Osoby wystawiające rachunki spieszą się, aby dostosować się do tych trendów i sprawić, by cyfrowe płatności rachunków były tak łatwe i bezproblemowe, jak to tylko możliwe. Ale zanim zajdą zbyt daleko na tej ścieżce, powinni zdać sobie sprawę, że nowe typy i kanały płatności zwiększają złożoność łańcucha dostaw płatności i wymagają dodatkowego skupienia się na zarządzaniu dostawcami. Bez programu nadzoru firma i jej klienci mogą być potencjalnie narażeni na nadmierne odmowy lub spory, przerwy w świadczeniu usług, zwiększone koszty transakcji i incydenty związane z bezpieczeństwem.
Połączenia Raport z dochodzeń w sprawie naruszenia danych firmy Verizon w 2022 r zauważył, że same ataki ransomware wzrosły o 13% między 2020 a 2021 rokiem – to większy skok niż w ciągu ostatnich pięciu lat razem wziętych. Dostawcy, partnerzy i strony trzecie w łańcuchu dostarczania płatności byli odpowiedzialni za 62% incydentów włamań do systemów w 2021 r., co może odzwierciedlać „większe trendy obserwowane w branży pod względem powiązanych zagrożeń, które istnieją między dostawców, partnerów i osób trzecich” – oceniają analitycy.
Wystawcy rachunków nie mogą zrezygnować z oferowania opcji płatności cyfrowych — klienci już jasno określili swoje preferencje. Mogą jednak wybrać np partner platformy płatniczej który rozszerza i integruje cyfrowe płatności za rachunki, jednocześnie skutecznie wykrywając ryzyko i zarządzając nim.
Lekcje, których możemy się nauczyć od celu
Aby zilustrować, jak niszczący może być pojedynczy cyberatak, warto przyjrzeć się jednemu z najbardziej widocznych przykładów w najnowszej historii: naruszeniu Target w 2013 roku. Według jednego analiza, Target musiał zainwestować 100 milionów dolarów po incydencie, aby ulepszyć swoją infrastrukturę płatniczą, a kolejne ponad 100 milionów dolarów w wypłatach dla banków i firm obsługujących karty kredytowe, które musiały zwrócić klientom.
Ale jeszcze bardziej katastrofalne było uderzenie w reputację i zaufanie klientów. „Buzz score” firmy, który mierzy postrzeganie marki, spadł o 45 punktów w ciągu tygodnia po naruszeniu, a z kolei zyski spadły o 46% w ciągu jednego kwartału.
Twoja firma może nie być wielkim sprzedawcą detalicznym, takim jak Target, ale to doświadczenie może nauczyć płatników, że cyberbezpieczeństwo to zawsze kalkulacja „zainwestuj teraz lub zapłać później”. Zainwestuj w bezpieczną platformę płatniczą już teraz lub staw czoła skutkom finansowym w przypadku naruszenia bezpieczeństwa.
Ponadto dostawca platformy płatniczej, który idzie na skróty, może narazić na szwank te same zabezpieczenia, które obecnie stosujesz w celu zabezpieczenia się przed stratami cybernetycznymi. Na przykład w 2021 r. gwałtowny wzrost strat spowodowanych oprogramowaniem ransomware spowodował, że koszty składek na ubezpieczenie cybernetyczne wzrosły do prawie dwukrotnie w 2021 r., a niektórzy ubezpieczyciele całkowicie zrezygnowali z ochrony dla firm, które nie były w stanie wykazać, że oni i ich dostawca platformy płatniczej stosują odpowiednie zabezpieczenia. Inwestowanie z góry, w tym wybór odpowiedniego partnera platformy płatniczej, wymaga wysiłku i przezorności, ale może uchronić Cię przed kosztownymi reperkusjami w przyszłości.
Cztery strategie zapobiegania cyberprzestępczości
Istnieje wiele strategii zapobiegania cyberprzestępczości, ale pokrótce omówię cztery, które dostawca platformy płatniczej powinien wdrożyć, aby chronić się przed cyberatakami.
Uwierzytelnianie dwuskładnikowe i biometryczne
Klienci coraz częściej oczekują ochrony w ramach obsługi płatności. I słusznie. Cały rok „The Puzzle of Monogamous Marriage” przez Google, New York University i UC San Diego stwierdzili, że prosta praktyka uwierzytelniania dwuskładnikowego za pomocą monitów na urządzeniu była bardzo skuteczna w zapobieganiu zdecydowanej większości przejęć kont. Wysłanie wiadomości bezpośrednio do urządzenia w pliku i indywidualne dotknięcie wiadomości w celu uwierzytelnienia zapobiegło 100% zautomatyzowanych botów, 99% masowych ataków phishingowych i 90% ataków ukierunkowanych.
Jeszcze lepsze jest uwierzytelnianie biometryczne, które jest wbudowane w portfele cyfrowe i niektóre rodzaje płatności mobilnych, takie jak Apple Pay i Google Pay. Klienci całkowicie unikają wprowadzania informacji o płatnościach, po prostu używając skanu twarzy lub odcisku palca, aby uzyskać dostęp do swojego konta.
Tak, uwierzytelnianie może zwiększyć trudności w płatnościach. Jednak konieczne jest tarcie, które odpowiednio zaplanowane w czasie faktycznie zapewnia lepsze wrażenia dla klientów. Niezbędne jest skonfigurowanie uwierzytelniania „przytulenia zaufania” na wczesnym etapie relacji z klientem za pomocą wiadomości, które informują go, że jest chroniony przed nieuczciwymi transakcjami. Następnie można wdrożyć reguły biznesowe w celu wyeliminowania anomalii, które dają sygnał ostrzegawczy dla potencjalnego oszustwa.
Dostawca usług płatniczych powinien mieć strategię angażowania klientów w celu edukowania klientów i ułatwiania uwierzytelniania dwuskładnikowego dla funkcji takich jak rejestracja automatycznej płatności. W przypadku wbudowanego uwierzytelniania biometrycznego mądrze jest współpracować z dostawcą platformy, który to umożliwia Apple Pay i Google Pay jako opcje płatności i generuje unikalne dane uwierzytelniające płatnika, specyficzne dla rachunku każdego płatnika. Klienci doceniają, gdy uwierzytelnianie jest zaprojektowane jako część procesu płatności, ponieważ rozumieją ryzyko i potencjalne sprzeniewierzenie ich danych, a także możliwe do uniknięcia kłopoty związane z naprawą sytuacji.
Szyfrowanie i tokenizacja
Szyfrowanie i tokenizacja odgrywają różne role w ochronie danych, dlatego należy je wykorzystać, aby ułatwić płatności cyfrowe. Tokenizacja polega na zastąpieniu wrażliwych danych na poziomie konta unikalną zaszyfrowaną wartością. Szyfrowanie to metoda, w której dane są konwertowane na „tajną wartość”.
Używanie ich razem pomaga firmom budować zaufanie klientów, unikając szkodliwych naruszeń danych. Ponadto te środki bezpieczeństwa pomagają Twojemu dostawcy platformy płatniczej spełnić wymagania dotyczące zgodności z przepisami, które są niezbędne dla każdej firmy gromadzącej informacje o kartach kredytowych lub debetowych, co czyni je niezbędnymi narzędziami w zestawie narzędzi bezpieczeństwa dostawcy platformy płatniczej.
Metody te chronią wrażliwe dane dotyczące płatności przed kradzieżą i okupem ze strony cyberprzestępców. Co więcej, metody te działają odstraszająco, ponieważ hakerzy mają tendencję do wybierania niechronionych celów, które oferują duże zyski przy minimalnym wysiłku. Jeśli nie mogą łatwo i szybko znaleźć cennych informacji, wycofają się i będą szukać gdzie indziej.
Zespół ograniczania ryzyka
Cyberprzestępcy są zarówno kreatywni, jak i utalentowani, dlatego ważne jest, aby mieć po swojej stronie równie potężną obronę. Oznacza to, że Twój partner ds. płatności zatrudnia wielofunkcyjny zespół doświadczonych specjalistów ds. ryzyka, zgodności i technologii, którzy wiedzą, jak zaprojektować i zbudować bezpieczne środowisko płatności: kierownik ds. ryzyka, który poprowadzi rozwój skalowalnego środowiska kontroli; oficera ds. bezpieczeństwa informacji, który będzie nadzorował monitorowanie granicy, przeprowadzał bieżące testy i przeprowadzał audyty bezpieczeństwa; członkowie personelu zaangażowani w zmniejszanie ryzyka operacyjnego i wdrażanie dynamicznych protokołów bezpieczeństwa w razie potrzeby; oraz urzędnik ds. prawnych i zgodności do współpracy z agencjami regulacyjnymi, koordynowania audytów regulacyjnych i zapewniania zgodności z przepisami.
Pamiętaj, że projektowanie zabezpieczeń przed ryzykiem w produkcie lub usłudze płatniczej jest znacznie bardziej opłacalne niż modernizacja po fakcie, więc szukaj platformy płatniczej z wbudowanymi kontrolami, a także utalentowanego zespołu, który dopasuje je do potrzeb klienta .
Audyty, certyfikacje oraz standardy i testy bezpieczeństwa
Wraz z rosnącym tempem rodzajów i technologii płatności niektórzy dostawcy platform płatniczych nie ustalili priorytetów czasu i zasobów w audytach wewnętrznych i zewnętrznych, testach bezpieczeństwa i procedurach certyfikacji bezpieczeństwa. Jednak te obszary nadzoru zapewniają skuteczną trzecią linię obrony – po operacjach i funkcjach drugiej linii, takich jak zarządzanie ryzykiem i zgodność – w celu zapewnienia, że platforma jest solidna z punktu widzenia „higieny bezpieczeństwa” i przepisów. Funkcje audytu trzeciej linii sprawiają, że dostawcy platform płatniczych są rzetelni, odpowiedzialni i zapewniają kierownictwu wyższego szczebla i członkom zarządu, że dwie pierwsze linie obrony spełniają oczekiwania.
Z tego powodu osoby wystawiające rachunki powinny współpracować wyłącznie z dostawcą platformy płatniczej, który przeszedł kompleksowe oceny i certyfikaty w zakresie prywatności i bezpieczeństwa przeprowadzone przez wykwalifikowane strony trzecie. Na przykład, aby zapewnić bezpieczeństwo zasobów informacyjnych, dostawca platformy płatniczej powinien posiadać certyfikat ISO/IEC 27001 lub równoważny certyfikat dotyczący bezpieczeństwa.
Platforma powinna być również zgodna z PCI i posiadać procesy umożliwiające personelowi obsługi klienta wystawcy rachunku zachowanie zgodności podczas interakcji z klientami w zakresie płatności.
Każdy rozważany partner płatniczy powinien postępować zgodnie z NIST CSF, ramą bezpieczeństwa cybernetycznego zawierającą standardy branżowe i najlepsze praktyki, aby pomóc organizacjom zrozumieć i zmniejszyć ryzyko.
Na koniec zapytaj potencjalnych dostawców platform płatniczych, czy przeprowadzają regularne szkolenia z zakresu bezpieczeństwa dla swoich pracowników — w tym zagrożeń związanych z socjotechniką — i testują swoje systemy w celu zidentyfikowania słabych punktów. Musisz wiedzieć, że masz wewnątrz kogoś, kto myśli jak cyberprzestępcy i podejmuje odpowiednie środki zapobiegawcze.
Zabezpieczanie każdego łącza do płatności za rachunki cyfrowe
Dzisiejszy stos płatności za rachunki jest bardziej złożony niż kiedykolwiek dzięki dodaniu opcji cyfrowych płatności za rachunki - portfele cyfrowe, kody QR do skanowania i opłacania, aplikacje do płatności między osobami i nie tylko.
Nie możesz kontrolować przestępców, ale możesz wzmocnić swój łańcuch dostaw płatności od początku do końca, współpracując z dostawcą platformy płatniczej skoncentrowanej na bezpieczeństwie, który wprowadził zabezpieczenia, takie jak weryfikacja dwuskładnikowa; szyfrowanie i tokenizacja; zespół ds. zarządzania ryzykiem i zgodności; oraz profesjonalne zewnętrzne audyty, testy bezpieczeństwa i certyfikacje.
Ewolucja mobilnego opłacania rachunków jest w pełnym rozkwicie. Teraz specjaliści ds. płatności muszą ze sobą współpracować, aby być o krok przed tymi, którzy pracują nad jego wykorzystaniem.