Przejdź do treści
Baza wiedzy 5 min czytania

Checklist bezpieczeństwa e-commerce — 2026

Praktyczny checklist cyberbezpieczeństwa dla sklepów internetowych. 40+ punktów kontrolnych w 7 kategoriach — od ochrony płatności po monitoring i reagowanie na incydenty.

Marcin Godula Marcin Godula

Jak korzystać z tego checklistu

Ten checklist obejmuje 7 kluczowych obszarów cyberbezpieczeństwa w e-commerce. Każdy punkt jest klasyfikowany według priorytetu:

  • Krytyczny — wdrożyć natychmiast, brak = bezpośrednie ryzyko utraty danych klientów lub przychodów
  • Ważny — wdrożyć w ciągu 3 miesięcy
  • Zalecany — wdrożyć w ciągu 6-12 miesięcy

Checklist jest zgodny z wymaganiami PCI DSS v4.0, RODO i rekomendacjami OWASP dla e-commerce.

Ochrona płatności i danych kart

Krytyczne:

  • Tokenizacja płatności — dane kart przetwarzane przez certyfikowanego providera (Stripe, Adyen, PayU)
  • TLS 1.2+ na wszystkich stronach (nie tylko checkout)
  • Content Security Policy (CSP) na stronach płatności
  • Monitoring integralności skryptów JavaScript na stronach checkout (PCI DSS 6.4.3)
  • Detekcja nieautoryzowanych zmian na stronach płatności (PCI DSS 11.6.1)

Ważne:

  • Subresource Integrity (SRI) dla wszystkich zewnętrznych skryptów
  • Regularne skanowanie pod kątem web skimmerów/Magecart
  • Audyt dostawców trzecich z dostępem do stron płatności

Zalecane:

  • Payment form w izolowanym iframe od providera
  • Monitoring transakcji pod kątem anomalii (velocity checks)

Kontrola dostępu i uwierzytelnianie

Krytyczne:

  • MFA na wszystkich kontach administracyjnych
  • Polityka silnych haseł (min. 12 znaków)
  • Blokada kont po 5 nieudanych próbach logowania
  • Zmiana domyślnych ścieżek panelu admin (/admin, /wp-admin)

Ważne:

  • Role-Based Access Control (RBAC) w panelu administracyjnym
  • Regularne przeglądy uprawnień (co kwartał)
  • Logowanie wszystkich operacji administracyjnych
  • Ograniczenie dostępu do panelu admin per IP/VPN

Zalecane:

  • Risk-based MFA dla klientów (podejrzane logowania)
  • Integracja z Have I Been Pwned (proaktywna zmiana skompromitowanych haseł)
  • Session management z idle timeout (15 min admin, 30 min klienci)

Web Application Firewall i ochrona sieci

Krytyczne:

  • WAF aktywny z regułami dla OWASP Top 10
  • Ochrona DDoS (Cloud WAF lub dedykowane rozwiązanie)
  • Firewall sieciowy z whitelistingiem portów

Ważne:

  • Reguły WAF specyficzne dla platformy (WooCommerce, Magento, etc.)
  • Rate limiting na endpointach logowania i API
  • Bot management — detekcja i blokowanie złośliwych botów
  • Whitelisting IP bramek płatniczych i integracji

Zalecane:

  • Behavioral analysis dla detekcji credential stuffing
  • Geo-blocking dla nieobsługiwanych regionów
  • API Gateway z schema validation

Bezpieczeństwo API

Krytyczne:

  • Uwierzytelnianie na każdym endpoincie API
  • Autoryzacja na poziomie obiektu (ochrona przed BOLA)
  • Walidacja danych wejściowych (schema validation)

Ważne:

  • Rate limiting per endpoint i per użytkownik
  • Tokeny JWT z krótkim czasem życia (15-30 min)
  • Brak nadmiernego ujawniania danych w odpowiedziach API
  • Logowanie wszystkich żądań API z metadanymi

Zalecane:

  • API versioning z deprecation policy
  • Ochrona przed mass assignment
  • GraphQL: ograniczenie depth i complexity zapytań

Zarządzanie platformą i kodem

Krytyczne:

  • Regularne aktualizacje platformy, wtyczek i bibliotek
  • Automatyczne skanowanie podatności (weekly)
  • Separacja środowisk: dev/staging/produkcja (osobne dane, klucze, dostępy)

Ważne:

  • Code review przed deploym na produkcję
  • Testy penetracyjne (min. raz w roku + po dużych zmianach)
  • Backup automatyczny z testami odtwarzania (monthly)
  • Anonimizacja danych produkcyjnych na staging

Zalecane:

  • CI/CD pipeline z security scanning (SAST/DAST)
  • Dependency scanning (Snyk, Dependabot)
  • Infrastructure as Code z security hardening

Monitoring i reagowanie na incydenty

Krytyczne:

  • Centralne logowanie (SIEM lub log management)
  • Monitoring bezpieczeństwa z alertami na krytyczne zdarzenia
  • Procedura reagowania na incydenty (kto, co, kiedy)
  • Plan notyfikacji klientów i UODO (72h RODO)

Ważne:

  • Monitoring integralności plików (FIM) na serwerze
  • Alerty na: spike 4xx/5xx, nietypowe logowania, zmiany plików checkout
  • Regularne przeglądy logów (weekly)
  • Kontakty eskalacyjne (hosting, CDN, payment provider, CERT)

Zalecane:

  • SOC 24/7 (wewnętrzny lub zewnętrzny)
  • Threat intelligence feed dla e-commerce
  • Tabletop exercises (symulacja incydentu co pół roku)

Zgodność i dokumentacja

Krytyczne:

  • PCI DSS SAQ wypełniony i aktualny
  • Polityka prywatności zgodna z RODO
  • Cookie consent mechanizm z opcją odmowy
  • Rejestr czynności przetwarzania danych

Ważne:

  • Umowy powierzenia z dostawcami (hosting, analytics, marketing)
  • DPIA (Data Protection Impact Assessment) dla profilowania
  • Procedura realizacji praw osób (dostęp, usunięcie, przenoszenie)

Zalecane:

  • Kwartalny ASV scan
  • Roczny audyt bezpieczeństwa
  • Szkolenia bezpieczeństwa dla zespołu (co 6 miesięcy)
  • Cyber insurance (ubezpieczenie od cyber ryzyk)

Cyberbezpieczeństwo w Twojej branży

Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:

Tematy powiązane

Zobacz również:

Tagi:

Cyberbezpieczeństwo E-commerce Checklist Compliance Finanse i bankowość

Udostępnij:

Porozmawiaj z ekspertem

Masz pytania dotyczące tego tematu? Skontaktuj się z naszym opiekunem.

Opiekun handlowy
Grzegorz Gnych

Grzegorz Gnych

Opiekun handlowy

+48 664 003 003grzegorz.gnych@nflo.pl
Odpowiedź w ciągu 24 godzin
Bezpłatna konsultacja
Indywidualne podejście

Podanie numeru telefonu przyspieszy kontakt.

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2