Биллеры спешат присоединиться к этим тенденциям и сделать цифровую оплату счетов максимально простой и беспроблемной. Но прежде чем они зайдут слишком далеко по этому пути, они должны признать, что новые типы и каналы платежей усложняют цепочку доставки платежей и требуют дополнительного внимания к управлению поставщиками. Без программы надзора бизнес и их клиенты потенциально могут подвергаться риску чрезмерных отклонений или споров, перерывов в обслуживании, увеличения транзакционных издержек и инцидентов безопасности.
Ассоциация Отчет о расследовании утечки данных Verizon за 2022 г. отметили, что только атаки программ-вымогателей увеличились на 13% в период с 2020 по 2021 год — это больший скачок, чем за последние пять лет вместе взятые. Поставщики, партнеры и третьи стороны в цепочке доставки платежей несут ответственность за 62% инцидентов со вторжением в систему в 2021 году, что может отражать «более крупные тенденции, которые мы наблюдаем в отрасли, с точки зрения взаимосвязанных рисков, существующих между поставщиков, партнеров и третьих лиц», — считают аналитики.
Биллеры не могут отказаться от предложения цифровых способов оплаты — клиенты уже четко обозначили свои предпочтения. Однако они могут выбрать партнер платежной платформы который расширяет и интегрирует цифровую оплату счетов, эффективно обнаруживая риски и управляя ими.
Уроки, которые мы можем извлечь из Target
Чтобы проиллюстрировать, насколько разрушительной может быть одна кибератака, полезно взглянуть на один из самых ярких примеров в новейшей истории: взлом Target в 2013 году. Согласно одному анализПосле инцидента Target пришлось инвестировать 100 миллионов долларов в улучшение своей платежной инфраструктуры и еще более 100 миллионов долларов в выплаты банкам и компаниям, выпускающим кредитные карты, которые должны были возместить расходы клиентам.
Но еще более катастрофическим был удар по ее репутации и доверию клиентов. «Шкала шумихи» компании, которая измеряет восприятие бренда, упала на 45 пунктов в течение недели после взлома, и, в свою очередь, прибыль упала на 46% за один квартал.
Ваша компания может и не быть мега-ритейлером, как Target, но этот опыт может научить биллингеров тому, что кибербезопасность — это всегда расчет «инвестируй сейчас или заплати потом». Инвестируйте в безопасную платежную платформу прямо сейчас или столкнитесь с финансовыми последствиями, когда произойдет нарушение безопасности.
Кроме того, провайдер платежной платформы, который срезает углы, может поставить под угрозу те самые средства защиты, которые у вас есть в настоящее время для хеджирования кибер-убытков. Например, в 2021 году из-за резкого роста убытков от программ-вымогателей стоимость взносов на киберстрахование выросла до почти вдвое в 2021 году, и некоторые страховщики полностью отказались от покрытия для компаний, которые не смогли продемонстрировать, что они и их поставщик платежной платформы имеют разумные меры безопасности. Предварительное инвестирование, в том числе выбор правильного партнера по платежной платформе, требует усилий и предусмотрительности, но это может уберечь вас от этих дорогостоящих последствий в будущем.
Четыре стратегии предотвращения киберпреступлений
Существует множество стратегий предотвращения киберпреступлений, но я кратко расскажу о четырех из них, которые должен иметь ваш поставщик платежной платформы для защиты от кибератак.
Двухфакторная и биометрическая аутентификация
Клиенты все чаще ожидают, что им будет предоставлена защита в процессе оплаты. И это правильно. год Исследование Google, Нью-Йоркский университет и Калифорнийский университет в Сан-Диего обнаружили, что простая практика двухфакторной аутентификации с использованием подсказок на устройстве очень успешно предотвращает подавляющее большинство взломов учетных записей. Отправка сообщения непосредственно на устройство в файле и индивидуальное касание сообщения для аутентификации предотвратили 100 % автоматических ботов, 99 % массовых фишинговых атак и 90 % целевых атак.
Еще лучше биометрическая аутентификация, встроенная в цифровые кошельки и некоторые типы мобильных платежей, такие как Apple Pay и Google Pay. Клиенты вообще не вводят платежную информацию, просто используя сканирование лица или отпечаток пальца для доступа к своей учетной записи.
Да, аутентификация может добавить неудобств при оплате. Тем не менее, это необходимое трение, которое при правильном расчете времени фактически создает лучший опыт для клиентов. Крайне важно настроить аутентификацию «доверительные объятия» на раннем этапе взаимоотношений с клиентами с помощью обмена сообщениями, чтобы они знали, что они защищены от мошеннических транзакций. Затем могут быть реализованы бизнес-правила для устранения аномалий, которые поднимают красный флаг для потенциального мошенничества.
Платежный провайдер должен иметь стратегию привлечения клиентов для обучения клиентов и облегчения двухфакторной аутентификации для таких функций, как регистрация автоплатежей. Для встроенной биометрической аутентификации разумно работать с поставщиком платформы, который позволяет Apple Pay и Google Pay в качестве вариантов оплаты и генерирует уникальные учетные данные для биллера, специфичные для каждого счета плательщика. Клиенты ценят, когда аутентификация разработана как часть платежного процесса, потому что они понимают риск и потенциальное незаконное присвоение их данных, а также хлопот, которых можно избежать, чтобы исправить ситуацию.
Шифрование и токенизация
Шифрование и токенизация играют разные роли в защите данных, поэтому их следует использовать для облегчения цифровых платежей. Токенизация — это замена конфиденциальных данных на уровне учетной записи уникальным зашифрованным значением. Шифрование — это метод, при котором данные преобразуются в «секретное значение».
Их совместное использование помогает компаниям укреплять доверие клиентов, избегая утечек данных. Кроме того, эти меры безопасности помогают вашему поставщику платежной платформы соответствовать нормативным требованиям, необходимым для любого бизнеса, собирающего информацию о кредитных или дебетовых картах, что делает их обязательными инструментами в наборе инструментов безопасности вашего поставщика платежной платформы.
Эти методы защищают конфиденциальные платежные данные от кражи и получения выкупа киберпреступниками. Более того, эти методы действуют как сдерживающие факторы, поскольку хакеры, как правило, тяготеют к незащищенным целям, которые предлагают большую отдачу при минимальных усилиях. Если они не могут легко и быстро найти ценную информацию, они отступят и будут искать в другом месте.
Группа по снижению рисков
Киберпреступники изобретательны и опытны, поэтому важно иметь на своей стороне столь же мощную защиту. Это означает, что ваш партнер по платежам нанимает многофункциональную команду опытных специалистов по рискам, комплаенсу и технологиям, которые знают, как спроектировать и создать безопасную платежную среду: руководитель по рискам, который возглавит разработку масштабируемой контрольной среды; офицер информационной безопасности для наблюдения за периметром, проведения текущего тестирования и аудита безопасности; сотрудники, занимающиеся снижением операционного риска и внедрением динамических протоколов безопасности по мере необходимости; и сотрудник по юридическим вопросам и соблюдению требований для работы с регулирующими органами, координации нормативных проверок и обеспечения соблюдения нормативных требований.
Имейте в виду, что разработка средств защиты от рисков в платежном продукте или услуге гораздо более рентабельна, чем модернизация постфактум, поэтому ищите платежную платформу со встроенными элементами управления, а также талантливую команду, которая адаптирует их к потребностям клиента. .
Аудиты, сертификации, стандарты и тесты безопасности
В связи с увеличением количества типов и технологий платежей некоторые поставщики платежных платформ не смогли расставить приоритеты во времени и ресурсах во внутренних и внешних аудитах, тестах безопасности и процедурах сертификации безопасности. Однако эти области надзора обеспечивают эффективную третью линию защиты — после операций и второстепенных функций, таких как управление рисками и соблюдение нормативных требований, — чтобы обеспечить надежность платформы с точки зрения «гигиены безопасности» и нормативно-правовой базы. Функции аудита третьей линии обеспечивают четкость и подотчетность поставщиков платежных платформ и гарантируют высшему руководству и членам совета директоров, что первые две линии защиты соответствуют ожиданиям.
По этой причине биллеры должны работать только с поставщиком платежной платформы, который прошел всестороннюю оценку конфиденциальности и безопасности и сертификацию, выполненную квалифицированными третьими лицами. Например, для обеспечения безопасности информационных активов поставщик платежной платформы должен иметь сертификат ISO/IEC 27001 или эквивалентный сертификат, ориентированный на безопасность.
Платформа также должна быть совместима с PCI и иметь процессы, позволяющие персоналу службы поддержки клиентов биллера поддерживать соответствие требованиям при взаимодействии с клиентами в отношении оплаты.
Каждый рассматриваемый партнер по платежам должен следовать NIST CSF, структуре кибербезопасности, содержащей отраслевые стандарты и лучшие практики, чтобы помочь организациям понять и снизить свои риски.
Наконец, спросите потенциальных поставщиков платежных платформ, проводят ли они регулярные тренинги по безопасности для своего персонала, включая риски социальной инженерии, и тестируют свои системы для выявления уязвимостей. Вы должны знать, что кто-то внутри вас думает как киберпреступник и принимает соответствующие превентивные меры.
Защита каждой ссылки для цифровых платежей по счетам
Сегодняшний стек оплаты счетов более сложен, чем когда-либо, с добавлением вариантов цифровой оплаты счетов — цифровых кошельков, QR-кодов со сканированием и оплатой, приложений для личных платежей и многого другого.
Вы не можете контролировать преступников, но вы можете укрепить свою цепочку поставок платежей от начала до конца, работая с поставщиком платежной платформы, ориентированным на безопасность, который внедрил средства защиты, такие как двухфакторная проверка; шифрование и токенизация; группа управления рисками и соблюдения требований; и профессиональные сторонние аудиты, тесты безопасности и сертификаты.
Эволюция мобильных платежей идет полным ходом. Теперь профессионалы в области платежей должны работать вместе, чтобы оставаться на шаг впереди тех, кто работает над их использованием.