Mimo nieprzeciętnie dużego popytu na opał z PGG S.A. klienci wchodzący we wtorki i czwartki na sesje zakupowe w sklepie internetowym spółki muszą być całkowicie bezpieczni. Czasem niestety nawet kosztem wygody, bo pierwsze mechanizmy zabezpieczające infrastrukturę wewnętrzną IT firmy zaczynają działać już z powodu olbrzymiej ilości jednoczesnych prób wejść na witrynę sklepu (current connections). Gdy tylko węgiel pojawia się w sprzedaży na półce e-sklepu, na kontrolerze dostarczania aplikacji liczba odwołań do witryny w jednej chwili dochodzi do 650 tysięcy!

Tak wielki ruch powoduje, że nie wszyscy chętni są w stanie bez problemu dostać się do witryny, aby kupić węgiel. Jednak sprzedaż trwa zawsze do wyczerpania wystawionego zapasu, a ilość zrealizowanych transakcji oscyluje na poziomie kilkudziesięciu na sekundę – tłumaczą specjaliści IT Polskiej Grupy Górniczej i opisują kolejne piętra zabezpieczeń e-sklepu.

Nikt nie jest anonimowy w e-sklepie

Po pierwsze węgiel kupić mogą w PGG S.A. tylko zarejestrowani klienci, którzy podadzą swoje niezbędne do transakcji dane osobowe, numer pesel i konta bankowego oraz adres. Klient nie jest więc w sklepie anonimowy. Obecnie zarejestrowanych jest prawie 540 tys. osób.

Rozwiązania Google reCaptcha, które wykorzystują zaawansowane techniki sztucznej inteligencji, uniemożliwiają rejestrację fałszywych użytkowników oraz próby użycia botów. Rejestracja jest dwuetapowa: klient musi odpowiedzieć na wysłany e-mail, co eliminuje posługiwanie się fałszywymi kontami poczty elektronicznej. W sklepie PGG S.A. na ten sam pesel i adres mailowy można zarejestrować się tylko jeden raz.

Mechanizmy reCaptcha zabezpieczają proces zakupów także na etapie logowania się klienta do sklepu (jest to obowiązkowy wymóg) i nabywania towaru – szczególnie chroniony jest moment przejścia do płatności za zamówiony węgiel. Limity działające w oparciu o numer pesel i adres domowy sprawiają, że nikomu nie uda się kupić więcej niż dozwolone 5 ton, na przykład w celu późniejszej odsprzedaży.

Aplikacja sklepu PGG S.A. zapisuje fakt dokonania transakcji wraz z numerem IP, z którego ją wykonano. Podejrzenie, że klient używa programów do automatyzacji zakupów, skutkuje blokadą ruchu z danego IP.

Logi systemowe są na bieżąco przeglądane i analizowane przez administratorów, a informacje o podejrzanych próbach transakcji przekazuje się do Biura Kontroli Wewnętrznej w spółce, które ściśle współpracuje z organami ścigania – zastrzegają administratorzy e-sklepu.

Geolokalizacja i firewall na boty i TOR

Szczególnie w początkowym okresie sprzedaży przez internet utrapieniem sklepu i uczciwych klientów było zmasowane działanie botów. Aby je wyeliminować, wprowadzono m.in. geolokalizację, która uniemożliwia wejścia na stronę sklepu z serwerów poza terytorium Polski. Zastosowane mechanizmy IP Intelligence sprawdzają, jakim IP posługuje się klient i porównują dany adres z aktualizowanymi spisami adresów proxy, botnetami lub siecią TOR.

Użyte przez PGG S.A. mechanizmy weryfikacji behawioralnej potrafią nawet sprawdzić, czy przeglądarką www użytkownika posługuje się żywy człowiek czy też bot zakupowy.

Sklepu internetowego z węglem PGG S.A. strzeże również tzw. Web Application Firewall, który pozwala na automatyczną kontrolę treści przesyłanych do aplikacji e-sklepu. Bazy reguł wykorzystywane w tym rozwiązaniu są na bieżąco aktualizowane. Przed groźnymi atakami typu DDOS, które mogą sparaliżować infrastrukturę e-sklepu, chronią m.in. mechanizmy zliczające częstotliwość odświeżania strony internetowej.

Wszystkie techniczne zabezpieczenia wsparte są dodatkowo pracą administratorów, śledzeniem ruchu przychodzącego z internetu i przeglądaniem logów systemowych i aplikacyjnych, tak aby na bieżąco reagować na pojawiające się zagrożenia. Ostatnim ogniwem zabezpieczającym proces zakupowy jest kontrola przez operatorów sklepu i służby kopalniane dokumentów, oświadczeń i deklaracji CEEB (Centralnej Ewidencji Emisyjności Budynków) składanych przez klientów pod kątem ich zgodności ze sobą i z danymi zarejestrowanymi w sklepie internetowym. Na tym ostatnim etapie sprawdza się również, czy płatności w transakcjach nie są realizowane z tych samych kont bankowych – opisują specjaliści IT Polskiej Grupy Górniczej S.A.

Oszustwa praktycznie niemożliwe, lecz bądźmy ostrożni!Przy obecnych zabezpieczeniach serwisu sprzedażowego PGG S.A. praktycznie niemożliwa jest aktywność nieuczciwych pośredników, którzy usiłują wyłudzać opłaty za rzekome ułatwienie lub przyspieszenie procedury zakupu węgla. Warto jednak być bardzo ostrożnym.

W szczególności przestrzegamy naszych klientów, by w żadnym wypadku nie udostępniali komukolwiek danych personalnych i bankowych, których używa się do sfinalizowania transakcji w e-sklepie! – apelują przedstawiciele PGG S.A. Przy dokonywaniu zakupów radzą zwracać szczególną uwagę na link prowadzący do e-sklepu oraz niekorzystanie z łącza podsyłanego przez innych "kupujących". Fałszywe odnośniki sprawiają wrażenie autentycznych, a w rzeczywistości mogą prowadzić do spreparowanych witryn, dzięki którym oszuści próbują pozyskać dane osobowe lub wpłaty.

Spółka podkreśla, że infrastruktura serwerowa e-sklepu przeszła gruntowną modernizację, aby w krótszym czasie mogła obsłużyć jak najwięcej klientów.