Кто-то может задаться вопросом, почему предприятия так уязвимы к мошенничеству в Интернете. Ответ двоякий. Многие продавцы не обеспечивают должной безопасности при обработке онлайн-платежей, но мошенники тоже заслуживают определенного уважения, поскольку бороться с их схемами становится все труднее. В этой статье мы расскажем об одиннадцати лучших практиках обеспечения безопасности онлайн-платежей и защиты конфиденциальных данных клиентов.
Мошенничество в электронной коммерции варьируется от классического захвата аккаунта до кражи кредитных карт и более сложных схем триангуляции, когда мошенники выступают в качестве тайных посредников при совершении онлайн-покупок. Комплексный подход к обнаружению и предотвращению мошенничества убережет Ваш интернет-магазин от проделок хакеров. Следуйте нашим рекомендациям для лучшей защиты платежей в электронной коммерции.
Как обеспечить безопасность обработки онлайн-платежей?
Что отличает надежного онлайн-продавца или сервис от сомнительного – это безопасные онлайн-транзакции и платежи. Приведенные ниже идеи и стратегии помогут Вам реализовать надежные меры безопасности.
1. Шифруйте платежные данные клиентов
Безопасность Вашего сайта начинается с сертификата SSL (Secure Sockets Layer). Этот небольшой цифровой файл использует протокол TLS (Transport Layer Security) для шифрования данных при передаче между браузерами пользователей и веб-серверами. Шифрование SSL/TLS было основой развития электронной коммерции с первых дней существования Интернета, а теперь оно является обязательным для всех сайтов.
Для платформ электронной коммерции SSL-шифрование является частью соответствия стандарту PCI DDS (Payment Card Industry Data Security Standard) – универсальному стандарту безопасности для организаций, работающих с данными о держателях карт.
При таком большом количестве доступных типов SSL-сертификатов лучшим вариантом для большинства сайтов электронной коммерции является SSL-сертификат Business Validation (BV). BV SSL – это сертификат высокой надежности, который подтверждает официальность компании. Процесс проверки требует бумажной работы с Вашей стороны, но Вы можете ускорить этот процесс, получив код LEI для Вашей организации.
2. Собирайте и храните как можно меньше данных
Чем больше данных Вы собираете о своих клиентах, тем выше риски в случае утечки. Последние законодательные акты, включая Общее положение о защите данных (GDPR), предъявляют строгие требования к тому, как собирать, хранить и получать доступ к данным.
Не собирайте и не храните данные только потому, что Вы можете это делать, особенно если речь идет о персональных данных. Соберите основную информацию, такую как имя и фамилия клиента, его адрес или платежные данные кредитной карты, и храните ее в защищенных и зашифрованных облачных системах.
3. Станьте совместимым с PCI
Соответствие стандарту PCI основывается на трех важнейших аспектах: защите данных кредитных карт, безопасности хранимых данных и ежегодной проверке. Если Вы используете сторонний платежный процессор, то значительная часть управления соответствием требованиям PCI ложится на них. Тем не менее, очень важно знать и понимать свои обязательства.
Ниже приведены 12 требований к соответствию стандарту PCI:
- Поддерживайте брандмауэр для защиты данных о держателях карт внутри корпоративной сети
- Защитите хранящиеся данные как на физических, так и на виртуальных системах
- Не используйте пароли по умолчанию. Периодически меняйте их.
- Используйте SSL-сертификат для шифрования данных о держателях карт при передаче через публичные сети.
- Ограничьте доступ к данным о держателях карт
- Ограничьте доступ к компонентам системы
- Ограничьте физический доступ к данным о держателях карт
- Отслеживайте и контролируйте доступ к сетевым ресурсам и данным держателей карт.
- Разрабатывайте и поддерживайте безопасные системы и приложения
- Просканируйте все системы, хранящие конфиденциальные данные, на предмет потенциальных уязвимостей
- Регулярно тестируйте системы и процессы безопасности
- Поддерживайте стандартную политику безопасности для всех Ваших систем и персонала
4. Внедрите 3D Secure
3D Secure расшифровывается как 3 Domain Server – протокол безопасности, в котором участвуют три стороны, являющиеся ключевыми фигурами в процессе 3D Secure:
- Торговец, продающий товар
- Банк компании – банк-эквайер
- Эмитент карты – обычно это VISA или MasterCard.
Метод аутентификации 3D secure предотвращает несанкционированное использование карт. Она также защищает продавцов от возврата денег в случае мошеннических транзакций. Благодаря этой новой технологии злоупотребление картами и потеря платежей значительно сокращаются.
5. Требуйте надежных паролей
Никогда не недооценивайте силу надежного пароля. По данным Verizon, скомпрометированные учетные данные – самая распространенная причина кибер-атак, на нее приходится 61% случаев взлома. Не зря веб-сайты не позволяют пользователям создавать слабые пароли – это катастрофа, которая только и ждет, чтобы случиться.
Удлинив пароль всего на несколько символов, Вы даете хакерам триллион дополнительных комбинаций для взлома. Вот как сделать пароль практически невзламываемым:
- Ни при каких обстоятельствах не сообщайте никакой личной информации
- Если слово можно найти в словаре, не используйте его.
- Включите смесь специальных символов (цифры, верхний регистр, символы).
- Используйте генераторы паролей, предоставляемые авторитетными менеджерами паролей, такими как Dashline или Lastpass.
6. Используйте строгую аутентификацию клиентов
Строгая аутентификация клиентов (SCA) добавляет уровень безопасности, когда пользователи входят в Вашу систему. Он защищает от неконтролируемого доступа к программному обеспечению и очень эффективен против автоматизированных атак ботов (99,9% предотвращения, по данным Microsoft). SCA требует от пользователей предъявить как минимум два возможных фактора идентификации из трех доступных: PIN-код, скан отпечатка лица/пальца или мобильный телефон.
Еще один эффективный метод проверки транзакций в Интернете – это Card Verification Value (CVV) – 3-4-значный номер на обратной стороне кредитных карт VISA, MasterCard, Discover и American Express.
CVV защищает кредитные карты от кражи, мошенничества и несанкционированных операций. Это гарантирует, что картой будет пользоваться только ее владелец. Даже если кто-то завладеет номером карты, он не сможет совершать операции без CVV.
7. Используйте безопасные методы и провайдеров онлайн-платежей
Сторонние платежные процессоры, такие как Stripe, или универсальные платформы электронной коммерции, такие как Shopify, оптимизируют Ваш бизнес до такой степени, что Вам не придется беспокоиться о хранении и безопасности данных. Самое главное, Вы защищены от ответственности и рисков, связанных с мошенничеством в Интернете.
Интернет-магазины, работающие на надежных платформах сторонних производителей, по умолчанию соответствуют стандарту PCI и оснащены передовой инфраструктурой безопасности, что позволяет Вам не беспокоиться и сосредоточиться на развитии своего бизнеса.
8. Используйте службу проверки адресов
Служба проверки адреса (AVS) используется в платежах электронной коммерции для повышения безопасности и снижения риска мошеннических операций. AVS сверяет адрес для выставления счетов, указанный держателем карты во время транзакции, с адресом, находящимся в базе данных эмитента карты.
AVS помогает обнаружить потенциально мошеннические действия. Это будет тревожным сигналом, если транзакция проводится из другой страны, а не с указанного адреса выставления счета. Торговцы могут настроить свои платежные системы так, чтобы они автоматически отмечали или проверяли транзакции на основе полученных кодов ответа AVS.
Как и у любой другой системы, у AWS есть свои ограничения. Он может не учитывать вариации в форматах адресов или незначительные несоответствия, такие как опечатки или различия в сокращениях улиц. Кроме того, AVS не проверяет личность владельца карты или наличие средств на счете.
9. Следите за мошенничеством 24 часа в сутки 7 дней в неделю
Всегда лучше действовать на опережение, чем на реакцию, особенно когда на карту поставлена конфиденциальность клиентов. К счастью, множество инструментов и систем управления мошенничеством могут защитить Ваш бизнес. А если Вы добавите в это уравнение искусственный интеллект, то хакеры будут бессильны нарушить Вашу безопасность. Вот как Вы можете отслеживать и предотвращать мошенничество:
- Установите антивирусное программное обеспечение на все устройства, подключенные к Вашим платежным терминалам. Регулярно обновляйте свой сайт и программное обеспечение и используйте последние патчи безопасности.
- Просканируйте Вашу систему на предмет уязвимостей, чтобы обнаружить потенциальные лазейки, которыми могут воспользоваться злоумышленники, ведь их главная цель – заразить серверы платежных провайдеров вредоносным ПО, которое выуживает у пользователей данные о платежах в режиме реального времени. Сканирование уязвимостей необходимо для соответствия стандарту PCI, поэтому используйте поставщика сканирования, одобренного PCI, известного как ASV.
- Позвольте искусственному интеллекту и машинному обучению анализировать подозрительную активность, отслеживая поведение клиентов. Искусственный интеллект быстро становится неотъемлемой частью кибербезопасности, и он может сэкономить Вашему бизнесу кучу денег в долгосрочной перспективе.
10. Обучайте сотрудников
Осведомленность о кибербезопасности должна быть на повестке дня каждой интернет-компании. Культура безопасности – это лучшая “мягкая” защита от постоянных угроз, особенно когда 36% всех утечек данных происходят от внутренних субъектов. Чтобы предотвратить саботаж со стороны сотрудников-изгоев, ограничьте доступ к системе и разделите критически важные для безопасности рабочие нагрузки.
Сотрудники должны знать о Ваших протоколах безопасности и о том, что делать после утечки данных. По мнению Ассоциации передовых вычислительных систем (USENIX), компаниям следует проводить тренинги по кибербезопасности каждые четыре-шесть месяцев. Их исследование осведомленности о фишинге показало, что сотрудники склонны забывать полученные знания, поэтому, постоянно напоминая им об опасностях киберпреступности, Вы защищаете свой бизнес и клиентов.
11. Регулярно обновляйте и исправляйте системы
Поддержка всех программ и систем последними исправлениями безопасности очень важна для поддержания безопасной среды обработки онлайн-платежей. Киберпреступники часто используют уязвимости в устаревшем программном обеспечении для получения несанкционированного доступа или проведения атак.
Несколько громких случаев нарушения безопасности произошли из-за непропатченных систем. Например, взлом Equifax в 2017 году, в результате которого была раскрыта конфиденциальная личная информация миллионов людей, стал следствием того, что компания не исправила известную уязвимость. Аналогичным образом, в 2017 году вымогательское ПО WannaCry нацелилось на непропатченные системы, вызвав значительные сбои в работе и финансовые потери.
Эксперты по безопасности постоянно подчеркивают важность управления исправлениями. Лучшие практики, например, описанные Центром Интернет Безопасности (Center for Internet Security, CIS), подчеркивают необходимость проактивного подхода к исправлениям, включая установление регулярных циклов исправлений, использование автоматизированных инструментов управления исправлениями и проведение оценок уязвимостей для выявления и устранения слабых мест.
Заключительные мысли
Электронная коммерция становится основным вариантом покупок в нашем цифровом мире. Но с удобством покупки товаров, не выходя из дома, связаны и риски мошенничества. Каждый бизнес обязан защищать конфиденциальные данные покупателей и повышать осведомленность о кибербезопасности на рабочем месте. Мы показали Вам, как обеспечить безопасность онлайн-платежей, теперь Ваша очередь действовать проактивно и обезопасить свой онлайн-бизнес от финансовых и репутационных потерь.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10