NAPOMENA: Sve tvrtke koje žele nositi Safe Shop oznaku povjerenja prihvaćaju naše upute za povećanje sigurnosti webshopa te jamče da zadovoljavaju minimalno prva tri kriterija.

1. Ažurirate li svoj webshop softver (CMS, dodaci, teme, itd.) redovito?
   Zašto je bitno: Redovita ažuriranja ispravljaju sigurnosne propuste i osiguravaju stabilnost i performanse sustava.

• Provjerite dostupnost novih verzija najmanje jednom mjesečno.
• Automatizirajte proces ažuriranja gdje je moguće.
• Testirajte ažuriranja na staging okruženju prije implementacije na produkciju.

2. Koristite li dvostupanjsku autentifikaciju (2FA) za pristup admin panelu?
   Zašto je bitno: 2FA smanjuje rizik od neovlaštenog pristupa čak i ako je lozinka kompromitirana.
   
   • Aktivirajte 2FA za sve administratore.
   • Koristite aplikacije poput Google Authenticatora ili fizičke sigurnosne ključeve.

3. Kako upravljate korisničkim podacima i osiguravate njihovu privatnost?
   Zašto je bitno: Pravilan pristup podacima jača povjerenje korisnika i osigurava usklađenost s GDPR-om i drugim zakonima.

• Implementirajte SSL/TLS certifikate za šifriranje podataka.
• Pohranite osjetljive podatke (npr. lozinke) koristeći hashing algoritme.
• Redovito ažurirajte politiku privatnosti i obavijestite korisnike o promjenama.

4. Imate li sigurnosnu kopiju webshopa i koliko često je izrađujete?
Zašto je bitno: Sigurnosne kopije omogućuju brzi oporavak podataka u slučaju napada, grešaka ili tehničkih kvarova.

• Postavite automatizirane dnevne sigurnosne kopije.
• Čuvajte kopije na udaljenim lokacijama (npr. cloud ili vanjski disk, hosting).
• Redovito testirajte vraćanje podataka iz sigurnosnih kopija.

5. Provodite li redovne sigurnosne provjere ili penetracijska testiranja?
Zašto je bitno: Otkriva ranjivosti prije nego što ih napadači mogu iskoristiti.

• Angažirajte stručnjake za godišnje penetracijske testove.
• Koristite alate poput WPScan ili Nessus za redovite provjere.
• Dokumentirajte nalaze i poduzmite mjere za otklanjanje ranjivosti.

6. Imate li firewall i pratite li aktivno promet na svojoj stranici?
Zašto je bitno: Firewall blokira sumnjiv promet, dok praćenje omogućuje pravovremenu reakciju na potencijalne prijetnje.

• Koristite web aplikacijski firewall (WAF).
• Pratite promet putem alata kao što su Cloudflare ili Sucuri.
• Postavite pravila za blokiranje sumnjivog prometa.

7. Jesu li svi korisnički računi na webshopu ograničeni prema principu najmanjih privilegija?
Zašto je bitno: Minimiziranje privilegija smanjuje rizik od zloupotrebe pristupa ili grešaka korisnika.

• Definirajte uloge i prava pristupa za svakog korisnika.
• Ograničite administrativne privilegije na minimalan broj korisnika.
• Redovno revidirajte korisničke uloge i prilagodite ih prema potrebama.

8. Provodite li edukaciju zaposlenika o kibernetičkoj sigurnosti?
Zašto je bitno: Zaposlenici su prva linija obrane; educirani zaposlenici smanjuju rizik od ljudskih pogrešaka.

• Organizirajte redovne treninge o prepoznavanju phishing napada i sigurnom rukovanju podacima.
• Postavite interne sigurnosne politike koje su jednostavne za razumijevanje i primjenu.

9. Jeste li uspostavili proceduru za brzo reagiranje u slučaju sigurnosnog incidenta?
Zašto je bitno: Brza reakcija može smanjiti štetu i zaustaviti napade prije nego što uzrokuju ozbiljnije posljedice.

• Izradite incident response plan s jasno definiranim koracima.
• Dodijelite odgovornosti unutar tima za brzo djelovanje.
• Redovito simulirajte potencijalne incidente kako biste testirali učinkovitost plana.

10. Imate li proceduru za zaštitu od DDoS napada?
Zašto je bitno: DDoS napadi mogu ugasiti vašu stranicu, što uzrokuje gubitak prihoda i povjerenja korisnika.

• Koristite CDN platforme poput Cloudflare za filtriranje DDoS prometa.
• Postavite pravila za rate limiting i blokiranje IP adresa sumnjivih aktivnosti.
• Aktivno pratite promet kako biste brzo reagirali na anomalije.

11. Provjeravate li redovito povijest prijava i aktivnosti korisnika na admin računu?
Zašto je bitno: Pregled aktivnosti omogućuje rano otkrivanje neovlaštenih pristupa ili sumnjivih ponašanja.

• Omogućite zapisivanje aktivnosti (audit log).
• Redovno pregledavajte logove kako biste prepoznali neovlaštene pristupe.
• Postavite alarme za sumnjive aktivnosti, poput prijava s novih IP adresa.

12. Imate li postupak za reviziju dozvola i prava pristupa za zaposlenike?
Zašto je bitno: Redovna revizija osigurava da samo ovlašteni korisnici imaju pristup ključnim resursima.

• Provodite reviziju pristupnih prava svakih šest mjeseci.
• Uklonite pristup bivšim zaposlenicima odmah po njihovom odlasku.
• Ograničite pristup osjetljivim podacima na temelju poslovnih potreba.