Οι χρεωστές σπεύδουν να ακολουθήσουν αυτές τις τάσεις και να κάνουν την ψηφιακή πληρωμή λογαριασμών όσο το δυνατόν πιο εύκολη και χωρίς τριβές. Ωστόσο, προτού προχωρήσουν πολύ σε αυτό το μονοπάτι, θα πρέπει να αναγνωρίσουν ότι οι νέοι τύποι πληρωμών και τα κανάλια προσθέτουν πολυπλοκότητα στην αλυσίδα παράδοσης πληρωμών και απαιτούν πρόσθετη εστίαση στη διαχείριση προμηθευτών. Χωρίς ένα πρόγραμμα επίβλεψης, η επιχείρηση και οι πελάτες τους θα μπορούσαν ενδεχομένως να κινδυνεύουν από υπερβολικές απορρίψεις ή διαφωνίες, διακοπές υπηρεσιών, αυξημένο κόστος συναλλαγής και συμβάντα ασφαλείας.
Η Αναφορά διερεύνησης παραβίασης δεδομένων της Verizon 2022 σημείωσε ότι μόνο οι επιθέσεις ransomware αυξήθηκαν κατά 13% μεταξύ 2020 και 2021—ένα μεγαλύτερο άλμα από ό,τι τα τελευταία πέντε χρόνια μαζί. Πωλητές, συνεργάτες και τρίτα μέρη στην αλυσίδα παράδοσης πληρωμών ήταν υπεύθυνοι για το 62% των περιστατικών εισβολής στο σύστημα το 2021, το οποίο μπορεί να αντιπροσωπεύει «μεγαλύτερες τάσεις που έχουμε δει στον κλάδο, όσον αφορά τους διασυνδεδεμένους κινδύνους που υπάρχουν μεταξύ των πωλητές, συνεργάτες και τρίτα μέρη», σύμφωνα με τους αναλυτές.
Οι χρεώστες δεν μπορούν να εξαιρεθούν από την προσφορά ψηφιακών επιλογών πληρωμής—οι πελάτες έχουν ήδη ξεκαθαρίσει τις προτιμήσεις τους. Ωστόσο, μπορούν να επιλέξουν α συνεργάτης πλατφόρμας πληρωμών που επεκτείνει και ενσωματώνει την ψηφιακή πληρωμή λογαριασμών, ενώ εντοπίζει και διαχειρίζεται αποτελεσματικά τον κίνδυνο.
Μαθήματα που μπορούμε να μάθουμε από τον στόχο
Για να δείξουμε πόσο επιζήμια μπορεί να είναι μια μεμονωμένη κυβερνοεπίθεση, είναι χρήσιμο να δούμε ένα από τα πιο ορατά παραδείγματα στην πρόσφατη ιστορία: την παραβίαση του στόχου το 2013. Σύμφωνα με έναν ανάλυση, η Target έπρεπε να επενδύσει 100 εκατομμύρια δολάρια μετά το περιστατικό για να βελτιώσει την υποδομή πληρωμών της και άλλα 100 εκατομμύρια δολάρια επιπλέον σε πληρωμές σε τράπεζες και εταιρείες πιστωτικών καρτών που έπρεπε να αποζημιώσουν τους πελάτες.
Αλλά ακόμη πιο καταστροφικό ήταν το χτύπημα στη φήμη και την εμπιστοσύνη των πελατών της. Το «buzz score» της εταιρείας, το οποίο μετρά την αντίληψη της επωνυμίας, έπεσε 45 μονάδες κατά τη διάρκεια της εβδομάδας μετά την παραβίαση και, με τη σειρά της, τα κέρδη μειώθηκαν κατά 46% σε ένα τρίμηνο.
Η εταιρεία σας μπορεί να μην είναι ένας μεγάλος λιανοπωλητής όπως το Target, ωστόσο αυτή η εμπειρία μπορεί να διδάξει στους χρεώστες ότι η κυβερνοασφάλεια είναι πάντα ένας υπολογισμός «επενδύστε τώρα ή πληρώστε αργότερα». Επενδύστε σε μια ασφαλή πλατφόρμα πληρωμών τώρα ή αντιμετωπίστε τις οικονομικές επιπτώσεις όταν συμβεί μια παραβίαση ασφάλειας.
Επιπλέον, ένας πάροχος πλατφόρμας πληρωμών που περιορίζει τις γωνίες μπορεί να θέσει σε κίνδυνο τις ίδιες τις ασφάλειες που διαθέτετε αυτήν τη στιγμή για να αντισταθμίσετε τις απώλειες στον κυβερνοχώρο. Για παράδειγμα, το 2021, οι αυξανόμενες απώλειες ransomware προκάλεσαν το κόστος των ασφαλίστρων στον κυβερνοχώρο σε σχεδόν διπλάσιο το 2021, και ορισμένες ασφαλιστικές εταιρείες διέκοψαν εντελώς την κάλυψη για εταιρείες που δεν μπορούσαν να αποδείξουν ότι αυτές και ο πάροχος της πλατφόρμας πληρωμών τους διαθέτουν εύλογες προστασίες ασφαλείας. Η αρχική επένδυση, συμπεριλαμβανομένης της επιλογής του σωστού συνεργάτη πλατφόρμας πληρωμών, απαιτεί προσπάθεια και προνοητικότητα, αλλά θα μπορούσε να σας σώσει από αυτές τις δαπανηρές επιπτώσεις στο μέλλον.
Τέσσερις στρατηγικές πρόληψης του εγκλήματος στον κυβερνοχώρο
Υπάρχουν πολυάριθμες στρατηγικές πρόληψης του εγκλήματος στον κυβερνοχώρο, αλλά θα καλύψω εν συντομία τέσσερις που θα πρέπει να διαθέτει ο πάροχος της πλατφόρμας πληρωμών σας για την προστασία από επιθέσεις στον κυβερνοχώρο.
Έλεγχος δύο παραγόντων και βιομετρικός έλεγχος ταυτότητας
Οι πελάτες αναμένουν όλο και περισσότερο να τους παρέχεται προστασία ως μέρος της εμπειρίας πληρωμών. Και, δικαίως. Ένα χρόνο μελέτη από την Google, το Πανεπιστήμιο της Νέας Υόρκης και το UC San Diego διαπίστωσαν ότι η απλή πρακτική του ελέγχου ταυτότητας δύο παραγόντων με χρήση προτροπών στη συσκευή ήταν εξαιρετικά επιτυχημένη στην αποτροπή της συντριπτικής πλειονότητας των παραβιάσεων λογαριασμών. Η αποστολή ενός μηνύματος απευθείας στη συσκευή στο αρχείο και το πάτημα του ατόμου στο μήνυμα για έλεγχο ταυτότητας απέτρεψε το 100% των αυτοματοποιημένων ρομπότ, το 99% των μαζικών επιθέσεων phishing και το 90% των στοχευμένων επιθέσεων.
Ακόμα καλύτερος είναι ο βιομετρικός έλεγχος ταυτότητας, ο οποίος είναι ενσωματωμένος σε ψηφιακά πορτοφόλια και σε ορισμένους τύπους πληρωμών μέσω κινητού τηλεφώνου, όπως το Apple Pay και το Google Pay. Οι πελάτες αποφεύγουν να εισάγουν εντελώς στοιχεία πληρωμής, χρησιμοποιώντας απλώς μια σάρωση προσώπου ή δακτυλικό αποτύπωμα για να αποκτήσουν πρόσβαση στον λογαριασμό τους.
Ναι, ο έλεγχος ταυτότητας μπορεί να προσθέσει τριβή στην εμπειρία πληρωμών. Ωστόσο, είναι απαραίτητη η τριβή που όταν χρονομετρηθεί σωστά δημιουργεί στην πραγματικότητα μια καλύτερη εμπειρία για τους πελάτες. Η διαμόρφωση της «αγκαλιάς εμπιστοσύνης» ελέγχου ταυτότητας νωρίς στη σχέση των πελατών με τα μηνύματα που τους ενημερώνει ότι προστατεύονται από δόλιες συναλλαγές είναι απαραίτητη. Οι επιχειρηματικοί κανόνες μπορούν στη συνέχεια να εφαρμοστούν για την αντιμετώπιση ανωμαλιών που σηκώνουν κόκκινο σημάδι για πιθανή απάτη.
Ο πάροχος πληρωμών θα πρέπει να έχει μια στρατηγική αφοσίωσης πελατών για την εκπαίδευση των πελατών και τη διευκόλυνση του ελέγχου ταυτότητας δύο παραγόντων για λειτουργίες όπως η εγγραφή αυτόματης πληρωμής. Για ενσωματωμένο βιομετρικό έλεγχο ταυτότητας, είναι έξυπνο να συνεργάζεστε με έναν πάροχο πλατφόρμας που επιτρέπει Apple Pay και Google Pay ως επιλογές πληρωμής και δημιουργεί μοναδικά διαπιστευτήρια χρεωστών ειδικά για τον λογαριασμό κάθε πληρωτή. Οι πελάτες εκτιμούν όταν ο έλεγχος ταυτότητας σχεδιάζεται ως μέρος της εμπειρίας πληρωμών, επειδή κατανοούν τον κίνδυνο και την πιθανή κατάχρηση των δεδομένων τους, καθώς και την ταλαιπωρία που μπορεί να αποφευχθεί για την αποκατάσταση της κατάστασης.
Κρυπτογράφηση και Tokenization
Η κρυπτογράφηση και το tokenization διαδραματίζουν διαφορετικούς ρόλους στην προστασία των δεδομένων, επομένως και τα δύο θα πρέπει να αξιοποιηθούν για τη διευκόλυνση των ψηφιακών πληρωμών. Tokenization είναι η αντικατάσταση ευαίσθητων δεδομένων σε επίπεδο λογαριασμού με μια μοναδική κρυπτογραφημένη τιμή. Η κρυπτογράφηση είναι η μέθοδος με την οποία τα δεδομένα μετατρέπονται σε «μυστική τιμή».
Η χρήση τους από κοινού βοηθά τις εταιρείες να οικοδομήσουν εμπιστοσύνη με τους πελάτες αποφεύγοντας επιζήμιες παραβιάσεις δεδομένων. Επιπλέον, αυτά τα μέτρα ασφαλείας βοηθούν τον πάροχο της πλατφόρμας πληρωμών σας να πληροί τις απαιτήσεις συμμόρφωσης με τους κανονισμούς που είναι απαραίτητες για οποιαδήποτε επιχείρηση συλλέγει πληροφορίες πιστωτικών ή χρεωστικών καρτών, γεγονός που τις καθιστά απαραίτητα εργαλεία στη ζώνη εργαλείων ασφαλείας του παρόχου της πλατφόρμας πληρωμών σας.
Αυτές οι μέθοδοι προστατεύουν ευαίσθητα δεδομένα πληρωμών από την κλοπή και την εξαγορά από εγκληματίες στον κυβερνοχώρο. Ακόμη καλύτερα, αυτές οι μέθοδοι λειτουργούν αποτρεπτικά, καθώς οι χάκερ τείνουν να έλκονται σε απροστάτευτους στόχους που προσφέρουν μεγάλη ανταμοιβή με ελάχιστη προσπάθεια. Αν δεν μπορούν εύκολα και γρήγορα να βρουν πολύτιμες πληροφορίες, θα αποσυρθούν και θα ψάξουν αλλού.
Ομάδα Μετριασμού Κινδύνου
Οι εγκληματίες του κυβερνοχώρου είναι και δημιουργικοί και ικανοί, επομένως είναι σημαντικό να έχετε μια εξίσου τρομερή άμυνα στο πλευρό σας. Αυτό σημαίνει ότι ο συνεργάτης πληρωμών σας απασχολεί μια διαλειτουργική ομάδα έμπειρων επαγγελματιών κινδύνου, συμμόρφωσης και τεχνολογίας που ξέρουν πώς να σχεδιάζουν και να δημιουργούν ένα ασφαλές περιβάλλον πληρωμών: επικεφαλής κινδύνου για να ηγηθεί της ανάπτυξης ενός επεκτάσιμου περιβάλλοντος ελέγχου. ένας υπεύθυνος ασφάλειας πληροφοριών για να επιβλέπει την παρακολούθηση της περιμέτρου, να διεξάγει συνεχείς δοκιμές και να πραγματοποιεί ελέγχους ασφαλείας· μέλη του προσωπικού που είναι αφοσιωμένα στη μείωση του λειτουργικού κινδύνου και στην εφαρμογή δυναμικών πρωτοκόλλων ασφαλείας, όπως απαιτείται· και έναν υπεύθυνο νομικού και συμμόρφωσης για να συνεργαστεί με ρυθμιστικούς φορείς, να συντονίσει τους ρυθμιστικούς ελέγχους και να διασφαλίσει τη συμμόρφωση με τους κανονισμούς.
Λάβετε υπόψη ότι ο σχεδιασμός προστασίας κινδύνου σε ένα προϊόν ή μια υπηρεσία πληρωμών είναι πολύ πιο αποδοτικός από την εκ των υστέρων τοποθέτηση, επομένως αναζητήστε μια πλατφόρμα πληρωμών με ενσωματωμένα χειριστήρια, καθώς και μια ταλαντούχα ομάδα που τις προσαρμόζει στις ανάγκες των πελατών .
Έλεγχοι, Πιστοποιήσεις και Πρότυπα και Δοκιμές Ασφαλείας
Με τον εντεινόμενο ρυθμό των τύπων και τεχνολογιών πληρωμών, ορισμένοι πάροχοι πλατφορμών πληρωμών απέτυχαν να δώσουν προτεραιότητα σε χρόνο και πόρους σε εσωτερικούς και εξωτερικούς ελέγχους, δοκιμές ασφαλείας και διαδικασίες πιστοποίησης ασφαλείας. Ωστόσο, αυτοί οι τομείς εποπτείας παρέχουν μια αποτελεσματική τρίτη γραμμή άμυνας —μετά από επιχειρήσεις και λειτουργίες δεύτερης γραμμής, όπως η διαχείριση κινδύνου και η συμμόρφωση— για να διασφαλιστεί ότι η πλατφόρμα είναι υγιής από την άποψη της «υγιεινής ασφάλειας» και από κανονιστική άποψη. Οι λειτουργίες ελέγχου τρίτης γραμμής διατηρούν τους παρόχους πλατφορμών πληρωμών ευκρινείς, υπεύθυνους και παρέχουν διαβεβαίωση στα ανώτερα στελέχη και τα μέλη του διοικητικού συμβουλίου ότι οι δύο πρώτες γραμμές άμυνας ανταποκρίνονται στις προσδοκίες.
Για αυτόν τον λόγο, οι χρεώστες θα πρέπει να συνεργάζονται μόνο με πάροχο πλατφόρμας πληρωμών που έχει υποβληθεί σε εκτενείς αξιολογήσεις απορρήτου και ασφάλειας και πιστοποιήσεις που έχουν εκτελεστεί από τρίτα μέρη που διαθέτουν τα κατάλληλα προσόντα. Για παράδειγμα, για να διατηρούνται ασφαλή τα στοιχεία ενεργητικού, ένας πάροχος πλατφόρμας πληρωμών θα πρέπει να διαθέτει την πιστοποίηση ISO/IEC 27001 ή μια αντίστοιχη πιστοποίηση εστιασμένη στην ασφάλεια.
Η πλατφόρμα θα πρέπει επίσης να είναι συμβατή με το PCI και να διαθέτει διαδικασίες που θα επιτρέπουν στο προσωπικό υποστήριξης πελατών του χρεώστη να διατηρήσει τη συμμόρφωση κατά την αλληλεπίδραση με τους πελάτες σχετικά με την πληρωμή.
Κάθε συνεργάτης πληρωμών που εξετάζεται θα πρέπει να ακολουθεί το NIST CSF, ένα πλαίσιο ασφάλειας στον κυβερνοχώρο που περιέχει βιομηχανικά πρότυπα και βέλτιστες πρακτικές για να βοηθήσει τους οργανισμούς να κατανοήσουν και να μειώσουν τον κίνδυνο.
Τέλος, ρωτήστε τους υποψήφιους παρόχους πλατφορμών πληρωμών εάν πραγματοποιούν τακτική εκπαίδευση σε θέματα ασφάλειας για το προσωπικό τους—συμπεριλαμβανομένων των κινδύνων κοινωνικής μηχανικής—και δοκιμάζουν τα συστήματά τους για τον εντοπισμό τρωτών σημείων. Πρέπει να ξέρετε ότι έχετε κάποιον από μέσα που σκέφτεται σαν εγκληματίες του κυβερνοχώρου και λαμβάνει αναλόγως προληπτικά μέτρα.
Εξασφάλιση κάθε συνδέσμου για ψηφιακές πληρωμές λογαριασμών
Η σημερινή στοίβα πληρωμής λογαριασμών είναι πιο περίπλοκη από ποτέ με την προσθήκη ψηφιακών επιλογών πληρωμής λογαριασμών—ψηφιακά πορτοφόλια, σάρωση και πληρωμή κωδικών QR, εφαρμογές πληρωμής από άτομο σε άτομο και πολλά άλλα.
Δεν μπορείτε να ελέγξετε τους εγκληματίες, αλλά μπορείτε να ενισχύσετε την αλυσίδα εφοδιασμού πληρωμών σας, από την αρχή μέχρι το τέλος, συνεργαζόμενοι με έναν πάροχο πλατφόρμας πληρωμών με επίκεντρο την ασφάλεια που έχει θέσει σε εφαρμογή μέτρα προστασίας, όπως η επαλήθευση δύο παραγόντων. κρυπτογράφηση και tokenization· μια ομάδα διαχείρισης κινδύνου και συμμόρφωσης· και επαγγελματικούς ελέγχους τρίτων, δοκιμές ασφαλείας και πιστοποιήσεις.
Η εξέλιξη της πληρωμής λογαριασμών μέσω κινητού είναι σε πλήρη εξέλιξη. Τώρα οι επαγγελματίες πληρωμών πρέπει να συνεργαστούν για να παραμείνουν ένα βήμα μπροστά από αυτούς που εργάζονται για να το εκμεταλλευτούν.