Izdajalci računov hitijo, da bi se vključili v te trende in naredili digitalno plačevanje računov kar se da preprosto in brez trenja. Preden pa pridejo predaleč na tej poti, se morajo zavedati, da nove vrste plačil in kanali dodatno zapletajo verigo dostave plačil in zahtevajo dodatno osredotočenost na upravljanje prodajalcev. Brez programa nadzora bi lahko podjetje in njihove stranke potencialno tvegali čezmerne zavrnitve ali spore, prekinitve storitev, povečane transakcijske stroške in varnostne incidente.
O Poročilo Verizon o preiskavah kršitev podatkov za leto 2022 ugotavlja, da so se samo napadi z izsiljevalsko programsko opremo med letoma 13 in 2020 povečali za 2021 % – kar je večji skok kot v zadnjih petih letih skupaj. Prodajalci, partnerji in tretje osebe v verigi dostave plačil so bili odgovorni za 62 % incidentov vdorov v sistem v letu 2021, kar lahko predstavlja »večje trende, ki smo jih opazili v industriji, v smislu medsebojno povezanih tveganj, ki obstajajo med prodajalci, partnerji in tretje osebe,« pravijo analitiki.
Izdajalci računov ne morejo zavrniti možnosti digitalnega plačila – stranke so že jasno povedale svoje želje. Vendar pa lahko izberejo a partner plačilne platforme ki razširja in integrira digitalno plačevanje računov, hkrati pa učinkovito zaznava in obvladuje tveganje.
Lekcije, ki se jih lahko naučimo od Target
Za ponazoritev, kako škodljiv je lahko en sam kibernetski napad, je koristno pogledati enega najbolj vidnih primerov v novejši zgodovini: kršitev Target iz leta 2013. Po enem Analiza, Target je moral po incidentu vložiti 100 milijonov dolarjev za izboljšanje svoje plačilne infrastrukture in še dodatnih 100 milijonov dolarjev v izplačila bankam in podjetjem s kreditnimi karticami, ki so morale povrniti stroške strankam.
Toda še bolj katastrofalen je bil udarec po njegovem ugledu in zaupanju strank. »Buzz score« podjetja, ki meri dojemanje blagovne znamke, je v tednu po kršitvi padel za 45 točk, dobiček pa je v enem četrtletju padel za 46 %.
Vaše podjetje morda ni megatrgovec, kot je Target, vendar lahko ta izkušnja izstavljavce računov nauči, da je kibernetska varnost vedno izračun »vlagaj zdaj ali plačaj pozneje«. Investirajte v varno plačilno platformo zdaj ali pa se soočite s finančnimi posledicami, ko pride do kršitve varnosti.
Poleg tega lahko ponudnik plačilne platforme, ki se odreže, ogrozi ravno zaščito, ki jo trenutno imate za varovanje pred kibernetskimi izgubami. Leta 2021 so na primer naraščajoče izgube zaradi izsiljevalske programske opreme povzročile stroške premij kibernetskega zavarovanja skoraj dvojno leta 2021, nekatere zavarovalnice pa so popolnoma opustile kritje za podjetja, ki niso mogla dokazati, da imajo oni in njihov ponudnik plačilne platforme razumno varnostno zaščito. Vnaprejšnje vlaganje, vključno z izbiro pravega partnerja za plačilno platformo, zahteva trud in premišljenost, vendar vas lahko reši pred temi dragimi posledicami v prihodnosti.
Štiri strategije za preprečevanje kibernetske kriminalitete
Obstaja veliko strategij za preprečevanje kibernetske kriminalitete, vendar bom na kratko opisal štiri, ki bi jih moral imeti vaš ponudnik plačilne platforme za zaščito pred kibernetskimi napadi.
Dvofaktorska in biometrična avtentikacija
Stranke vedno bolj pričakujejo, da jim bo zagotovljena zaščita kot del plačilne izkušnje. In prav je tako. Celo leto študija Google, Univerza v New Yorku in UC San Diego so ugotovili, da je preprosta praksa dvostopenjske avtentikacije z uporabo pozivov v napravi zelo uspešna pri preprečevanju velike večine ugrabitev računov. Pošiljanje sporočila neposredno v napravo v datoteki in posameznikov dotik sporočila za preverjanje pristnosti sta preprečila 100 % avtomatiziranih botov, 99 % množičnih lažnih napadov in 90 % ciljanih napadov.
Še boljša je biometrična avtentikacija, ki je vgrajena v digitalne denarnice in nekatere vrste mobilnih plačil, kot sta Apple Pay in Google Pay. Stranke se popolnoma izognejo vnašanju podatkov o plačilu, za dostop do svojega računa preprosto uporabijo skeniranje obraza ali prstni odtis.
Da, preverjanje pristnosti lahko povzroči težave pri plačilni izkušnji. Vendar pa je potrebno trenje, ki ob ustreznem časovnem razporedu dejansko ustvari boljšo izkušnjo za stranke. Bistvenega pomena je konfiguriranje »objemov zaupanja« za preverjanje pristnosti zgodaj v odnosu s stranko s sporočili, ki jim sporočajo, da so zaščitene pred goljufivimi transakcijami. Poslovna pravila je nato mogoče implementirati za odpravljanje nepravilnosti, ki opozarjajo na morebitne goljufije.
Ponudnik plačil bi moral imeti strategijo vključevanja strank za izobraževanje strank in omogočanje dvostopenjske avtentikacije za funkcije, kot je registracija samodejnega plačila. Za vgrajeno biometrično avtentikacijo je pametno sodelovati s ponudnikom platforme, ki omogoča Apple Pay in Google Pay kot možnosti plačila in ustvari poverilnice, ki so edinstvene za izdajatelja računa in so specifične za račun vsakega plačnika. Stranke cenijo, ko je preverjanje pristnosti zasnovano kot del plačilne izkušnje, saj razumejo tveganje in morebitno poneverbo svojih podatkov ter težave, ki se jim je mogoče izogniti pri sanaciji situacije.
Šifriranje in tokenizacija
Šifriranje in tokenizacija igrata različni vlogi pri varovanju podatkov, zato je treba obe uporabiti za olajšanje digitalnih plačil. Tokenizacija je zamenjava občutljivih podatkov na ravni računa z edinstveno šifrirano vrednostjo. Šifriranje je metoda, pri kateri se podatki pretvorijo v »skrivno vrednost«.
Njihova skupna uporaba pomaga podjetjem zgraditi zaupanje s strankami, tako da se izognejo škodljivim kršitvam podatkov. Poleg tega ti varnostni ukrepi vašemu ponudniku plačilne platforme pomagajo pri izpolnjevanju zakonskih zahtev glede skladnosti, ki so potrebne za vsa podjetja, ki zbirajo podatke o kreditnih ali debetnih karticah, zaradi česar morajo imeti orodja, ki jih morate imeti v varnostnem pasu z orodji ponudnika plačilne platforme.
Te metode ščitijo občutljive plačilne podatke pred krajo in odkupnino s strani kibernetskih kriminalcev. Še bolje, te metode delujejo odvračilno, saj se hekerji nagibajo k nezaščitenim tarčam, ki ponujajo veliko izplačilo z minimalnim naporom. Če ne morejo enostavno in hitro najti dragocenih informacij, se bodo umaknili in iskali drugam.
Skupina za zmanjšanje tveganja
Kibernetski kriminalci so kreativni in spretni, zato je pomembno, da imate na svoji strani enako mogočno obrambo. To pomeni, da vaš plačilni partner zaposluje medfunkcionalno ekipo izkušenih strokovnjakov za tveganja, skladnost in tehnologijo, ki vedo, kako oblikovati in zgraditi varno plačilno okolje: vodja tveganja, ki vodi razvoj razširljivega nadzornega okolja; uradnik za informacijsko varnost, ki nadzira spremljanje oboda, izvaja stalna testiranja in izvaja varnostne revizije; člani osebja, predani zmanjševanju operativnega tveganja in po potrebi izvajanju dinamičnih varnostnih protokolov; ter pravni uradnik in uradnik za skladnost za delo z regulativnimi agencijami, usklajevanje regulativnih revizij in zagotavljanje skladnosti s predpisi.
Upoštevajte, da je načrtovanje zaščite pred tveganjem v plačilnem izdelku ali storitvi veliko bolj stroškovno učinkovito kot naknadno opremljanje, zato poiščite plačilno platformo z vgrajenimi kontrolami in nadarjeno ekipo, ki jih prilagodi potrebam strank. .
Revizije, certifikati ter varnostni standardi in testi
Z naraščajočim tempom plačilnih vrst in tehnologij nekateri ponudniki plačilnih platform niso uspeli dati prednost času in virom pri notranjih in zunanjih revizijah, varnostnih testih in postopkih varnostnega certificiranja. Vendar ta področja nadzora zagotavljajo učinkovito tretjo linijo obrambe – po operacijah in funkcijah druge linije, kot sta obvladovanje tveganja in skladnost – za zagotovitev, da je platforma zdrava z vidika »varnostne higiene« in regulativnega vidika. Revizijske funkcije tretje linije zagotavljajo, da so ponudniki plačilnih platform ostri, odgovorni in dajejo zagotovilo višjemu vodstvu in članom upravnega odbora, da prvi dve obrambni liniji izpolnjujeta pričakovanja.
Iz tega razloga bi morali izstavljalci računov sodelovati samo s ponudnikom plačilne platforme, ki je bil podvržen celovitim ocenam zasebnosti in varnosti ter certificiranjem, ki so jih opravile kvalificirane tretje osebe. Na primer, da bi bila informacijska sredstva varna, bi moral ponudnik plačilne platforme imeti certifikat ISO/IEC 27001 ali enakovreden certifikat, osredotočen na varnost.
Platforma mora biti tudi skladna s PCI in imeti vzpostavljene postopke, ki osebju za podporo strankam izstavljalca računov omogočajo ohranjanje skladnosti pri interakciji s strankami glede plačila.
Vsak obravnavani plačilni partner bi moral upoštevati NIST CSF, kibernetski varnostni okvir, ki vsebuje industrijske standarde in najboljše prakse za pomoč organizacijam pri razumevanju in zmanjšanju tveganja.
Na koncu vprašajte bodoče ponudnike plačilnih platform, ali izvajajo redno varnostno usposabljanje za svoje osebje – vključno s tveganji socialnega inženiringa – in testirajo svoje sisteme, da prepoznajo ranljivosti. Vedeti morate, da imate nekoga v notranjosti, ki razmišlja kot kibernetski kriminalci in ustrezno ukrepa.
Zaščita vsake povezave za digitalna plačila računov
Današnji sklop plačil računov je z dodatkom digitalnih možnosti plačevanja računov bolj zapleten kot kadar koli prej – digitalne denarnice, kode QR za skeniranje in plačilo, aplikacije za plačevanje med osebami in drugo.
Ne morete nadzorovati kriminalcev, lahko pa okrepite svojo dobavno verigo plačil od začetka do konca, tako da sodelujete s ponudnikom plačilne platforme, osredotočene na varnost, ki je vzpostavil zaščito, kot je dvofaktorsko preverjanje; šifriranje in tokenizacija; skupina za obvladovanje tveganj in skladnost; ter strokovne revizije tretjih oseb, varnostne teste in certifikate.
Razvoj mobilnega plačevanja računov je v polnem teku. Zdaj morajo strokovnjaki za plačila sodelovati, da ostanejo korak pred tistimi, ki to izkoriščajo.