11 лучших практик для безопасной обработки онлайн-платежей

Кто-то может задаться вопросом, почему предприятия так уязвимы к мошенничеству в Интернете. Ответ двоякий. Многие продавцы не обеспечивают должной безопасности при обработке онлайн-платежей, но мошенники тоже заслуживают определенного уважения, поскольку бороться с их схемами становится все труднее. В этой статье мы расскажем об одиннадцати лучших практиках обеспечения безопасности онлайн-платежей и защиты конфиденциальных данных клиентов.

Мошенничество в электронной коммерции варьируется от классического захвата аккаунта до кражи кредитных карт и более сложных схем триангуляции, когда мошенники выступают в качестве тайных посредников при совершении онлайн-покупок. Комплексный подход к обнаружению и предотвращению мошенничества убережет Ваш интернет-магазин от проделок хакеров. Следуйте нашим рекомендациям для лучшей защиты платежей в электронной коммерции.

---

Как обеспечить безопасность обработки онлайн-платежей?

Что отличает надежного онлайн-продавца или сервис от сомнительного – это безопасные онлайн-транзакции и платежи. Приведенные ниже идеи и стратегии помогут Вам реализовать надежные меры безопасности.

1. Шифруйте платежные данные клиентов

Безопасность Вашего сайта начинается с сертификата SSL (Secure Sockets Layer). Этот небольшой цифровой файл использует протокол TLS (Transport Layer Security) для шифрования данных при передаче между браузерами пользователей и веб-серверами. Шифрование SSL/TLS было основой развития электронной коммерции с первых дней существования Интернета, а теперь оно является обязательным для всех сайтов.

Для платформ электронной коммерции SSL-шифрование является частью соответствия стандарту PCI DDS (Payment Card Industry Data Security Standard) – универсальному стандарту безопасности для организаций, работающих с данными о держателях карт.

При таком большом количестве доступных типов SSL-сертификатов лучшим вариантом для большинства сайтов электронной коммерции является SSL-сертификат Business Validation (BV). BV SSL – это сертификат высокой надежности, который подтверждает официальность компании. Процесс проверки требует бумажной работы с Вашей стороны, но Вы можете ускорить этот процесс, получив код LEI для Вашей организации.

---

2. Собирайте и храните как можно меньше данных

Чем больше данных Вы собираете о своих клиентах, тем выше риски в случае утечки. Последние законодательные акты, включая Общее положение о защите данных (GDPR), предъявляют строгие требования к тому, как собирать, хранить и получать доступ к данным.

Не собирайте и не храните данные только потому, что Вы можете это делать, особенно если речь идет о персональных данных. Соберите основную информацию, такую как имя и фамилия клиента, его адрес или платежные данные кредитной карты, и храните ее в защищенных и зашифрованных облачных системах.

---

3. Станьте совместимым с PCI

Соответствие стандарту PCI основывается на трех важнейших аспектах: защите данных кредитных карт, безопасности хранимых данных и ежегодной проверке. Если Вы используете сторонний платежный процессор, то значительная часть управления соответствием требованиям PCI ложится на них. Тем не менее, очень важно знать и понимать свои обязательства.

Ниже приведены 12 требований к соответствию стандарту PCI:

• Поддерживайте брандмауэр для защиты данных о держателях карт внутри корпоративной сети
• Защитите хранящиеся данные как на физических, так и на виртуальных системах
• Не используйте пароли по умолчанию. Периодически меняйте их.
• Используйте SSL-сертификат для шифрования данных о держателях карт при передаче через публичные сети.
• Ограничьте доступ к данным о держателях карт
• Ограничьте доступ к компонентам системы
• Ограничьте физический доступ к данным о держателях карт
• Отслеживайте и контролируйте доступ к сетевым ресурсам и данным держателей карт.
• Разрабатывайте и поддерживайте безопасные системы и приложения
• Просканируйте все системы, хранящие конфиденциальные данные, на предмет потенциальных уязвимостей
• Регулярно тестируйте системы и процессы безопасности
• Поддерживайте стандартную политику безопасности для всех Ваших систем и персонала

---

4. Внедрите 3D Secure

3D Secure расшифровывается как 3 Domain Server – протокол безопасности, в котором участвуют три стороны, являющиеся ключевыми фигурами в процессе 3D Secure:

• Торговец, продающий товар
• Банк компании – банк-эквайер
• Эмитент карты – обычно это VISA или MasterCard.

Метод аутентификации 3D secure предотвращает несанкционированное использование карт. Она также защищает продавцов от возврата денег в случае мошеннических транзакций. Благодаря этой новой технологии злоупотребление картами и потеря платежей значительно сокращаются.

---

5. Требуйте надежных паролей

Никогда не недооценивайте силу надежного пароля. По данным Verizon, скомпрометированные учетные данные – самая распространенная причина кибер-атак, на нее приходится 61% случаев взлома. Не зря веб-сайты не позволяют пользователям создавать слабые пароли – это катастрофа, которая только и ждет, чтобы случиться.

Удлинив пароль всего на несколько символов, Вы даете хакерам триллион дополнительных комбинаций для взлома. Вот как сделать пароль практически невзламываемым:

• Ни при каких обстоятельствах не сообщайте никакой личной информации
• Если слово можно найти в словаре, не используйте его.
• Включите смесь специальных символов (цифры, верхний регистр, символы).
• Используйте генераторы паролей, предоставляемые авторитетными менеджерами паролей, такими как Dashline или Lastpass.

---

6. Используйте строгую аутентификацию клиентов

Строгая аутентификация клиентов (SCA) добавляет уровень безопасности, когда пользователи входят в Вашу систему. Он защищает от неконтролируемого доступа к программному обеспечению и очень эффективен против автоматизированных атак ботов (99,9% предотвращения, по данным Microsoft). SCA требует от пользователей предъявить как минимум два возможных фактора идентификации из трех доступных: PIN-код, скан отпечатка лица/пальца или мобильный телефон.

Еще один эффективный метод проверки транзакций в Интернете – это Card Verification Value (CVV) – 3-4-значный номер на обратной стороне кредитных карт VISA, MasterCard, Discover и American Express.

CVV защищает кредитные карты от кражи, мошенничества и несанкционированных операций. Это гарантирует, что картой будет пользоваться только ее владелец. Даже если кто-то завладеет номером карты, он не сможет совершать операции без CVV.

---

7. Используйте безопасные методы и провайдеров онлайн-платежей

Сторонние платежные процессоры, такие как Stripe, или универсальные платформы электронной коммерции, такие как Shopify, оптимизируют Ваш бизнес до такой степени, что Вам не придется беспокоиться о хранении и безопасности данных. Самое главное, Вы защищены от ответственности и рисков, связанных с мошенничеством в Интернете.

Интернет-магазины, работающие на надежных платформах сторонних производителей, по умолчанию соответствуют стандарту PCI и оснащены передовой инфраструктурой безопасности, что позволяет Вам не беспокоиться и сосредоточиться на развитии своего бизнеса.

---

8. Используйте службу проверки адресов

Служба проверки адреса (AVS) используется в платежах электронной коммерции для повышения безопасности и снижения риска мошеннических операций. AVS сверяет адрес для выставления счетов, указанный держателем карты во время транзакции, с адресом, находящимся в базе данных эмитента карты.

AVS помогает обнаружить потенциально мошеннические действия. Это будет тревожным сигналом, если транзакция проводится из другой страны, а не с указанного адреса выставления счета. Торговцы могут настроить свои платежные системы так, чтобы они автоматически отмечали или проверяли транзакции на основе полученных кодов ответа AVS.

Как и у любой другой системы, у AWS есть свои ограничения. Он может не учитывать вариации в форматах адресов или незначительные несоответствия, такие как опечатки или различия в сокращениях улиц. Кроме того, AVS не проверяет личность владельца карты или наличие средств на счете.

---

9. Следите за мошенничеством 24 часа в сутки 7 дней в неделю

Всегда лучше действовать на опережение, чем на реакцию, особенно когда на карту поставлена конфиденциальность клиентов. К счастью, множество инструментов и систем управления мошенничеством могут защитить Ваш бизнес. А если Вы добавите в это уравнение искусственный интеллект, то хакеры будут бессильны нарушить Вашу безопасность. Вот как Вы можете отслеживать и предотвращать мошенничество:

• Установите антивирусное программное обеспечение на все устройства, подключенные к Вашим платежным терминалам. Регулярно обновляйте свой сайт и программное обеспечение и используйте последние патчи безопасности.
• Просканируйте Вашу систему на предмет уязвимостей, чтобы обнаружить потенциальные лазейки, которыми могут воспользоваться злоумышленники, ведь их главная цель – заразить серверы платежных провайдеров вредоносным ПО, которое выуживает у пользователей данные о платежах в режиме реального времени. Сканирование уязвимостей необходимо для соответствия стандарту PCI, поэтому используйте поставщика сканирования, одобренного PCI, известного как ASV.
• Позвольте искусственному интеллекту и машинному обучению анализировать подозрительную активность, отслеживая поведение клиентов. Искусственный интеллект быстро становится неотъемлемой частью кибербезопасности, и он может сэкономить Вашему бизнесу кучу денег в долгосрочной перспективе.

---

10. Обучайте сотрудников

Осведомленность о кибербезопасности должна быть на повестке дня каждой интернет-компании. Культура безопасности – это лучшая “мягкая” защита от постоянных угроз, особенно когда 36% всех утечек данных происходят от внутренних субъектов. Чтобы предотвратить саботаж со стороны сотрудников-изгоев, ограничьте доступ к системе и разделите критически важные для безопасности рабочие нагрузки.

Сотрудники должны знать о Ваших протоколах безопасности и о том, что делать после утечки данных. По мнению Ассоциации передовых вычислительных систем (USENIX), компаниям следует проводить тренинги по кибербезопасности каждые четыре-шесть месяцев. Их исследование осведомленности о фишинге показало, что сотрудники склонны забывать полученные знания, поэтому, постоянно напоминая им об опасностях киберпреступности, Вы защищаете свой бизнес и клиентов.

---

11. Регулярно обновляйте и исправляйте системы

Поддержка всех программ и систем последними исправлениями безопасности очень важна для поддержания безопасной среды обработки онлайн-платежей. Киберпреступники часто используют уязвимости в устаревшем программном обеспечении для получения несанкционированного доступа или проведения атак.

Несколько громких случаев нарушения безопасности произошли из-за непропатченных систем. Например, взлом Equifax в 2017 году, в результате которого была раскрыта конфиденциальная личная информация миллионов людей, стал следствием того, что компания не исправила известную уязвимость. Аналогичным образом, в 2017 году вымогательское ПО WannaCry нацелилось на непропатченные системы, вызвав значительные сбои в работе и финансовые потери.

Эксперты по безопасности постоянно подчеркивают важность управления исправлениями. Лучшие практики, например, описанные Центром Интернет Безопасности (Center for Internet Security, CIS), подчеркивают необходимость проактивного подхода к исправлениям, включая установление регулярных циклов исправлений, использование автоматизированных инструментов управления исправлениями и проведение оценок уязвимостей для выявления и устранения слабых мест.

---

Заключительные мысли

Электронная коммерция становится основным вариантом покупок в нашем цифровом мире. Но с удобством покупки товаров, не выходя из дома, связаны и риски мошенничества. Каждый бизнес обязан защищать конфиденциальные данные покупателей и повышать осведомленность о кибербезопасности на рабочем месте. Мы показали Вам, как обеспечить безопасность онлайн-платежей, теперь Ваша очередь действовать проактивно и обезопасить свой онлайн-бизнес от финансовых и репутационных потерь.