Eticaret geliştirirken kendinizi nasıl koruyorsunuz?

Aristona

Merhaba,

Şuana kadar riskli olduğu için hiç eticaret işlerine girmedim, ancak bazı müşterilerim sıklıkla istemeye başladı bu yüzden yavaştan başlamayı düşünüyorum. Ancak bir sıkıntı var.
PCI compliance adında eticaret için geliştirilmiş standartlar var, ancak ben yazılımcıların sorumluluklarını bilmek ve yasal yoldan kendimi koruma altına almayı istiyorum.

Örneğin, bir projeyi geliştirdik. Herşey düzgün yapıldı, ancak Laravel'in bir açığı çıktı ve bu yüzden hacklendik, ve bir müşteri bu yüzden zarar uğradı ve firmaya dava açtı.

Şimdi,

1. Firma bu durumdan beni sorumlu tutarsa, kendimi nasıl güvenceye alabilirim?
2. Firmaya/yasalara bu sorunun benden kaynaklanmadığını, yazılım geliştirirken bu tür problemlerin olacağını nasıl anlatabilirim?
3. Hack sebebini bulmak uygulamayı geliştiren kişinin sorumluluğunda mı?
4. Güvenlik taraması yapan firmalarının testlerinden geçmiş olmamız yasalar tarafından nasıl değerlendirilir?
5. Sözleşmelere "Yazılımcı sorunlardan sorumlu tutulamaz, ancak bir sorun bulunduğunda bu sorun geliştirdiği yazılımla ilgiliyse bu sorunu düzeltmeyi taahhüd eder." gibi bir madde eklenebilir mi? Bunun bir geçerliliği olur mu?
6. Yurtdışında eticaret geliştiren freelance geliştiriciler "Profesyonel Teminat Sigortası" adında bir sigorta ile kendilerini bu tür durumlar için sigortalıyorlarmış. Ülkemizde bu var mı? Varsa pahalı mı ve bizi her durumda koruyor mu? Siz yaptırıyor musunuz?

Özellikle eticaret sitesi olan/geliştiren arkadaşların yardımını bekliyorum. Birşey olacağını pek sanmıyorum ama biz yine de eşeğimizi sağlam kazığa bağlayalım.

Dipnot: Stripe kullanacağız.

Roni

Laravelin şimdiye dek tespit edilmiş bir açığı var mı? yok mu? bimiyorum ama bu soru öneml bir soru.
1. Laravel ile geliştirdiğiniz eticaret uygulamasında sizin tahmin edemeyeceğiniz bir açık çıktığında, uygulamayı kullanan firma veya kişi bunu size rapor etmek durumunda.
2. Projeyi teslim etmeden önce, her türlü ihtimale karşı test edilmesi gerekir.(Burada sorumluluk sizde)
3. Eticeret projelerinde müşteri mağduriyeti oluşmaz, çünkü tahsilat pos üzerinden yapılmakta. Tutulan kayıtlar iki tarflı olduğu için sıkıntı olmaz.(Kredi kartı bilgileri saklanmaz)
4. Sözleşmede sizinde belirleyeceğiniz maddeleri, projeyi alanlar dikkate almak zorunda ve sözleşme bir hukuksal gereksinimdir. Sorun olduğunda sözleşme dikkate alınır.
Dediğiniz gibi proje teslimatından sonra oluşabilecek durumlar için eşşeğin mutlaka sağlam kazığa bağlanması gerekir.

Diğer arkdaşlarında fikirleri önemli, bakalım onlar ne diyecek.

xsearch

@aristona PCI e-ticaret gereksinimidir. Özellikle kredi kartını kaydedecek yazılımlar için zorunludur. Ancak tam bir zaafiyet taraması içermez.

Eğer firma böyle bir güvence istiyorsa penatrasyon testine sokarsın olur biter. Tabi maliyette ona göre artar.

Bu senin sistemine sızma ile ilgili durum.

ek olarak sahte kredi kartı ile ilgili işlem durumu var ki 3D secure ile bunun önüne geçmek mümkün.
- 3d secure : Üçlü el sıkışma ile güveliğin sağlanması şekli. Müşteri , Müşteri Bankası ve Firma bankası arasındaki bir otorizasyon sürecini betimler. 3D secureden tam geçmiş bir kart için Firma ve firma bankası mesul değil diye hatırlıyorum en son.
- Bunun yanında ilk alışverişlerde ve/veya belli bir tutarı geçen alışverişlerde telefonla onay prosedürü işleten firmalarda var.

Bu "0" dan e-ticaret geliştirmekle ilgili durum. Tercih etmediğim bir yöntem. Türkiyede e-ticaret algısı ile mahalle bakkalının ticaret algısı eşit düzeyde. Fakat aradan 6 ay geçtikten sonra rakip firma , bu işi yapan(!) tanıdık vs. gibi etkenlerle e-ticaretin derinliklerine inme hevesi başlar ki bu da senaryoları itibari ile yorucu işler olabiliyor. Bir çok büyük firmanın hazır e-ticaret sistemleri ile yola koyulup başarılı olduğunu biliyorum. (www.annelutfen.com , teknobiyotik.com , http://www.incir.com/ )

Benim kullandığım e-ticaret sistemi www.magento.com uzun yıllardır takip ediyorum seveceğini düşünüyorum. hem community hem enterprise versiyonu gayet çalışmaya müsait.

Bunların yanında birde hesaplama hatalarından oluşacak sorunlar olabilir bu da önemli. Gerçek bir örnek : A firmasının müşterisi ürünü iade eder. Yalnız sepetteki 1 ürünü iade eder, sistem sepetin tamamını müşteriye iade eder. Bu zarardan doğan fark yazılım firmasına fatura edilir.

Hiç bir firma laravelin açığı böyle , olur böyle şeyler açıklamasını kabul etmez.
Fakat hepsininde çaresi var.
Senaryo testleri, Penatrasyon testleri vs. derken gider iş. Fakat bu bütçeye firma ne der bilemedim.

Aristona

Penetrasyon testleri 1 defa mı yapılıyor yoksa hergün mü yapılıyor? Hergün yapılmıyorsa pek bir anlamı yok.
Laravel'in açığı var açıklamasını kabul etmeyen insan Magento'nun açığı var açıklamasını da kabul etmez ki.

Bu arada, yapacağım iş için Magento uygun olmayabilir. Tam olarak bir eticaret sitesi değil çünkü, envato studio/freelancer.com tarzında bir site isteniyor. Müşteri ödemeyi siteye yapacak, müşteri satıcıdan hizmet alıcak, site kendine komisyon kesip ödemeyi satıcıya geçirecek. Magento'ya bunun için çok fazla düzenleme yapılması gerekebilir, ancak bu durumda uygulamanın Magento veya Laravel altyapısıyla geliştirilmesinin bir farkı yok sanki. Sonuçta sen Magento üzerine kendi uygulamanı geliştiriyorsun, Magento'nun garanti kapsamından çıkıyor olman lazım.

Açıkcası, ben yazdığım uygulamaya güveniyorum, ama ben Laravel'e, müşterimin sunucusuna, müşterime güvenemiyorum. Sonuçta ben onların maaşlı çalışanı değilim, istedikleri işi teslim ettiğimde benim sorumluluğumun bitmesi lazım. Şöyle olabilir, eğer birgün pen testlerini geçememeye başlarsa uygulamam, bunu müşteri bana bildirir ve ben gerekli hotfixleri geliştiririm.

Bir eticaret firmasına iş geliştirirken nasıl bir sözleşme düzenliyorsunuz? Bu tür durumları belirtiyor musunuz madde madde?

Bu arada, biz kredi kartı bilgilerini kaydetmeyeceğiz. Hatta kullanıcının kredi kartı çoğu zaman sunucumuza bile gelmeyecek (direkt Stripe'a yönlendirilecekler). Bizim tutacağımız tek bilgi transactions tablosu, kim ne kadar ödeme yapmış, vs. Bu durumda PCI'ın bize verdiği başka yükümlülükler var mı?

MURATSPLAT

@Aristona

Sorduğu soruların cevabını ben de merak ediyorum.
2 projem var. Müşterilerin e-ticaret isteği artmaya başladı son zamanlarda.
Takipteyim +1

xsearch

@aristona penatrasyon testleri hem sunucuyu hem yazılımı kontrol eder. Yazılım geliştirici olarak code review di sanırım başlığın adı + blackbox/whitebox attack senin için yeterli olacaktır.

bunun dışında PCI taraması yapan günlük /aylık / 4ay periyotlarında hacker xxx (guardian , guard , safe) gibi sistemler var.
Penatrasyon testlerinden geçtikten sonra yazılımdan yani senin kodlamandan oluşacak hatadan söz edilemez zaten.
Bunun yanında Laravelle ilgili oluşacak açıklarla ilgili de "Güncellemeleri takip etmeleri" ibaresini eklersin ve / veya yıllık bakım anlaşması imzalarsın.

Ben magento kurarken müşteri magento kurduğumu biliyor. Hatta genelde talep ediyorlar o yüzden bana "magentoda şu açık varmış senin suçun" diyemezler.
Benim önerim şu olur :
1) Yazılım test sürecinden çıktıktan sonra penetrasyon testi (Biraz pahallı bir testtir)
2) Kodun laravel çatırsı üzerine geliştirildiği ve çatının açıklarından doğacak zararlardan sorumlu tutulamayacağını.
3) Kodun senin tarafından yazılmış son halinin zaman damgası ile mühürlenip karşılıklı sabitlenmesi ki sonradan birisi bızdıklarsa sorumlu olma.
4) Sistemin yukarda bahsettiğim günlük tarama sistemlerinden biri ile taranması (bu hem sistemin güvenliği hemde müşteriler sadakati açısından güzel bir uygulama Comodo Türkiye ofisi var arayıp konuşabilirsin baya ilgililer)

Aristona

xsearch wrote:@aristona penatrasyon testleri hem sunucuyu hem yazılımı kontrol eder. Yazılım geliştirici olarak code review di sanırım başlığın adı + blackbox/whitebox attack senin için yeterli olacaktır.

bunun dışında PCI taraması yapan günlük /aylık / 4ay periyotlarında hacker xxx (guardian , guard , safe) gibi sistemler var.
Penatrasyon testlerinden geçtikten sonra yazılımdan yani senin kodlamandan oluşacak hatadan söz edilemez zaten.
Bunun yanında Laravelle ilgili oluşacak açıklarla ilgili de "Güncellemeleri takip etmeleri" ibaresini eklersin ve / veya yıllık bakım anlaşması imzalarsın.

Ben magento kurarken müşteri magento kurduğumu biliyor. Hatta genelde talep ediyorlar o yüzden bana "magentoda şu açık varmış senin suçun" diyemezler.
Benim önerim şu olur :
1) Yazılım test sürecinden çıktıktan sonra penetrasyon testi (Biraz pahallı bir testtir)
2) Kodun laravel çatırsı üzerine geliştirildiği ve çatının açıklarından doğacak zararlardan sorumlu tutulamayacağını.
3) Kodun senin tarafından yazılmış son halinin zaman damgası ile mühürlenip karşılıklı sabitlenmesi ki sonradan birisi bızdıklarsa sorumlu olma.
4) Sistemin yukarda bahsettiğim günlük tarama sistemlerinden biri ile taranması (bu hem sistemin güvenliği hemde müşteriler sadakati açısından güzel bir uygulama Comodo Türkiye ofisi var arayıp konuşabilirsin baya ilgililer)

Cevabın için teşekkürler.

1. Ne kadar pahalı?
2. Evet, bunları madde madde belirtmek gerekiyor sanırım.
3. Mantıklı, ama nasıl mühürleniyor bunu biraz açabilir misin?
4. Bir ara ararım. Ofisleri olduğunu bilmiyordum.

Bunun dışında professional indemnity insuranceyi inceledim, ülkemizde de var ama çok pahalı sanırım.

xsearch

1) 1 adam/saat 800 usd + kdv fiyat aldım comodo turkiyeden
2) kesin ve net bir şekilde belirtmek gerekiyor.
3) Zaman Damgası hizmeti veren firmalardan (Tubitak, Turktrust) edinebiliyorsun tek tek yada zip li bir dosyayı zaman damgası ile mühürleyip son hali budur + benim yazılımımım diye "Zaman damgası" ile mühürleyebiliyorsun. Fikir ve Sanat Eserleri Kanunu ile sabitlendi diye hatırlıyorum en son kanuni olarakta.
4) hem penatrasyon hemde günlük tarama için görüşebilirsin. Sunucu açıkları ile ilgili tarama gerçekleştiriyor bu günlük taramalar. Hatta birde güven logosu koyuyorlar (mesela bir açık var sistemde sunucu yada yazılım farketmez 72 saat içinde çözmezsen logoyu kaldırıyorlar) gibi

Laravel Türkiye Forumları, ücretsiz forum uygulaması Flarum ile yapılmıştır.