صورتحساب ها عجله دارند تا با این روندها کنار بیایند و پرداخت قبض دیجیتال را تا حد امکان آسان و بدون اصطکاک انجام دهند. اما قبل از اینکه در این مسیر خیلی پیش بروند، باید بدانند که انواع و کانال های پرداخت جدید به زنجیره تحویل پرداخت پیچیدگی می بخشد و نیاز به تمرکز بیشتر بر مدیریت فروشنده دارد. بدون برنامه نظارتی، کسب و کار و مشتریان آنها به طور بالقوه در معرض خطر کاهش یا اختلافات بیش از حد، وقفه در خدمات، افزایش هزینه تراکنش و حوادث امنیتی هستند.
La گزارش 2022 بررسی نقض داده های Verizon اشاره کرد که حملات باجافزاری به تنهایی بین سالهای 13 تا 2020 2021 درصد افزایش یافته است که جهشی بزرگتر از مجموع پنج سال گذشته است. فروشندگان، شرکا و اشخاص ثالث در زنجیره تحویل پرداخت، مسئول 62 درصد از رخدادهای نفوذ به سیستم در سال 2021 بودند، که ممکن است نمایانگر روندهای بزرگتری باشد که ما در صنعت مشاهده کرده ایم، از نظر خطرات به هم پیوسته ای که بین آن ها وجود دارد. به گفته تحلیلگران، فروشندگان، شرکا و اشخاص ثالث.
صورتحسابها نمیتوانند از ارائه گزینههای پرداخت دیجیتال انصراف دهند—مشتریان قبلاً ترجیحات خود را روشن کردهاند. با این حال، آنها می توانند یک را انتخاب کنند شریک پلت فرم پرداخت که پرداخت قبض دیجیتال را گسترش و یکپارچه می کند، در حالی که به طور موثر ریسک را شناسایی و مدیریت می کند.
درس هایی که می توانیم از هدف بیاموزیم
برای نشان دادن اینکه یک حمله سایبری منفرد چقدر می تواند آسیب زا باشد، نگاهی به یکی از نمونه های قابل مشاهده در تاریخ اخیر مفید است: نقض هدف در سال 2013. طبق یکی تحلیل، تارگت پس از این حادثه مجبور شد 100 میلیون دلار سرمایه گذاری کند تا زیرساخت های پرداخت خود را بهبود بخشد و 100 میلیون دلار دیگر نیز در پرداخت به بانک ها و شرکت های کارت اعتباری که باید به مشتریان بازپرداخت می کردند.
اما فاجعه بارتر به شهرت و اعتماد مشتری ضربه زد. «امتیاز buzz» این شرکت که ادراک برند را اندازهگیری میکند، در طول هفته پس از نقض 45 امتیاز کاهش یافت و به نوبه خود، سود در یک فصل 46 درصد کاهش یافت.
شرکت شما ممکن است مانند Target یک خردهفروش بزرگ نباشد، اما این تجربه میتواند به صورتحسابها بیاموزد که امنیت سایبری همیشه یک محاسبه «سرمایهگذاری اکنون یا پرداخت بعد» است. اکنون در یک پلتفرم پرداخت امن سرمایه گذاری کنید، یا در صورت وقوع یک نقض امنیتی با پیامدهای مالی روبرو شوید.
علاوه بر این، یک ارائهدهنده پلتفرم پرداخت که گوشهها را کاهش میدهد، ممکن است محافظتهایی را که در حال حاضر برای محافظت در برابر ضررهای سایبری دارید به خطر بیاندازد. به عنوان مثال، در سال 2021، خسارات فزاینده باج افزار باعث شد هزینه حق بیمه سایبری کاهش یابد. نزدیک به دو برابر در سال 2021، و برخی از بیمهگران پوشش شرکتهایی را که نمیتوانستند نشان دهند خود و ارائهدهنده پلتفرم پرداختشان از حفاظتهای امنیتی معقولی برخوردار هستند، به طور کامل حذف کردند. سرمایهگذاری اولیه، از جمله انتخاب شریک پلتفرم پرداخت مناسب، نیازمند تلاش و تفکر است، اما میتواند شما را از این عواقب پرهزینه در آینده نجات دهد.
چهار راهبرد پیشگیری از جرایم سایبری
استراتژی های متعددی برای پیشگیری از جرایم سایبری وجود دارد، اما من به طور خلاصه به چهار موردی که ارائه دهنده پلتفرم پرداخت شما باید برای محافظت در برابر حملات سایبری داشته باشد، اشاره می کنم.
احراز هویت دو عاملی و بیومتریک
مشتریان به طور فزاینده ای انتظار دارند که به عنوان بخشی از تجربه پرداخت از آنها محافظت شود. و، به درستی. یک ساله مطالعه توسط گوگل، دانشگاه نیویورک و UC San Diego دریافتند که روش ساده احراز هویت دو مرحلهای با استفاده از اعلانهای روی دستگاه در جلوگیری از اکثریت قریب به اتفاق سرقتهای حساب بسیار موفق بود. ارسال مستقیم پیام به دستگاه موجود در فایل و ضربه زدن فرد روی پیام برای احراز هویت، از 100 درصد ربات های خودکار، 99 درصد از حملات فیشینگ انبوه و 90 درصد از حملات هدفمند جلوگیری می کند.
حتی بهتر از آن، احراز هویت بیومتریک است که در کیف پول های دیجیتال و برخی از انواع پرداخت موبایلی مانند Apple Pay و Google Pay تعبیه شده است. مشتریان بهکلی از وارد کردن اطلاعات پرداخت خودداری میکنند و به سادگی از اسکن صورت یا اثر انگشت برای دسترسی به حساب خود استفاده میکنند.
بله، احراز هویت می تواند اصطکاک را به تجربه پرداخت اضافه کند. با این حال، اصطکاک ضروری است که زمانی که به طور مناسب زمان بندی شود، در واقع تجربه بهتری برای مشتریان ایجاد کند. پیکربندی "آغوش اعتماد" احراز هویت در اوایل ارتباط مشتری با پیامرسانی که به آنها اجازه میدهد بدانند در برابر تراکنشهای جعلی محافظت میشوند، ضروری است. سپس قوانین کسب و کار را می توان برای رسیدگی به ناهنجاری هایی که پرچم قرمز را برای کلاهبرداری احتمالی بالا می برد، اجرا کرد.
ارائهدهنده پرداخت باید یک استراتژی تعامل با مشتری برای آموزش مشتریان و تسهیل احراز هویت دو مرحلهای برای عملکردهایی مانند ثبت پرداخت خودکار داشته باشد. برای احراز هویت بیومتریک داخلی، کار با ارائهدهنده پلتفرمی که این امکان را فراهم میکند، هوشمندانه است. Apple Pay و Google Pay به عنوان گزینه های پرداخت و ایجاد اعتبار منحصر به فرد صورتحساب خاص برای صورتحساب هر پرداخت کننده. مشتریان از زمانی که احراز هویت به عنوان بخشی از تجربه پرداخت طراحی میشود، قدردانی میکنند، زیرا آنها خطر و سوء استفاده احتمالی دادههای خود و همچنین دردسرهای قابل اجتناب برای اصلاح وضعیت را درک میکنند.
رمزگذاری و رمزگذاری
رمزگذاری و توکنسازی نقشهای متفاوتی در حفاظت از دادهها ایفا میکنند، بنابراین هر دو باید برای تسهیل پرداختهای دیجیتال مورد استفاده قرار گیرند. توکن سازی جایگزینی داده های حساس در سطح حساب با یک مقدار رمزگذاری شده منحصر به فرد است. رمزگذاری روشی است که در آن داده ها به یک "مقدار مخفی" تبدیل می شوند.
استفاده از آنها با هم به شرکت ها کمک می کند تا با اجتناب از نقض مخرب داده ها، اعتماد خود را با مشتریان ایجاد کنند. علاوه بر این، این اقدامات امنیتی به ارائهدهنده پلتفرم پرداخت شما کمک میکند الزامات انطباق با مقررات لازم برای هر کسبوکاری را که اطلاعات کارت اعتباری یا نقدی را جمعآوری میکند، برآورده کند، که آنها را به ابزارهای ضروری در کمربند ابزار امنیتی ارائهدهنده پلت فرم پرداخت شما تبدیل میکند.
این روش ها از داده های پرداخت حساس در برابر سرقت و باج گیری توسط مجرمان سایبری محافظت می کند. حتی بهتر از آن، این روشها بهعنوان بازدارنده عمل میکنند، زیرا هکرها تمایل دارند به سمت اهداف محافظتنشدهای که با کمترین تلاش سود بزرگی ارائه میدهند، جذب شوند. اگر نتوانند به راحتی و به سرعت اطلاعات ارزشمندی را بیابند، عقب نشینی می کنند و به جای دیگری نگاه می کنند.
یک تیم کاهش ریسک
مجرمان سایبری هم خلاق و هم ماهر هستند، بنابراین مهم است که دفاعی به همان اندازه قدرتمند در کنار خود داشته باشید. این بدان معناست که شریک پرداخت شما یک تیم متقابل از متخصصان ریسک، انطباق و فناوری را به کار می گیرد که می دانند چگونه یک محیط پرداخت امن طراحی و ایجاد کنند: یک سرپرست ریسک برای هدایت توسعه یک محیط کنترلی مقیاس پذیر. یک افسر امنیت اطلاعات برای نظارت بر نظارت بر محیط، انجام آزمایشات مداوم و انجام ممیزی های امنیتی؛ کارکنان اختصاص داده شده به کاهش ریسک عملیاتی و اجرای پروتکل های امنیتی پویا در صورت لزوم. و یک افسر حقوقی و انطباق برای همکاری با آژانس های نظارتی، هماهنگی ممیزی های نظارتی و اطمینان از انطباق با مقررات.
به خاطر داشته باشید که طراحی حفاظت از ریسک در یک محصول یا خدمات پرداختی بسیار مقرون به صرفه تر از بازسازی است، بنابراین به دنبال یک پلت فرم پرداخت با کنترل های داخلی و همچنین یک تیم با استعداد باشید که آنها را مطابق با نیازهای مشتری تنظیم کند. .
ممیزی ها، گواهینامه ها و استانداردها و تست های امنیتی
با افزایش سرعت انواع و فناوریهای پرداخت، برخی از ارائهدهندگان پلتفرم پرداخت در اولویتبندی زمان و منابع در ممیزیهای داخلی و خارجی، تستهای امنیتی و رویههای صدور گواهینامه امنیتی شکست خوردهاند. با این حال، آن حوزههای نظارتی، خط سوم دفاعی مؤثری را ارائه میکنند - پس از عملیات و عملکردهای خط دوم مانند مدیریت ریسک و انطباق - برای اطمینان از سالم بودن پلت فرم از منظر "بهداشت امنیتی" و منظر نظارتی. عملکردهای حسابرسی خط سوم، ارائه دهندگان پلت فرم پرداخت را دقیق، پاسخگو نگه می دارند و به مدیران ارشد و اعضای هیئت مدیره اطمینان می دهند که دو خط دفاعی اول انتظارات را برآورده می کنند.
به همین دلیل، صورتحسابها فقط باید با ارائهدهنده پلتفرم پرداختی کار کنند که ارزیابیهای جامع حریم خصوصی و امنیت و گواهیهای انجام شده توسط اشخاص ثالث واجد شرایط را انجام داده باشد. به عنوان مثال، برای ایمن نگه داشتن داراییهای اطلاعاتی، یک ارائهدهنده پلت فرم پرداخت باید گواهی ISO/IEC 27001 یا گواهینامه مبتنی بر امنیت معادل آن را داشته باشد.
این پلتفرم همچنین باید با PCI سازگار باشد و دارای فرآیندهایی باشد تا کارکنان پشتیبانی مشتری صورتحساب را قادر سازد هنگام تعامل با مشتریان در مورد پرداخت، مطابقت را حفظ کنند.
هر شریک پرداختی که در نظر گرفته می شود باید از NIST CSF پیروی کند، یک چارچوب امنیت سایبری حاوی استانداردهای صنعت و بهترین شیوه ها برای کمک به سازمان ها برای درک و کاهش ریسک.
در نهایت، از ارائه دهندگان پلت فرم پرداخت آینده نگر بپرسید که آیا آموزش های امنیتی منظمی را برای کارکنان خود انجام می دهند - از جمله خطرات مهندسی اجتماعی - و سیستم های خود را برای شناسایی آسیب پذیری ها آزمایش می کنند. شما باید بدانید که شخصی در درون دارید که مانند مجرمان سایبری فکر می کند و بر این اساس اقدامات پیشگیرانه را انجام می دهد.
ایمن سازی هر پیوند برای پرداخت قبض دیجیتال
پشته پرداخت صورتحساب امروزی با افزودن گزینههای پرداخت دیجیتالی قبض - کیف پول دیجیتال، اسکن و پرداخت کدهای QR، برنامههای پرداخت شخص به فرد و موارد دیگر، پیچیدهتر از همیشه است.
شما نمیتوانید مجرمان را کنترل کنید، اما میتوانید زنجیره تامین پرداخت خود را از ابتدا تا انتها، با همکاری با یک ارائهدهنده پلتفرم پرداخت متمرکز بر امنیت که حفاظتهایی مانند تأیید دو مرحلهای را ایجاد کرده است، تقویت کنید. رمزگذاری و رمزگذاری؛ تیم مدیریت ریسک و انطباق؛ و ممیزی های حرفه ای شخص ثالث، تست های امنیتی و گواهینامه ها.
تکامل پرداخت قبض تلفن همراه در نوسان کامل است. اکنون متخصصان پرداخت باید با یکدیگر همکاری کنند تا یک قدم جلوتر از کسانی باشند که برای بهره برداری از آن تلاش می کنند.