Bokförare skyndar sig att komma med på dessa trender och göra digital fakturabetalning så enkel och friktionsfri som möjligt. Men innan de kommer för långt på den vägen bör de inse att nya betalningstyper och kanaler lägger till komplexitet till betalningsleveranskedjan och kräver ytterligare fokus på leverantörshantering. Utan ett tillsynsprogram kan företaget och deras kunder riskera att drabbas av alltför stora avslag eller tvister, tjänstavbrott, ökade transaktionskostnader och säkerhetsincidenter.
Smakämnen 2022 Verizon Data Breach Investigations rapport noterade att enbart ransomware-attacker ökade med 13 % mellan 2020 och 2021 – ett större hopp än de senaste fem åren tillsammans. Leverantörer, partners och tredje parter i betalningsleveranskedjan var ansvariga för 62 % av systemintrångsincidenterna 2021, vilket kan representera "större trender som vi har sett i branschen, när det gäller de sammankopplade riskerna som finns mellan leverantörer, partners och tredje parter”, enligt analytikerna.
Billers kan inte välja bort att erbjuda digitala betalningsalternativ – kunderna har redan gjort sina preferenser tydliga. De kan dock välja en betalningsplattformspartner som utökar och integrerar digital fakturabetalning, samtidigt som den effektivt upptäcker och hanterar risker.
Lärdomar vi kan dra av Target
För att illustrera hur skadlig en enskild cyberattack kan vara, är det bra att titta på ett av de mest synliga exemplen i nyare historia: 2013 års målöverträdelse. Enligt en analys, var Target tvungen att investera 100 miljoner dollar efter incidenten för att förbättra sin betalningsinfrastruktur, och ytterligare 100 miljoner dollar i utbetalningar till banker och kreditkortsföretag som var tvungna att ersätta kunder.
Men ännu mer katastrofal drabbades dess rykte och kundernas förtroende. Företagets "buzz-poäng", som mäter varumärkesuppfattning, sjönk 45 poäng under veckan efter intrånget och i sin tur sjönk vinsten med 46% under ett kvartal.
Ditt företag kanske inte är en megaåterförsäljare som Target, men den här erfarenheten kan lära fakturorer att cybersäkerhet alltid är en "investera nu eller betala senare"-kalkyl. Investera i en säker betalningsplattform nu, eller möta det ekonomiska nedfallet när ett säkerhetsintrång inträffar.
Dessutom kan en leverantör av betalningsplattformar som skär hörn äventyra just de skydd du för närvarande har på plats för att säkra dig mot cyberförluster. Till exempel, 2021 orsakade ökande förluster av ransomware att kostnaden för cyberförsäkringspremier nästan dubbelt 2021, och vissa försäkringsbolag släppte täckningen helt för företag som inte kunde visa att de och deras betalningsplattformsleverantör har rimliga säkerhetsskydd på plats. Att investera i förväg, inklusive att välja rätt betalningsplattformspartner, kräver ansträngning och eftertanke, men det kan rädda dig från dessa kostsamma konsekvenser i framtiden.
Fyra strategier för förebyggande av it-brottslighet
Det finns många strategier för att förebygga cyberbrott, men jag ska kortfattat täcka fyra som din leverantör av betalningsplattformar bör ha på plats för att skydda sig mot cyberattacker.
Tvåfaktors- och biometrisk autentisering
Kunder förväntar sig i allt högre grad att få skydd som en del av betalningsupplevelsen. Och, med rätta. Ett år långt studera av Google, New York University och UC San Diego fann att den enkla metoden med tvåfaktorsautentisering med hjälp av uppmaningar på enheten var mycket framgångsrika för att förhindra de allra flesta kontokapningar. Att skicka ett meddelande direkt till den registrerade enheten och låta den individuella trycka på meddelandet för att autentisera förhindrade 100 % av automatiserade bots, 99 % av bulkattacker med nätfiske och 90 % av riktade attacker.
Ännu bättre är biometrisk autentisering, som är inbyggd i digitala plånböcker och vissa mobila betalningstyper som Apple Pay och Google Pay. Kunder undviker helt och hållet att ange betalningsinformation, utan att använda en ansiktsskanning eller fingeravtryck för att komma åt sitt konto.
Ja, autentisering kan lägga till friktion till betalningsupplevelsen. Det är dock nödvändig friktion som, när den är rätt tidsinställd, faktiskt skapar en bättre upplevelse för kunderna. Det är viktigt att konfigurera autentiseringens "trust kram" tidigt i kundrelationen med meddelanden som låter dem veta att de skyddas mot bedrägliga transaktioner. Affärsregler kan sedan implementeras för att åtgärda anomalier som höjer en röd flagga för potentiellt bedrägeri.
Betalningsleverantören bör ha en strategi för kundengagemang för att utbilda kunder och underlätta tvåfaktorsautentisering för funktioner som registrering av automatisk betalning. För inbyggd biometrisk autentisering är det smart att arbeta med en plattformsleverantör som möjliggör Apple Pay och Google Pay som betalningsalternativ och genererar fakturerarunika autentiseringsuppgifter som är specifika för varje betalares räkning. Kunder uppskattar när autentisering är utformad som en del av betalningsupplevelsen eftersom de förstår risken och potentiella förskingring av deras data, samt det undvikbara krånglet att åtgärda situationen.
Kryptering och tokenisering
Kryptering och tokenisering spelar olika roller för att skydda data, så båda bör utnyttjas för att underlätta digitala betalningar. Tokenisering är att ersätta känslig data på kontonivå med ett unikt krypterat värde. Kryptering är metoden där data omvandlas till ett "hemligt värde".
Att använda dem tillsammans hjälper företag att bygga förtroende hos kunder genom att undvika skadliga dataintrång. Dessutom hjälper dessa säkerhetsåtgärder din leverantör av betalningsplattformar att uppfylla regelefterlevnadskrav som är nödvändiga för alla företag som samlar in kredit- eller betalkortsinformation, vilket gör att de måste ha verktyg i din betalningsplattformsleverantörs säkerhetsverktygsbälte.
Dessa metoder skyddar känslig betalningsdata från att bli stulen och lösen av cyberbrottslingar. Ännu bättre, dessa metoder fungerar som avskräckande, eftersom hackare tenderar att dras till oskyddade mål som erbjuder en stor utdelning med minimal ansträngning. Om de inte enkelt och snabbt kan hitta värdefull information kommer de att dra sig tillbaka och leta någon annanstans.
Ett team för riskreducering
Cyberkriminella är både kreativa och skickliga, så det är viktigt att ha ett lika formidabelt försvar på sin sida. Det betyder att din betalningspartner har ett tvärfunktionellt team av erfarna risk-, efterlevnads- och teknikproffs som vet hur man designar och bygger en säker betalningsmiljö: en riskchef för att leda utvecklingen av en skalbar kontrollmiljö; en informationssäkerhetsansvarig för att övervaka övervakningen av omkretsen, genomföra pågående tester och utföra säkerhetsrevisioner; personal som är dedikerade till att minska operativa risker och implementera dynamiska säkerhetsprotokoll vid behov; och en juridisk och efterlevnadsansvarig för att arbeta med tillsynsmyndigheter, samordna regelrevisioner och säkerställa regelefterlevnad.
Tänk på att designa riskskydd i en betalningsprodukt eller tjänst är mycket mer kostnadseffektivt än eftermontering i efterhand, så leta efter en betalningsplattform med inbyggda kontroller, samt ett talangfullt team som anpassar dem efter kundens behov .
Revisioner, certifieringar och säkerhetsstandarder och tester
Med den ökande takten för betalningstyper och teknologier har vissa leverantörer av betalningsplattformar misslyckats med att prioritera tid och resurser i interna och externa revisioner, säkerhetstester och säkerhetscertifieringsprocedurer. Dessa tillsynsområden tillhandahåller dock en effektiv tredje försvarslinje – efter operationer och andra linjens funktioner som riskhantering och efterlevnad – för att säkerställa att plattformen är sund ur ett "säkerhetshygieniskt" och regulatoriskt perspektiv. Tredje linjens revisionsfunktioner håller leverantörer av betalningsplattformar skarpa, ansvarsfulla och ger försäkring till ledande befattningshavare och styrelsemedlemmar att de två första försvarslinjerna uppfyller förväntningarna.
Av den anledningen bör fakturorer endast arbeta med en betalplattformsleverantör som har genomgått omfattande integritets- och säkerhetsbedömningar och certifieringar utförda av kvalificerade tredje parter. Till exempel, för att hålla informationstillgångar säkra, bör en leverantör av betalningsplattformar ha ISO/IEC 27001-certifieringen eller en motsvarande säkerhetsfokuserad certifiering.
Plattformen bör också vara PCI-kompatibel och ha processer på plats för att göra det möjligt för fakturautställarens kundsupportpersonal att upprätthålla efterlevnad när de interagerar med kunder angående betalning.
Varje betalningspartner som övervägs bör följa NIST CSF, ett ramverk för cybersäkerhet som innehåller industristandarder och bästa praxis för att hjälpa organisationer att förstå och minska deras risker.
Slutligen, fråga potentiella leverantörer av betalningsplattformar om de genomför regelbunden säkerhetsutbildning för sin personal – inklusive sociala ingenjörsrisker – och testa deras system för att identifiera sårbarheter. Du måste veta att du har någon på insidan som tänker som cyberkriminella och vidtar förebyggande åtgärder därefter.
Säkra varje länk för digitala fakturabetalningar
Dagens fakturabetalningsstack är mer komplex än någonsin med tillägget av digitala fakturabetalningsalternativ – digitala plånböcker, skanna och betala QR-koder, person-till-person betalningsappar och mer.
Du kan inte kontrollera brottslingarna, men du kan stärka din betalningsförsörjningskedja, från början till slut, genom att arbeta med en säkerhetsfokuserad betalningsplattformsleverantör som har infört skydd, såsom tvåfaktorsverifiering; kryptering och tokenisering; ett team för riskhantering och efterlevnad; och professionella tredjepartsrevisioner, säkerhetstester och certifieringar.
Utvecklingen av mobilräkningsbetalning är i full gång. Nu måste betalningsproffs arbeta tillsammans för att ligga steget före dem som arbetar för att utnyttja det.