Co jest potrzebne, aby rozpocząć audyt sklepu — dostęp, bezpieczeństwo danych i RODO
Czego potrzebujemy do audytu sklepu PrestaShop i jak chronimy dane: tylko odczyt, minimalne uprawnienia, odwoływalny dostęp i zgodność z RODO.
Czego potrzebujemy, aby rozpocząć audyt sklepu – i jak chronimy Państwa dane
Każdy audyt w ramach naszych Expert Services jest przeprowadzany przez specjalistę na prawdziwym sklepie PrestaShop, a nie na ogólnym demo czy liście kontrolnej wypełnionej na odległość. Aby zrobić to dobrze, potrzebujemy z góry kilku informacji – a ponieważ czasem oznacza to przyznanie dostępu, ta strona w równym stopniu dotyczy tego, jak chronimy Państwa sklep oraz dane Państwa klientów. W skrócie: domyślnie pracujemy w trybie tylko do odczytu, prosimy o jak najmniejszy dostęp i nigdy nie ruszamy ani nie zabieramy danych Państwa klientów.
1. Adres URL sklepu (wymagane)
Na każdej stronie produktu audytowego widoczne jest pole Domena / URL sklepu z przyciskiem Sprawdź gotowość. Należy wpisać publiczny adres sklepu (na przykład https://your-store.com) i kliknąć go. Wykonujemy natychmiastowe sprawdzenie w trybie tylko do odczytu, które potwierdza, że sklep jest dostępny przez HTTPS, że certyfikat TLS jest ważny i że wygląda jak PrestaShop. W sklepie nic nie zostaje zmienione. Po pomyślnym sprawdzeniu audyt zostaje dodany do koszyka, a adres URL sklepu podróżuje wraz z zamówieniem, dzięki czemu dokładnie wiemy, który sklep audytować.
Sprawdzenie gotowości to ten sam rodzaj żądania, jakie wysyła przeglądarka każdego odwiedzającego – ładuje publiczne strony i odczytuje to, co już udostępniają. Nie loguje się, nie bada obszarów prywatnych i niczego nie zapisuje. Należy użyć publicznego adresu, który faktycznie odwiedzają Państwa klienci, wraz z prawidłową subdomeną i ścieżką językową, jeśli sklep działa w więcej niż jednym języku. Jeśli sklep znajduje się za ekranem konserwacji, hasłem środowiska testowego lub listą dozwolonych adresów IP, wystarczy poinformować nas o tym podczas przyjmowania zlecenia, aby specjalista mógł mimo to się do niego dostać.
2. Dostęp do Search Console / analityki (zalecane, niewymagane)
W przypadku SEO Audit delegowany dostęp do odczytu Google Search Console wyostrza ustalenia. Jest opcjonalny, przyznawany z własnego konta i odwoływalny jednym kliknięciem w dowolnym momencie – nigdy nie prosimy o hasło.
Dlaczego to pomaga: Search Console pokazuje, jak Google faktycznie indeksuje i klasyfikuje sklep – zapytania, dla których się Państwo pojawiają, strony zyskujące lub tracące wyświetlenia, problemy z indeksowaniem oraz działania ręczne. Te dane z rzeczywistego świata pozwalają audytowi przejść od „to może mieć znaczenie" do „oto, co kosztuje Państwa ruch, a oto strona". Dostęp przyznaje się poprzez własny mechanizm udostępniania Google, na poziomie Ograniczony (tylko do odczytu), na adres e-mail, który podajemy podczas przyjmowania zlecenia; nigdy nie widzimy hasła do Google i można usunąć nasz dostęp w chwili dostarczenia audytu. To samo dotyczy dostępu do odczytu Google Analytics, jeśli chcą Państwo, aby ustalenia SEO lub wydajnościowe były poparte własnymi danymi o ruchu. Nic z tego nie jest obowiązkowe – audyt SEO i tak działa wyłącznie na podstawie publicznego adresu URL – ale czyni to raport bardziej dopasowanym do Państwa sklepu.
3. Dostęp do panelu administracyjnego lub hostingu (tylko gdy wnosi wartość)
Większość audytów wykonuje się z zewnątrz, tak jak sklep widzą Google i Państwa klienci. Gdy dostęp do odczytu rzeczywiście pomaga – zazwyczaj przy Security Audit lub Hosting Audit – najbezpieczniejszym wzorcem jest utworzenie dla nas tymczasowego konta pracownika w trybie tylko do odczytu i usunięcie go po zakończeniu pracy. Prosimy o najmniejsze uprawnienia, jakich wymaga dany audyt, i nigdy nie potrzebujemy dostępu do bazy danych klientów czy zamówień.
Jeśli dostęp administracyjny jest przydatny dla audytu, oto wzorzec, który zalecamy, ponieważ zapewnia Państwu kontrolę przez cały czas:
- Należy utworzyć dedykowane konto, a nie współdzielone. Należy utworzyć dla nas nowego pracownika lub ograniczony profil administratora, zamiast przekazywać istniejący login. Dzięki temu dostęp jest wyraźnie nasz, wyraźnie ograniczony i wyraźnie możliwy do prześledzenia w dziennikach sklepu.
- Należy utrzymać go w trybie tylko do odczytu tam, gdzie PrestaShop na to pozwala. Należy przyznać uprawnienia do podglądu w obszarach, których wymaga audyt, a tworzenie, edycję i usuwanie pozostawić wyłączone. Jeśli określone sprawdzenie wymaga, by ustawienie było jedynie widoczne, tylko o to prosimy.
- Należy ograniczyć je czasowo. Należy włączyć konto na okres audytu i wyłączyć je lub usunąć, gdy tylko dostarczymy wyniki – przypomnimy o tym dokładnie.
- Należy przesłać dane logowania osobno i w bezpieczny sposób. Należy udostępnić login zaufanym kanałem, najlepiej rozdzielając nazwę użytkownika i hasło, oraz unikać wklejania haseł do zwykłej wiadomości e-mail. Następnie należy zresetować lub usunąć konto, aby dane logowania przestały działać.
W przypadku audytu hostingu ta sama zasada dotyczy dostępu do serwera lub panelu sterowania: ograniczony, tymczasowy login w trybie tylko do odczytu wystarczy, aby sprawdzić konfigurację, dzienniki i wykorzystanie zasobów. Nie potrzebujemy uprawnień root, nie potrzebujemy dostępu do zapisu i nigdy nie musimy sięgać do tabel klientów czy zamówień.
Państwa dane – i dane Państwa klientów – pozostają bezpieczne
To nie są slogany; to zasady, których specjalista przestrzega przy każdym zleceniu. Jeśli cokolwiek w konkretnym audycie wymagałoby wyjątku, najpierw poruszamy to z Państwem i ujmujemy na piśmie.
- Domyślnie tylko do odczytu. Audyt to diagnoza. Patrzymy, mierzymy i raportujemy – nigdy nie zmieniamy niczego w sklepie bez odrębnego, pisemnego, uzgodnionego zakresu.
- Najmniejszy dostęp, ograniczony czasowo, odwoływalny. Prosimy tylko o to, czego wymaga dany audyt, na tak długo, jak tego wymaga, i przypomnimy o jego odwołaniu, gdy tylko skończymy.
- Nie kopiujemy, nie eksportujemy ani nie przechowujemy Państwa danych klientów. Audyty dotyczą konfiguracji, struktury, kodu i sygnałów publicznych – a nie rekordów klientów czy zamówień. Jeśli określone sprawdzenie kiedykolwiek wymaga dostępu do bazy danych, jest on tylko do odczytu i nigdy nie wydobywamy danych osobowych.
- Nic nie jest przechowywane po zakończeniu. Po dostarczeniu audytu nie zatrzymujemy Państwa danych – chyba że wyraźnie poproszą Państwo o zachowanie kopii zapasowej.
- Nigdy nie wystawiamy Państwa sklepu na pokaz. Nie wykorzystujemy sklepu jako studium przypadku, elementu portfolio czy przykładu – nawet zanonimizowanego – bez pisemnej zgody. Jeśli zechcą Państwo zostać wyróżnieni, z przyjemnością podziękujemy rabatem.
- Raport należy do Państwa. Ustalenia są udostępniane wyłącznie Państwu, przechowywane bezpiecznie i nigdy ponownie nie wykorzystywane ani nie przekazywane komukolwiek innemu.
Nicią przewodnią tego wszystkiego jest zasada najmniejszych uprawnień: najmniejszy zakres dostępu, na najkrótszy czas, dla najmniejszej liczby osób, i nic, co nie musi, nie jest przechowywane. To ten sam standard, jakiego oczekiwalibyśmy od każdego zewnętrznego specjalisty wobec naszego własnego sklepu.
Co można przygotować, zanim zaczniemy
Nic z tego nie jest wymagane do złożenia zamówienia, ale kilka minut przygotowań przyspiesza audyt i zapewnia dodatkowy spokój ducha:
- Należy wykonać świeżą kopię zapasową. Mimo że audyt jest tylko do odczytu, aktualna kopia zapasowa plików i bazy danych to po prostu dobra praktyka, zanim ktokolwiek zajrzy do działającego sklepu. Należy przechowywać ją w bezpiecznym miejscu i upewnić się, że faktycznie się odtwarza.
- Warto rozważyć kopię środowiska testowego. Jeśli audyt obejmuje dostęp administracyjny lub serwerowy, a wolą Państwo, byśmy nigdy nie dotykali środowiska produkcyjnego, można skierować nas do środowiska testowego lub klona. Wiele ustaleń przenosi się bezpośrednio z powrotem na produkcję.
- Warto znać konfigurację hostingu. W przypadku audytów wydajności i hostingu posiadanie pod ręką wersji PHP, wersji PrestaShop, rodzaju hostingu oraz wszelkich szczegółów dotyczących pamięci podręcznej lub CDN pozwala nam przejść prosto do analizy.
- Należy spisać objawy. Cokolwiek skłoniło do audytu – spadek ruchu, wolne strony, problem z finalizacją zamówienia, podejrzane logowanie – warto zanotować, kiedy się zaczęło i co już zostało wypróbowane. Kontekst zmienia dobry raport w precyzyjny.
- Warto z góry określić akceptowalny poziom dostępu. Jeśli wolą Państwo wariant wyłącznie z adresem URL, prosimy to powiedzieć. Jeśli są Państwo gotowi przyznać ograniczony dostęp do odczytu, warto przygotować tymczasowe konto, aby było gotowe, gdy specjalista rozpocznie pracę.
RODO i poufność
Jesteśmy firmą z siedzibą w UE (Tychy, Polska), więc RODO jest naszym punktem wyjścia, a nie kwestią dodatkową. Gdy audyt obejmuje jakikolwiek dostęp do danych osobowych, działamy ściśle jako podmiot przetwarzający na Państwa polecenie, wyłącznie na potrzeby tego audytu i w żadnym innym celu – nie przekazujemy Państwa danych, nie wykorzystujemy ich ponownie, niczego na nich nie trenujemy ani do nikogo nie kierujemy działań marketingowych. Jeśli Państwa zespół ds. zgodności tego wymaga, chętnie podpiszemy umowę o zachowaniu poufności (NDA) lub umowę powierzenia przetwarzania danych przed rozpoczęciem; wystarczy poprosić podczas przyjmowania zlecenia. Aby poznać stan zgodności RODO własnego sklepu, prosimy zajrzeć do naszego przewodnika po RODO dla PrestaShop.
W praktyce oznacza to, że traktujemy dane Państwa sklepu tak, jak rozporządzenie oczekuje od podmiotu przetwarzającego: dostęp jest ograniczony do specjalisty wykonującego pracę, wykorzystywany wyłącznie na potrzeby uzgodnionego audytu i nie jest przechowywany ani chwili dłużej, niż wymaga tego audyt. Ponieważ mamy siedzibę w UE, Państwa dane nie opuszczają wspólnoty na nasze potrzeby. Jeśli chcą Państwo, aby relacja została udokumentowana, zanim zostanie przyznany jakikolwiek dostęp, zarówno umowa o zachowaniu poufności, jak i umowa powierzenia przetwarzania danych mogą obowiązywać przed rozpoczęciem prac – wystarczy wspomnieć o nich podczas przyjmowania zlecenia, a najpierw załatwimy formalności. Jeśli chcą Państwo zrozumieć szerszy obraz tego, jak podchodzimy do poufności i utwardzania sklepów, nasza strona Security Audit opisuje to samo podejście zastosowane wobec samego Państwa sklepu.
Jeśli wolą Państwo, byśmy w ogóle nie dotykali danych osobowych, prosimy to powiedzieć – większość audytów (SEO, wydajność, motyw, hosting) wykonuje się w całości z zewnątrz, przy użyciu wyłącznie publicznego adresu URL sklepu.
Czego można oczekiwać po samym audycie
Po pomyślnym sprawdzeniu gotowości i złożeniu zamówienia specjalista analizuje sklep według wybranego zakresu. Przechodzimy przez konfigurację, strukturę, kod i sygnały publiczne, weryfikujemy wszystko, co dostęp pozwala potwierdzić, i spisujemy nasze ustalenia. Otrzymują Państwo czytelny raport: co działa, co Państwa hamuje i co z tym zrobić, uporządkowane według priorytetów, aby najpierw można było zająć się rzeczami, które mają największe znaczenie.
Raport jest napisany tak, by był przydatny niezależnie od tego, czy kiedykolwiek kupią Państwo u nas coś jeszcze. Tam, gdzie ustalenie wskazuje na rozwiązanie, wyjaśniamy je prostymi słowami – czasem jest to ustawienie, czasem treść, czasem hosting, a czasem moduł. Mówimy, które i dlaczego.
Czego wymaga każdy audyt
Szybkie zestawienie tego, co warto mieć przygotowane przed uruchomieniem sprawdzenia gotowości dla każdej usługi:
- SEO Audit – adres URL sklepu; najlepiej dostęp do odczytu Search Console.
- Security Audit – adres URL sklepu; opcjonalnie tymczasowy dostęp do odczytu w celu potwierdzenia konfiguracji.
- Performance Audit – adres URL sklepu, rodzaj hostingu, zauważone przez Państwa objawy.
- Feed & Tracking, Module Fit, Theme Fit – adres URL sklepu i Państwa cel.
Szczere słowo o modułach
Wiele poprawek można wdrożyć za pomocą naszych narzędzi z otwartym kodem – SEO Revolution, Security Revolution, Performance Revolution. Ale zadaniem audytu jest powiedzieć Państwu, czy moduł jest właściwą odpowiedzią, a nie narzucać go. Czasem rozwiązaniem jest konfiguracja, treść lub hosting – i wtedy to powiemy. Prosimy wybrać pasujący audyt na stronie Expert Services, uruchomić sprawdzenie gotowości, a my zajmiemy się resztą.