Data security in de Tinx E-commerce Connector
Doordat er veel partijen zijn die er belang bij hebben om jouw gegevens in te zien, te controleren of zelfs te gijzelen krijgt databeveiliging tegenwoordig terecht veel aandacht. Onlangs perste een hacker nog de hogeschool van Arnhem en Nijmegen af en ook Media Markt werd slachtoffer van ransomware. Hoe is de data security in de Tinx e-commerce connector software eigenlijk georganiseerd? Onze collega René Donkers legt dit uit aan de hand van een aantal vragen.
Kun je eerst kort uitleggen wat de software Tinx E-Commerce Connector voor functionaliteiten heeft?
“Wij hebben standaard integratie-software ontwikkeld, welke onderdeel is van Microsoft Dynamics 365 Business Central om systemen aan elkaar te koppelen. Met de Tinx E-commerce connector kunnen bedrijven relatief eenvoudig data uitwisselen tussen Business Central en het e-commerce platform waar hun webshop op draait. Dit kan een Magento, Shopify, WooCommerce, CloudSuite webshop zijn. De Tinx software koppelt twee verschillende software systemen met behulp van API, mappings en data transformatie.”
Hoe wordt de connectie tussen BC en de webshop tot stand gebracht?
“Dat gebeurt altijd middels een API (Application Programming Interface), dit is een software interface die het mogelijk maakt dat twee applicaties kunnen communiceren. Alle moderne e-commerce platformen bieden API ondersteuning aan. De Tinx software maakt gebruik van deze API’s. Om toegang te krijgen tot de API moet er aan webshop kant een token worden aangemaakt die BC gebruikt om aan te tonen dat data-uitwisseling geautoriseerd is.”
Welke data versturen wij via onze e-commerce connectors?
“Naar de webshop toe verstuurt BC de volgende data: klantdata, orderdata en productdata zoals basisinformatie, uitgebreide informatie zoals, voorraad, prijzen. BC downloadt informatie als: nieuwe klant-registraties, bestellingen. Deze data wordt verstuurd of gedownload middels berichten in XML of JSON formaat.”
Wachtwoorden en inloggegevens worden niet verstuurd.
“Bedrijf kritische gegevens zoals betaal-informatie verloopt altijd via een Payment Provider, zoals Multi Safe Pay, Adyen, Mollie, etc. De payment zelf wordt afgehandeld aan de webshop kant. BC ontvangt alleen gegevens over de betaling, het bedrag en met welke betaalsoort.”
Is er een verschil tussen on-premise en cloud?
“Qua data-beveiliging is er eigenlijk is er geen verschil. Uiteindelijk is de data-security in Business Central zelf georganiseerd door Microsoft. Op functioneel gebied maakt BC gebruikt van gebruikers (wie hebben toegang tot het systeem), permissie sets (welke rechten hebben de gebruikers in BC) en role-centers voor gebruikers (wat mogen de gebruikers zien). Op technisch gebied is er verschil in de installatie van de Tinx software. Bij On-premise versies zal er een runtime app ingeladen worden. Is er sprake van een cloud versie dan worden de Tinx apps altijd via Microsoft AppSource geïnstalleerd. Alle data wordt verstuurd via web API’s zoals Simple Object Access Protocol (SOAP) of Representational State Transfer (REST). Deze API’s zijn via HTTPS beveiligd en een SSL layer die zorgt ervoor dat de data die verstuurd wordt altijd versleuteld is.”
Kan je in grote lijnen uitleggen hoe het versturen van data tussen een webshop en Business Central werkt?
“Jazeker, via de webshop bijvoorbeeld Magento, Shopify of WooCommerce wordt gebruikt gemaakt van een SSL certificaat. Zodra de Tinx connector een request verstuurt naar de webshop wordt er gecontroleerd of het SSL certificaat geldig is, zo weet Business Central met wie er gecommuniceerd wordt. Als het certificaat geldig is dan krijgt Business Central een sleutel terug, met die sleutel coderen wij de data die verstuurd wordt.”
Wat als een webshop wordt gehackt, zijn de gegevens dan nog veilig?
“De beveiligde connectie wordt altijd geïnitieerd vanuit Business Central naar de webshop toe. De periodieke communicatie verloopt via de standaard functionaliteit Job Queue in BC. Via de Job Queue checkt BC of er informatie geüpdatet moet worden (push request) of dat er informatie binnengehaald moet worden naar BC (pull request). Beide systemen functioneren altijd los van elkaar, de Tinx connector zorgt ervoor dat er met elkaar gepraat kan worden. Vanuit de webshop wordt er nooit een gegevensverbinding gelegd met BC. Dus stel dat een webshop gehackt zou zijn dan kan de hacker niet bij de belangrijke gegevens binnen Business Central. Uiteraard is het beveiligen van de webshop ook zeer belangrijk. Een aantal uitgangspunten voor een veilige webshop: sterke wachtwoorden, https-versleuteling, periodiek maken van back-ups en de installatie van een firewall.”
Hoe zijn de back-ups van data georganiseerd aan de webshop kant?
“Bij de Shopify SaaS variant wordt de back-up door Shopify zelf gedaan. Bij Magento kan de webshopbouwer een back-up maken. Bedrijven kunnen er ook voor kiezen dat de hostingpartij dit regelt. Meestal is dat tegenwoordig een standaard dienst wat uitgevoerd wordt door de webshopbouwer, maar altijd goed om even na te vragen. Wij werken veel samen met de volgende Magento hosting partijen zoals Hypernode, Byte, Hipex, of Digital Ocean. Voor WooCommerce hosting is SAVII een betrouwbare leverancier.”
In hoeverre zou je de beveiliging van data-veiligheid & security binnen Tinx omschrijven?
“Bij Tinx- hebben we data-veiligheid & security hoog in het vaandel staan. Wij doen er alles aan om de software die we uitleveren zo veilig en secure mogelijk te ontwikkelen. Dat betekent dat we gebruik maken van standaard web protocollen om verbinding te leggen met 3e systemen. We houden ons aan de richtlijnen die Microsoft opstelt in het schrijven van software.”
