Wszystkie serwery WWW powinny znajdować się za firewallem w strefie DMZ. Usługi przychodzące i wychodzące powinny być ograniczone przy użyciu protokołów, takich jak HTTP, HTTPS i Internet Control Message Protocol (ICMP). Do celów rozwiązywania problemów pożądane jest zaimplementowanie protokołu ICMP, który jest używany przez PING, requester echa, jako sposób sprawdzania łączności. Wszystkie nieużywane porty powinny być wyłączone. Ponadto wyłączone porty powinny być blokowane przez zapory ogniowe oddzielające strefę DMZ od świata zewnętrznego. Informacje o klientach powinny, w miarę możliwości, być przechowywane w systemach oddzielonych od systemów faktycznie zapewniających obsługę sieci Web. Wiele epizodów związanych z bezpieczeństwem wykorzystywało błędy ochrony plików na serwerach WWW, aby uzyskać bezpośredni dostęp do baz danych. Oddzielenie danych klientów na oddzielnych maszynach i upewnienie się, że jedynym sposobem uzyskania dostępu do danych klientów jest udokumentowane ścieżki, prawdopodobnie poważnie utrudni niewłaściwe próby uzyskania dostępu do informacji i ich modyfikacji. Te zabezpieczenia są szczególnie ważne w przypadku informacji o wysokim stopniu bezpieczeństwa, takich jak numery kart kredytowych. Liczba incydentów, w których przestępcy pobrali numery kart kredytowych bezpośrednio z Serwisu, świadczy o znaczeniu takich środków ostrożności. Systemy faktycznie przechowujące wrażliwe informacje nigdy nie powinny być dostępne z publicznego Internetu. Przechowywanie i przetwarzanie informacji o kartach płatniczych również podlega wytycznym branżowym, w szczególności PCI DSS. Sprawa TJX, na którą zwrócono uwagę opinii publicznej na początku 2007 r., Była jednym z serii włamań na dużą skalę do informacji przechowywanych elektronicznie w systemach back-office i e-commerce. Przede wszystkim wydaje się, że sprawa TJX rozpoczęła się od niedostatecznie zabezpieczonej sieci korporacyjnej i powiązanych z nią systemów zaplecza, a nie od penetracji strony internetowej. Naruszenie to przerodziło się w naruszenie bezpieczeństwa korporacyjnych systemów danych. Na stronie internetowej TJX podano, że co najmniej 45,7 mln kart kredytowych zostało przejętych (oryginalne raporty w USA Today i inne publikacje podają 94 mln numerów kart kredytowych jako przejęte). W dniu 30 listopada 2007 r. Poinformowano, że TJX, organizacja macierzysta sklepów, w tym TJ Maxx i Marshall’s, zgodziła się uregulować roszczenia bankowe związane z kartami VISA na kwotę 40,9 mln USD.26 Ponadto od marca 2008 r. Pozew zbiorowy proces w imieniu klientów był w trakcie załatwiania. Wezwał do wniesienia opłat na rzecz każdego ze powodów za monitorowanie kredytu i kradzież tożsamości oraz za licencje dla nowego kierowcy, a także 6,5 miliona dolarów na rzecz obrońcy powoda. Pomimo kilku tak głośnych ataków wydaje się, że nie wyciągnięto wniosków. Jeszcze w marcu 2008 r. Firma Hannaford Bros. Co. poinformowała, że ujawniono 4,2 miliona numerów kart kredytowych, a na ten dzień zgłoszono około 1800 przypadków nieuczciwego użycia. Incydent z udziałem sieci obsługującej konsolę Sony PlayStation 327 ujawnił dane osobowe około 70 milionów subskrybentów. Oczywiście potrzebne są bardziej rygorystyczne kontrole, opieka i zabezpieczenia.