בילר ממהרים להיכנס לטרנדים הללו ולהפוך את תשלום החשבונות הדיגיטלי לקל וחסר חיכוכים ככל האפשר. אבל לפני שהם הולכים רחוק מדי בנתיב הזה, עליהם להכיר בכך שסוגי תשלומים וערוצים חדשים מוסיפים מורכבות לשרשרת משלוח התשלומים ודורשים התמקדות נוספת בניהול ספקים. ללא תוכנית פיקוח, העסק והלקוחות שלהם עלולים להיות בסיכון של דחיות או מחלוקות מוגזמות, הפרעות שירות, עלויות עסקה מוגדלות ואירועי אבטחה.
השמיים דוח 2022 של Verizon Data Breach Investigations ציין כי מתקפות כופר לבדן עלו ב-13% בין 2020 ל-2021 - זינוק גדול יותר מחמש השנים האחרונות ביחד. ספקים, שותפים וצדדים שלישיים בשרשרת אספקת התשלומים היו אחראים ל-62% מאירועי החדירה למערכת בשנת 2021, מה שעשוי לייצג "מגמות גדולות יותר שראינו בתעשייה, במונחים של הסיכונים הקשורים זה בזה הקיימים בין ספקים, שותפים וצדדים שלישיים", לפי האנליסטים.
מפרסמים לא יכולים לבטל את הסכמתם להציע אפשרויות תשלום דיגיטליות - הלקוחות כבר הבהירו את העדפותיהם. עם זאת, הם יכולים לבחור א שותף לפלטפורמת תשלומים המרחיבה ומשלבת תשלום חשבונות דיגיטליים, תוך זיהוי וניהול יעיל של סיכונים.
לקחים שאנו יכולים ללמוד מ-Target
כדי להמחיש עד כמה מתקפת סייבר בודדת יכולה להיות מזיקה, כדאי להסתכל על אחת הדוגמאות הבולטות ביותר בהיסטוריה האחרונה: פריצת היעד של 2013. לפי אחד אנליזה, Target נאלצה להשקיע 100 מיליון דולר לאחר התקרית כדי לשפר את תשתית התשלומים שלה, ועוד 100 מיליון דולר נוספים בתשלומים לבנקים ולחברות כרטיסי אשראי שנאלצו להחזיר ללקוחות.
אבל אפילו יותר קטסטרופלי היה הפגיעה במוניטין ובאמון הלקוחות שלה. "ציון הבאזז" של החברה, המודד את תפיסת המותג, ירד ב-45 נקודות במהלך השבוע שלאחר הפריצה, ובתמורה, הרווחים ירדו ב-46% ברבעון אחד.
ייתכן שהחברה שלך אינה מגה-קמעונאית כמו Target, אך ניסיון זה יכול ללמד את המפרסמים שאבטחת סייבר היא תמיד חישוב "השקיע עכשיו או שלם מאוחר יותר". השקיעו כעת בפלטפורמת תשלומים מאובטחת, או התמודד עם הנפילה הפיננסית כאשר מתרחשת פרצת אבטחה.
בנוסף, ספק פלטפורמת תשלומים שחותך פינות עשוי לסכן את ההגנות בדיוק שיש לך כרגע כדי להתגונן מפני הפסדי סייבר. לדוגמה, בשנת 2021, הפסדי תוכנות הכופר הגואה גרמו לעלות פרמיות ביטוח הסייבר ל כמעט כפול בשנת 2021, וחלק מהמבטחים הורידו לחלוטין את הכיסוי עבור חברות שלא יכלו להוכיח שיש להן ולספק פלטפורמת התשלומים שלהן הגנות אבטחה סבירות. השקעה מראש, כולל בחירת השותף הנכון לפלטפורמת התשלומים, דורשת מאמץ ומחשבה מוקדמת, אך היא עשויה להציל אותך מההשלכות היקרות הללו בעתיד.
ארבע אסטרטגיות למניעת פשעי סייבר
ישנן מספר רב של אסטרטגיות למניעת פשעי סייבר, אבל אני אכסה בקצרה ארבע שספק פלטפורמת התשלומים שלך צריך להיות במקום כדי להגן מפני התקפות סייבר.
אימות דו-גורמי וביומטרי
לקוחות מצפים יותר ויותר לקבל הגנה כחלק מחוויית התשלומים. וכן, בצדק. בת שנה ללמוד על ידי גוגל, אוניברסיטת ניו יורק ואוניברסיטת סן דייגו גילו שהתרגול הפשוט של אימות דו-גורמי באמצעות הנחיות במכשיר הצליח מאוד למנוע את הרוב המכריע של חטיפת חשבונות. שליחת הודעה ישירות למכשיר הרשומה והקשה בודדת על ההודעה כדי לאמת מנעה 100% מהבוטים האוטומטיים, 99% מהתקפות דיוג בכמות גדולה ו-90% מהתקפות ממוקדות.
אפילו טוב יותר הוא אימות ביומטרי, המובנה בארנקים דיגיטליים ובכמה סוגי תשלום ניידים כגון Apple Pay ו-Google Pay. לקוחות נמנעים לחלוטין מלהזין פרטי תשלום, פשוט באמצעות סריקת פנים או טביעת אצבע כדי לגשת לחשבון שלהם.
כן, אימות יכול להוסיף חיכוך לחוויית התשלומים. עם זאת, חיכוך הכרחי שכאשר מתוזמן מתאים למעשה יוצר חוויה טובה יותר ללקוחות. הגדרת "חיבוק האמון" של האימות בתחילת מערכת היחסים עם הלקוחות עם הודעות המאפשרות להם לדעת שהם מוגנים מפני עסקאות הונאה היא חיונית. לאחר מכן ניתן ליישם כללים עסקיים כדי לטפל בחריגות המעלות דגל אדום עבור הונאה אפשרית.
לספק התשלומים צריכה להיות אסטרטגיית מעורבות לקוחות לחינוך לקוחות ולהקלה על אימות דו-שלבי עבור פונקציות כגון רישום תשלום אוטומטי. עבור אימות ביומטרי מובנה, זה חכם לעבוד עם ספק פלטפורמה המאפשר Apple Pay ו- Google Pay כאפשרויות תשלום ומייצר אישורים ייחודיים לחיוב הספציפיים לחשבון של כל משלם. לקוחות מעריכים כאשר האימות מתוכנן כחלק מחוויית התשלומים, מכיוון שהם מבינים את הסיכון והניצול הפוטנציאלי של הנתונים שלהם, כמו גם את הטרחה הבלתי נמנעת כדי לתקן את המצב.
הצפנה וטוקניזציה
הצפנה וטוקניזציה ממלאות תפקידים שונים בהגנה על נתונים, ולכן יש למנף את שניהם כדי להקל על תשלומים דיגיטליים. טוקניזציה היא החלפה של נתונים רגישים ברמת החשבון עם ערך מוצפן ייחודי. הצפנה היא השיטה שבה הנתונים מומרים ל"ערך סודי".
השימוש בהם יחד עוזר לחברות לבנות אמון עם לקוחות על ידי הימנעות מפרצות נתונים מזיקות. בנוסף, אמצעי אבטחה אלו מסייעים לספק פלטפורמת התשלומים שלך לעמוד בדרישות התאימות לרגולטוריות הנחוצות לכל עסק האוסף פרטי כרטיסי אשראי או חיוב, מה שהופך אותם לכלים חובה בחגורת הכלים האבטחה של ספק פלטפורמת התשלומים שלך.
שיטות אלו מגנות על נתוני תשלום רגישים מפני גניבה ופדיון על ידי פושעי סייבר. אפילו יותר טוב, שיטות אלה פועלות כאמצעי הרתעה, מכיוון שהאקרים נוטים להימשך למטרות לא מוגנות שמציעות תמורה גדולה במינימום מאמץ. אם הם לא יכולים למצוא בקלות ובמהירות מידע בעל ערך, הם ייסוגו ויחפשו למקום אחר.
צוות לצמצום סיכונים
פושעי סייבר הם יצירתיים ומיומנים כאחד, לכן חשוב שתהיה הגנה אדירה לא פחות בצד שלך. כלומר, שותף התשלומים שלך מעסיק צוות צולב של אנשי מקצוע מנוסים בתחום הסיכונים, התאימות והטכנולוגיה שיודעים לתכנן ולבנות סביבת תשלומים מאובטחת: ראש סיכון להוביל פיתוח של סביבת בקרה ניתנת להרחבה; קצין אבטחת מידע שיפקח על ניטור ההיקף, ביצוע בדיקות שוטפות וביצוע ביקורות אבטחה; אנשי צוות המוקדשים להפחתת הסיכון התפעולי ויישום פרוטוקולי אבטחה דינמיים לפי הצורך; וקצין משפטי וציות לעבוד עם סוכנויות רגולטוריות, לתאם ביקורות רגולטוריות ולהבטיח ציות לרגולציה.
זכור כי עיצוב הגנות סיכון למוצר או שירות תשלום הוא הרבה יותר חסכוני מאשר התאמה לאחר מעשה, אז חפש פלטפורמת תשלומים עם בקרות מובנות, כמו גם צוות מוכשר המתאים אותם לצרכי הלקוח. .
ביקורת, הסמכות ותקני אבטחה ובדיקות
עם הקצב המתגבר של סוגי התשלומים והטכנולוגיות, חלק מספקי פלטפורמת התשלומים לא הצליחו לתעדף זמן ומשאבים בביקורות פנימיות וחיצוניות, בדיקות אבטחה והליכי אישור אבטחה. עם זאת, תחומי פיקוח אלה מספקים קו הגנה שלישי יעיל - לאחר פעולות ופונקציות קו שני כגון ניהול סיכונים ותאימות - כדי להבטיח שהפלטפורמה תקינה מנקודת מבט של "היגיינה ביטחונית" ורגולטורית. פונקציות ביקורת קו שלישי שומרות על ספקיות פלטפורמת תשלומים חדות, אחראיות ומספקות ביטחון להנהלה הבכירה ולחברי הדירקטוריון ששני קווי ההגנה הראשונים עומדים בציפיות.
מסיבה זו, על החיובים לעבוד רק עם ספק פלטפורמת תשלומים שעבר הערכות ואישורים מקיפים של פרטיות ואבטחה שבוצעו על ידי צדדים שלישיים מוסמכים. לדוגמה, כדי לשמור על נכסי מידע מאובטחים, ספק פלטפורמת תשלומים צריך להיות בעל הסמכת ISO/IEC 27001 או הסמכה מקבילה ממוקדת אבטחה.
הפלטפורמה צריכה גם להיות תואמת PCI ולהתקין בה תהליכים כדי לאפשר לצוות תמיכת הלקוחות של החיוב לשמור על תאימות בעת אינטראקציה עם לקוחות בנוגע לתשלום.
כל שותף תשלומים שנבחן צריך לעקוב אחר NIST CSF, מסגרת אבטחת סייבר המכילה תקנים ושיטות עבודה מומלצות כדי לעזור לארגונים להבין ולהפחית את הסיכון שלהם.
לבסוף, שאל ספקי פלטפורמת תשלומים פוטנציאליים אם הם עורכים הדרכות אבטחה קבועות עבור הצוות שלהם - כולל סיכונים הנדסיים חברתיים - ובודקים את המערכות שלהם כדי לזהות נקודות תורפה. אתה צריך לדעת שיש לך מישהו מבפנים שחושב כמו פושעי רשת ולוקח אמצעי מניעה בהתאם.
אבטחת כל קישור לתשלומי חשבונות דיגיטליים
ערימת תשלום החשבונות של היום מורכבת מתמיד עם תוספת של אפשרויות תשלום דיגיטליות לחשבונות - ארנקים דיגיטליים, קודי QR סריקה ושלם, אפליקציות תשלום מאדם לאדם ועוד.
אתה לא יכול לשלוט בפושעים, אבל אתה יכול לחזק את שרשרת אספקת התשלומים שלך, מההתחלה ועד הסוף, על ידי עבודה עם ספק פלטפורמת תשלומים ממוקדת אבטחה שהציב הגנות, כגון אימות דו-גורמי; הצפנה וטוקניזציה; צוות ניהול סיכונים וציות; וביקורות מקצועיות של צד שלישי, בדיקות אבטחה ואישורים.
האבולוציה של תשלום חשבונות ניידים בעיצומה. כעת אנשי מקצוע בתחום התשלומים חייבים לעבוד יחד כדי להישאר צעד אחד לפני אלה שפועלים לנצל אותו.