Los emisores de facturas se apresuran a incorporarse a estas tendencias y hacer que el pago de facturas digital sea lo más fácil y sencillo posible. Pero antes de avanzar demasiado en ese camino, deben reconocer que los nuevos tipos y canales de pago agregan complejidad a la cadena de entrega de pagos y requieren un enfoque adicional en la gestión de proveedores. Sin un programa de supervisión, la empresa y sus clientes podrían estar potencialmente en riesgo de rechazos o disputas excesivas, interrupciones del servicio, mayores costos de transacción e incidentes de seguridad.
El Informe de investigaciones de violación de datos de Verizon de 2022 señaló que los ataques de ransomware por sí solos aumentaron un 13 % entre 2020 y 2021, un salto mayor que los últimos cinco años combinados. Los proveedores, socios y terceros en la cadena de entrega de pagos fueron responsables del 62 % de los incidentes de intrusión en el sistema en 2021, lo que puede representar “tendencias más grandes que hemos estado viendo en la industria, en términos de los riesgos interconectados que existen entre los proveedores, socios y terceros”, según los analistas.
Los emisores de facturas no pueden optar por no ofrecer opciones de pago digital: los clientes ya han dejado claras sus preferencias. Sin embargo, pueden elegir un socio de la plataforma de pagos que expande e integra el pago digital de facturas, mientras detecta y gestiona el riesgo de manera efectiva.
Lecciones que podemos aprender de Target
Para ilustrar cuán dañino puede ser un solo ataque cibernético, es útil observar uno de los ejemplos más visibles en la historia reciente: la violación de Target en 2013. Según uno análisis, Target tuvo que invertir $100 millones después del incidente para mejorar su infraestructura de pagos y otros $100 millones más en pagos a bancos y compañías de tarjetas de crédito que tenían que reembolsar a los clientes.
Pero aún más catastrófico fue el golpe a su reputación y confianza del cliente. El “buzz score” de la empresa, que mide la percepción de la marca, cayó 45 puntos durante la semana posterior a la filtración y, a su vez, las ganancias cayeron un 46 % en un trimestre.
Es posible que su empresa no sea un mega minorista como Target, pero esta experiencia puede enseñar a los emisores de facturas que la ciberseguridad es siempre un cálculo de "invierta ahora o pague después". Invierta en una plataforma de pagos segura ahora o enfrente las consecuencias financieras cuando ocurra una brecha de seguridad.
Además, un proveedor de plataforma de pagos que toma atajos puede comprometer las mismas protecciones que tiene actualmente para protegerse contra pérdidas cibernéticas. Por ejemplo, en 2021, las crecientes pérdidas de ransomware hicieron que el costo de las primas de seguros cibernéticos aumentara. casi el doble en 2021, y algunas aseguradoras abandonaron la cobertura por completo para las empresas que no pudieron demostrar que ellas y su proveedor de plataforma de pagos tenían protecciones de seguridad razonables. Invertir por adelantado, incluida la selección del socio de plataforma de pagos adecuado, requiere esfuerzo y previsión, pero podría salvarlo de estas costosas repercusiones en el futuro.
Cuatro estrategias de prevención del delito cibernético
Existen numerosas estrategias de prevención del delito cibernético, pero cubriré brevemente cuatro que su proveedor de plataforma de pagos debería tener para protegerse contra los ataques cibernéticos.
Autenticación de dos factores y biométrica
Los clientes esperan cada vez más que se les brinde protección como parte de la experiencia de pago. Y con razón. un año estudio por Google, la Universidad de Nueva York y UC San Diego descubrió que la práctica simple de la autenticación de dos factores mediante avisos en el dispositivo tuvo un gran éxito en la prevención de la gran mayoría de los secuestros de cuentas. Enviar un mensaje directamente al dispositivo registrado y hacer que la persona toque el mensaje para autenticarse evitó el 100 % de los bots automatizados, el 99 % de los ataques masivos de phishing y el 90 % de los ataques dirigidos.
Aún mejor es la autenticación biométrica, que está integrada en las billeteras digitales y en algunos tipos de pagos móviles, como Apple Pay y Google Pay. Los clientes evitan ingresar la información de pago por completo, simplemente usan un escaneo facial o una huella digital para acceder a su cuenta.
Sí, la autenticación puede agregar fricciones a la experiencia de pago. Sin embargo, es una fricción necesaria que, cuando se programa adecuadamente, crea una mejor experiencia para los clientes. Es esencial configurar la autenticación "abrazo de confianza" al principio de la relación con el cliente con mensajes que les permitan saber que están protegidos contra transacciones fraudulentas. Luego se pueden implementar reglas comerciales para abordar las anomalías que levantan una bandera roja para un posible fraude.
El proveedor de pagos debe tener una estrategia de participación del cliente para educar a los clientes y facilitar la autenticación de dos factores para funciones como el registro de pago automático. Para la autenticación biométrica integrada, es inteligente trabajar con un proveedor de plataforma que permita Apple Pay y Google Pay como opciones de pago y genera credenciales únicas de facturador específicas para la factura de cada pagador. Los clientes aprecian que la autenticación se diseñe como parte de la experiencia de pago porque entienden el riesgo y la posible apropiación indebida de sus datos, así como la molestia evitable de remediar la situación.
Cifrado y tokenización
El cifrado y la tokenización juegan diferentes roles en la protección de datos, por lo que ambos deben aprovecharse para facilitar los pagos digitales. La tokenización es el reemplazo de datos confidenciales a nivel de cuenta con un valor cifrado único. El cifrado es el método en el que los datos se convierten en un "valor secreto".
Usarlos juntos ayuda a las empresas a generar confianza con los clientes al evitar filtraciones de datos dañinas. Además, estas medidas de seguridad ayudan a su proveedor de plataforma de pagos a cumplir con los requisitos de cumplimiento normativo necesarios para cualquier empresa que recopile información de tarjetas de crédito o débito, lo que las convierte en herramientas imprescindibles en el cinturón de herramientas de seguridad de su proveedor de plataforma de pagos.
Estos métodos protegen los datos de pago confidenciales para que no sean robados ni rescatados por los ciberdelincuentes. Aún mejor, estos métodos actúan como disuasivos, ya que los piratas tienden a gravitar hacia objetivos desprotegidos que ofrecen una gran recompensa con el mínimo esfuerzo. Si no pueden encontrar información valiosa fácil y rápidamente, se retirarán y buscarán en otra parte.
Un equipo de mitigación de riesgos
Los ciberdelincuentes son tanto creativos como hábiles, por lo que es importante contar con una defensa igualmente formidable de su lado. Eso significa que su socio de pagos emplea un equipo multifuncional de profesionales experimentados en riesgo, cumplimiento y tecnología que saben cómo diseñar y construir un entorno de pagos seguro: un jefe de riesgo para liderar el desarrollo de un entorno de control escalable; un oficial de seguridad de la información para supervisar el monitoreo del perímetro, realizar pruebas continuas y realizar auditorías de seguridad; miembros del personal dedicados a reducir el riesgo operativo e implementar protocolos de seguridad dinámicos según sea necesario; y un oficial legal y de cumplimiento para trabajar con agencias reguladoras, coordinar auditorías regulatorias y garantizar el cumplimiento normativo.
Tenga en cuenta que diseñar protecciones contra riesgos en un producto o servicio de pago es mucho más rentable que adaptarlo después del hecho, así que busque una plataforma de pagos con controles integrados, así como un equipo talentoso que los adapte a las necesidades del cliente. .
Auditorías, Certificaciones y Normas y Pruebas de Seguridad
Con el ritmo cada vez más intenso de los tipos y tecnologías de pago, algunos proveedores de plataformas de pago no han logrado priorizar el tiempo y los recursos en las auditorías internas y externas, las pruebas de seguridad y los procedimientos de certificación de seguridad. Sin embargo, esas áreas de supervisión brindan una tercera línea de defensa efectiva, después de las operaciones y funciones de segunda línea, como la gestión de riesgos y el cumplimiento, para garantizar que la plataforma sea sólida desde una perspectiva regulatoria y de "higiene de seguridad". Las funciones de auditoría de tercera línea mantienen a los proveedores de plataformas de pagos informados, responsables y brindan garantías a la alta gerencia y a los miembros de la junta de que las dos primeras líneas de defensa están cumpliendo con las expectativas.
Por esa razón, los emisores de facturas solo deben trabajar con un proveedor de plataforma de pagos que se haya sometido a evaluaciones y certificaciones integrales de privacidad y seguridad realizadas por terceros calificados. Por ejemplo, para mantener seguros los activos de información, un proveedor de plataforma de pago debe tener la certificación ISO/IEC 27001 o una certificación equivalente centrada en la seguridad.
La plataforma también debe cumplir con PCI y tener procesos establecidos para permitir que el personal de atención al cliente del facturador mantenga el cumplimiento cuando interactúa con los clientes con respecto al pago.
Cada socio de pagos bajo consideración debe seguir NIST CSF, un marco de seguridad cibernética que contiene estándares de la industria y mejores prácticas para ayudar a las organizaciones a comprender y reducir su riesgo.
Por último, pregunte a los posibles proveedores de plataformas de pagos si realizan capacitaciones periódicas sobre seguridad para su personal, incluidos los riesgos de ingeniería social, y prueban sus sistemas para identificar vulnerabilidades. Debe saber que tiene a alguien adentro pensando como ciberdelincuentes y tomando las medidas preventivas correspondientes.
Protección de todos los enlaces para pagos de facturas digitales
La pila de pago de facturas actual es más compleja que nunca con la adición de opciones de pago de facturas digitales: billeteras digitales, códigos QR para escanear y pagar, aplicaciones de pago de persona a persona y más.
No puede controlar a los delincuentes, pero puede fortalecer su cadena de suministro de pagos, de principio a fin, trabajando con un proveedor de plataforma de pagos centrado en la seguridad que haya implementado protecciones, como la verificación de dos factores; cifrado y tokenización; un equipo de gestión de riesgos y cumplimiento; y auditorías profesionales de terceros, pruebas de seguridad y certificaciones.
La evolución del pago de facturas móviles está en pleno apogeo. Ahora, los profesionales de pagos deben trabajar juntos para estar un paso por delante de quienes trabajan para explotarlo.