Billederne skynder sig at komme med på disse tendenser og gøre digital regningsbetaling så let og friktionsfri som muligt. Men før de kommer for langt ad den vej, bør de erkende, at nye betalingstyper og kanaler tilføjer kompleksitet til betalingsleveringskæden og kræver yderligere fokus på leverandørstyring. Uden et tilsynsprogram kan virksomheden og deres kunder potentielt være i risiko for overdrevne afvisninger eller tvister, serviceafbrydelser, øgede transaktionsomkostninger og sikkerhedshændelser.
2022 Verizon Data Breach Investigations-rapport bemærkede, at ransomware-angreb alene steg med 13 % mellem 2020 og 2021 – et større spring end de seneste fem år tilsammen. Leverandører, partnere og tredjeparter i betalingsleveringskæden var ansvarlige for 62 % af systemindtrængningshændelser i 2021, hvilket kan repræsentere "større tendenser, som vi har set i branchen, hvad angår de indbyrdes forbundne risici, der eksisterer mellem leverandører, partnere og tredjeparter,” ifølge analytikerne.
Billederne kan ikke fravælge at tilbyde digitale betalingsmuligheder – kunderne har allerede gjort deres præferencer klare. De kan dog vælge en betalingsplatformspartner der udvider og integrerer digital regningsbetaling, samtidig med at risikoen detekteres og håndteres effektivt.
Lektioner, vi kan lære af Target
For at illustrere, hvor skadeligt et enkelt cyberangreb kan være, er det nyttigt at se på et af de mest synlige eksempler i nyere historie: 2013-målbrudet. Ifølge en analyse, var Target nødt til at investere 100 millioner dollars efter hændelsen for at forbedre sin betalingsinfrastruktur og yderligere 100 millioner dollars i udbetalinger til banker og kreditkortselskaber, der skulle refundere kunderne.
Men endnu mere katastrofal var rammen for dets omdømme og kundernes tillid. Virksomhedens "buzz-score", som måler mærkeopfattelse, faldt 45 point i løbet af ugen efter bruddet, og til gengæld faldt overskuddet 46% på et kvartal.
Din virksomhed er muligvis ikke en mega-detailhandler som Target, men denne oplevelse kan lære faktureringsudbydere, at cybersikkerhed altid er en "invester nu eller betal senere"-beregning. Invester i en sikker betalingsplatform nu, eller stå over for det økonomiske nedfald, når der opstår et sikkerhedsbrud.
Derudover kan en betalingsplatformsudbyder, der skærer hjørner, kompromittere netop den beskyttelse, du i øjeblikket har på plads for at sikre dig mod cybertab. For eksempel, i 2021 forårsagede stigende ransomware-tab omkostningerne til cyberforsikringspræmier til næsten dobbelt i 2021, og nogle forsikringsselskaber droppede dækningen helt for virksomheder, der ikke kunne påvise, at de og deres betalingsplatformudbyder har rimelig sikkerhedsbeskyttelse på plads. At investere på forhånd, herunder at vælge den rigtige betalingsplatformspartner, kræver indsats og omtanke, men det kan redde dig fra disse dyre konsekvenser i fremtiden.
Fire strategier til forebyggelse af cyberkriminalitet
Der er adskillige strategier til forebyggelse af cyberkriminalitet, men jeg vil kort dække fire, som din betalingsplatformsudbyder bør have på plads for at beskytte sig mod cyberangreb.
To-faktor og biometrisk autentificering
Kunder forventer i stigende grad at blive ydet beskyttelse som en del af betalingsoplevelsen. Og med rette. Et år langt studere af Google, New York University og UC San Diego fandt ud af, at den simple praksis med tofaktorautentificering ved hjælp af prompter på enheden var meget vellykket til at forhindre langt de fleste kontokapringe. At sende en besked direkte til den registrerede enhed og få det enkelte tryk på beskeden for at godkende forhindrede 100 % af automatiserede bots, 99 % af bulk-phishing-angreb og 90 % af målrettede angreb.
Endnu bedre er biometrisk autentificering, som er indbygget i digitale tegnebøger og nogle mobilbetalingstyper såsom Apple Pay og Google Pay. Kunder undgår helt at indtaste betalingsoplysninger, blot ved at bruge en ansigtsscanning eller fingeraftryk for at få adgang til deres konto.
Ja, godkendelse kan tilføje friktion til betalingsoplevelsen. Det er dog nødvendig friktion, at når den er tidsmæssigt passende, faktisk skaber en bedre oplevelse for kunderne. Det er vigtigt at konfigurere godkendelses "trust knus" tidligt i kundeforholdet med beskeder, der fortæller dem, at de er beskyttet mod svigagtige transaktioner. Forretningsregler kan derefter implementeres for at imødegå uregelmæssigheder, der rejser et rødt flag for potentiel svindel.
Betalingsudbyderen bør have en kundeengagementstrategi til at uddanne kunder og lette tofaktorautentificering for funktioner som f.eks. autopay-registrering. For indbygget biometrisk autentificering er det smart at arbejde med en platformsudbyder, der muliggør Apple Pay og Google Pay som betalingsmuligheder og genererer unikke faktureringsoplysninger, der er specifikke for hver betalers regning. Kunder sætter pris på, når autentificering er designet som en del af betalingsoplevelsen, fordi de forstår risikoen og den potentielle uretmæssig tilegnelse af deres data, samt det undgåelige besvær med at afhjælpe situationen.
Kryptering og tokenisering
Kryptering og tokenisering spiller forskellige roller i beskyttelsen af data, så begge bør udnyttes til at lette digitale betalinger. Tokenisering er erstatningen af følsomme data på kontoniveau med en unik krypteret værdi. Kryptering er den metode, hvorpå data konverteres til en "hemmelig værdi".
Ved at bruge dem sammen hjælper virksomheder med at opbygge tillid til kunderne ved at undgå skadelige databrud. Derudover hjælper disse sikkerhedsforanstaltninger din betalingsplatformsudbyder med at opfylde de lovmæssige overholdelseskrav, der er nødvendige for enhver virksomhed, der indsamler kredit- eller betalingskortoplysninger, hvilket gør dem nødvendige værktøjer i din betalingsplatformudbyders sikkerhedsværktøjsbælte.
Disse metoder beskytter følsomme betalingsdata mod at blive stjålet og løskøbt af cyberkriminelle. Endnu bedre, disse metoder fungerer som afskrækkende midler, da hackere har en tendens til at trække sig til ubeskyttede mål, der giver en stor gevinst med minimal indsats. Hvis de ikke nemt og hurtigt kan finde værdifuld information, vil de trække sig tilbage og søge andre steder.
Et risikobegrænsende team
Cyberkriminelle er både kreative og dygtige, så det er vigtigt at have et lige så formidabelt forsvar på sin side. Det betyder, at din betalingspartner beskæftiger et tværfunktionelt team af erfarne risiko-, compliance- og teknologiprofessionelle, som ved, hvordan man designer og opbygger et sikkert betalingsmiljø: en risikochef til at lede udviklingen af et skalerbart kontrolmiljø; en informationssikkerhedsofficer til at overvåge overvågningen af perimeteren, udføre løbende test og udføre sikkerhedsrevisioner; medarbejdere dedikeret til at reducere operationelle risici og implementere dynamiske sikkerhedsprotokoller efter behov; og en juridisk og compliance officer til at arbejde med regulatoriske agenturer, koordinere regulatoriske revisioner og sikre regulatorisk overholdelse.
Husk at designe risikobeskyttelse i et betalingsprodukt eller en betalingstjeneste er meget mere omkostningseffektivt end eftermontering, så kig efter en betalingsplatform med indbyggede kontroller, samt et talentfuldt team, der tilpasser dem til kundens behov .
Audits, certificeringer og sikkerhedsstandarder og tests
Med det stigende tempo i betalingstyper og -teknologier har nogle betalingsplatformsudbydere undladt at prioritere tid og ressourcer i interne og eksterne revisioner, sikkerhedstests og sikkerhedscertificeringsprocedurer. Disse tilsynsområder giver dog en effektiv tredje forsvarslinje – efter operationer og andenlinjefunktioner såsom risikostyring og compliance – for at sikre, at platformen er sund ud fra et "sikkerhedshygiejne" og regulatorisk perspektiv. Tredjelinje revisionsfunktioner holder betalingsplatformsudbydere skarpe, ansvarlige og giver sikkerhed til den øverste ledelse og bestyrelsesmedlemmer om, at de to første forsvarslinjer lever op til forventningerne.
Af den grund bør fakturaudstedere kun arbejde med en betalingsplatformudbyder, der har gennemgået omfattende privatlivs- og sikkerhedsvurderinger og certificeringer udført af kvalificerede tredjeparter. For at holde informationsaktiver sikre, bør en betalingsplatformsudbyder f.eks. have ISO/IEC 27001-certificeringen eller en tilsvarende sikkerhedsfokuseret certificering.
Platformen bør også være PCI-kompatibel og have processer på plads, der gør det muligt for fakturaudstederens kundesupportpersonale at opretholde overholdelse, når de interagerer med kunder vedrørende betaling.
Enhver overvejet betalingspartner bør følge NIST CSF, en cybersikkerhedsramme, der indeholder industristandarder og bedste praksis for at hjælpe organisationer med at forstå og reducere deres risiko.
Spørg endelig potentielle udbydere af betalingsplatforme, om de udfører regelmæssig sikkerhedstræning for deres personale – herunder sociale ingeniørrisici – og test deres systemer for at identificere sårbarheder. Du skal vide, at du har nogen indeni, der tænker som cyberkriminelle og tager forebyggende foranstaltninger i overensstemmelse hermed.
Sikring af hvert link til digitale regningsbetalinger
Dagens regningsbetalingsstak er mere kompleks end nogensinde med tilføjelsen af digitale fakturabetalingsmuligheder – digitale tegnebøger, scan-og-betal QR-koder, person-til-person betalingsapps og mere.
Du kan ikke kontrollere de kriminelle, men du kan styrke din betalingsforsyningskæde fra start til slut ved at arbejde med en sikkerhedsfokuseret betalingsplatformudbyder, der har indført beskyttelser, såsom to-faktor-verifikation; kryptering og tokenisering; et risikostyrings- og overholdelsesteam; og professionelle tredjepartsaudits, sikkerhedstests og certificeringer.
Udviklingen af mobilregningsbetaling er i fuld gang. Nu skal betalingsprofessionelle arbejde sammen for at være et skridt foran dem, der arbejder på at udnytte det.