的身份验证因素。

企业必须验证他们使用的企业软件是安全的

应用程序安全流程必须包括 PCI DSS 和 SOC2 合规性。这两个徽章是任何处理信用卡信息和敏感数据的软件的必备品。

它们保证了应用程序不仅声称是安全的，而且还得到了公正的第三方的彻底审核，并且他们有能力保持最高的安全标准。必须定期向审核员确认合规性，以确保维持标准。

数据安全对任何电子商务公司都至关重要。 B2B 电子商务应用程序经常存储客户个人数据、信用卡号，并支持在线支付。

坚持最新的安全流程以防止潜在的安全威胁，并不断完善和提高安全性，以保持在保护客户数据的保障措施、程序和政策的最前沿。

关于作者：Yoav Kutner 是 Oro, Inc. 的创始人兼首席执行官。在创立 Oro 并构建 OroCommerce、OroCRM 和 OroPlatform 产品之前，他是 Magento 的首席技术官和联合创始人，并领导了该公司从开始到被 eBay, Inc. 收购后，他为所有 Magento 产品进行产品和技术开发。他是商业应用市场中久经考验的产品远见者。他获得了 UCLA 的计算机科学学士学位。