Виставники рахунків поспішають прийняти ці тенденції та зробити цифрову оплату рахунків максимально легкою та легкою. Але перш ніж вони зайдуть занадто далеко на цьому шляху, їм слід усвідомити, що нові типи та канали платежів ускладнюють ланцюг доставки платежів і вимагають додаткової уваги до управління постачальниками. Без програми нагляду компанія та її клієнти потенційно можуть опинитися під загрозою надмірних відхилень або суперечок, перебоїв у наданні послуг, збільшення витрат на транзакції та інцидентів безпеки.
Команда Звіт Verizon про розслідування витоку даних за 2022 рік зазначив, що кількість лише атак програм-вимагачів зросла на 13% між 2020 і 2021 роками — це більший стрибок, ніж за останні п’ять років разом узяті. Постачальники, партнери та треті сторони в ланцюжку доставки платежів були відповідальними за 62% інцидентів вторгнення в систему у 2021 році, що може свідчити про «більші тенденції, які ми спостерігаємо в галузі, з точки зору взаємопов’язаних ризиків, які існують між постачальників, партнерів і третіх сторін», - зазначають аналітики.
Виставники рахунків не можуть відмовитися від пропозиції цифрових варіантів оплати — клієнти вже чітко вказали свої переваги. Однак вони можуть вибрати a партнер платіжної платформи який розширює та інтегрує цифрові платежі за рахунками, одночасно ефективно виявляючи та керуючи ризиками.
Уроки, які ми можемо отримати від Target
Щоб проілюструвати, наскільки згубною може бути одна кібератака, корисно поглянути на один із найяскравіших прикладів у новітній історії: злом Target 2013 року. Згідно з одним аналіз, Target довелося інвестувати 100 мільйонів доларів після інциденту, щоб покращити свою платіжну інфраструктуру, і ще понад 100 мільйонів доларів у виплати банкам і компаніям кредитних карток, які мали відшкодовувати клієнтам.
Але ще більш катастрофічним був удар по його репутації та довірі клієнтів. «Рейтинг компанії», який вимірює сприйняття бренду, впав на 45 пунктів протягом тижня після злому, і, у свою чергу, прибуток впав на 46% за один квартал.
Можливо, ваша компанія не є таким мегароздрібним продавцем, як Target, але цей досвід може навчити продавців, що кібербезпека — це завжди розрахунок «інвестуйте зараз або платіть пізніше». Інвестуйте в безпечну платіжну платформу зараз або зіткніться з фінансовими наслідками, коли станеться порушення безпеки.
Крім того, постачальник платіжної платформи, який не працює, може поставити під загрозу той самий захист, який ви зараз маєте для страхування від кіберзбитків. Наприклад, у 2021 році різке зростання збитків від програм-вимагачів призвело до того, що витрати на кіберстрахування зросли до майже вдвічі у 2021 році, і деякі страховики повністю відмовилися від покриття для компаній, які не змогли продемонструвати, що вони та їхній постачальник платіжної платформи мають належний захист безпеки. Попереднє інвестування, зокрема вибір відповідного партнера платіжної платформи, потребує зусиль і продуманості, але це може врятувати вас від цих дорогих наслідків у майбутньому.
Чотири стратегії запобігання кіберзлочинності
Існує багато стратегій запобігання кіберзлочинам, але я коротко розповім про чотири, які повинен мати ваш постачальник платіжної платформи для захисту від кібератак.
Двофакторна та біометрична автентифікація
Клієнти все більше очікують, що їм буде надано захист як частину досвіду платежів. І це правильно. Цілий рік вчитися Google, Університет Нью-Йорка та Каліфорнійський університет у Сан-Дієго виявили, що проста практика двофакторної автентифікації за допомогою підказок на пристрої була дуже успішною для запобігання переважній більшості викрадень облікових записів. Надсилання повідомлення безпосередньо на пристрій у файлі та індивідуальне натискання повідомлення для автентифікації запобігло 100% автоматизованих ботів, 99% масових фішингових атак і 90% цілеспрямованих атак.
Ще кращою є біометрична автентифікація, яка вбудована в цифрові гаманці та деякі типи мобільних платежів, наприклад Apple Pay і Google Pay. Клієнти взагалі уникають введення платіжної інформації, просто використовуючи сканування обличчя або відбиток пальця для доступу до свого облікового запису.
Так, автентифікація може ускладнити процес платежів. Однак це необхідне тертя, яке за правильного часу насправді створює кращий досвід для клієнтів. Важливо налаштувати автентифікаційний «довірчий обійм» на ранніх стадіях відносин з клієнтом за допомогою обміну повідомленнями, який дає їм знати, що вони захищені від шахрайських транзакцій. Потім можна запровадити бізнес-правила для усунення аномалій, які викликають червоний прапорець для потенційного шахрайства.
Постачальник платежів повинен мати стратегію залучення клієнтів для навчання клієнтів і полегшення двофакторної автентифікації для таких функцій, як реєстрація автоплатежів. Для вбудованої біометричної автентифікації доцільно співпрацювати з постачальником платформи, який це підтримує Apple Pay і Google Pay як варіанти оплати та генерує унікальні облікові дані для кожного платника. Клієнти цінують, коли автентифікація розроблена як частина платежів, оскільки вони розуміють ризик і можливе незаконне привласнення їхніх даних, а також труднощів, яких можна уникнути, щоб виправити ситуацію.
Шифрування та токенізація
Шифрування та токенізація відіграють різну роль у захисті даних, тому для полегшення цифрових платежів слід використовувати обидва. Токенізація — це заміна конфіденційних даних на рівні облікового запису унікальним зашифрованим значенням. Шифрування — це метод, за допомогою якого дані перетворюються на «секретне значення».
Їхнє використання разом допомагає компаніям зміцнювати довіру клієнтів, уникаючи шкідливих порушень даних. Крім того, ці заходи безпеки допомагають вашому постачальнику платіжної платформи відповідати нормативним вимогам, необхідним для будь-якої компанії, яка збирає інформацію про кредитні або дебетові картки, що робить їх обов’язковими інструментами в системі безпеки вашого постачальника платіжної платформи.
Ці методи захищають конфіденційні платіжні дані від викрадення та викупу кіберзлочинцями. Навіть краще, ці методи діють як стримуючий фактор, оскільки хакери, як правило, тяжіють до незахищених цілей, які пропонують велику винагороду з мінімальними зусиллями. Якщо вони не можуть легко і швидко знайти цінну інформацію, вони відступлять і шукатимуть деінде.
Команда зменшення ризиків
Кіберзлочинці креативні та вправні, тому важливо мати на своєму боці настільки ж потужний захист. Це означає, що у вашого платіжного партнера працює міжфункціональна команда досвідчених професіоналів із ризиків, відповідності та технологій, які знають, як розробити та створити безпечне платіжне середовище: керівник відділу ризиків, який керуватиме розробкою масштабованого середовища контролю; офіцер з інформаційної безпеки для контролю за моніторингом периметра, проведення поточного тестування та проведення аудитів безпеки; співробітники, присвячені зниженню операційного ризику та впровадженню динамічних протоколів безпеки, якщо необхідно; і фахівець з правових питань та комплаєнс для роботи з регуляторними органами, координації регулятивних аудитів і забезпечення дотримання нормативних вимог.
Пам’ятайте, що розробка засобів захисту від ризиків у платіжний продукт чи послугу є набагато економічнішою, ніж модернізація після факту, тому шукайте платіжну платформу з вбудованими елементами керування, а також талановиту команду, яка адаптує їх до потреб клієнта. .
Аудити, сертифікації та стандарти та тести безпеки
У зв’язку зі збільшенням кількості типів і технологій платежів деякі постачальники платіжних платформ не змогли визначити пріоритетність часу та ресурсів у внутрішніх і зовнішніх аудитах, тестах безпеки та процедурах сертифікації безпеки. Однак ці сфери нагляду забезпечують ефективну третю лінію захисту — після операцій і функцій другої лінії, таких як управління ризиками та відповідність — для забезпечення надійності платформи з точки зору «гігієни безпеки» та нормативної точки зору. Функції аудиту третьої лінії забезпечують чіткість і підзвітність постачальників платіжних платформ і забезпечують впевненість вищого керівництва та членів правління, що перші дві лінії захисту відповідають очікуванням.
З цієї причини постачальники рахунків повинні працювати лише з постачальником платіжної платформи, який пройшов комплексну оцінку конфіденційності та безпеки та сертифікацію, виконану кваліфікованими третіми сторонами. Наприклад, для забезпечення безпеки інформаційних активів постачальник платіжної платформи повинен мати сертифікат ISO/IEC 27001 або еквівалентну сертифікацію, орієнтовану на безпеку.
Платформа також має бути сумісною з PCI і мати налаштовані процеси, які дозволятимуть персоналу служби підтримки клієнтів постачальника рахунків підтримувати відповідність під час взаємодії з клієнтами щодо оплати.
Кожен платіжний партнер, якого розглядають, повинен дотримуватися NIST CSF, системи кібербезпеки, яка містить галузеві стандарти та найкращі практики, щоб допомогти організаціям зрозуміти та зменшити ризики.
Нарешті, запитайте потенційних постачальників платіжних платформ, чи проводять вони регулярні тренінги з безпеки для свого персоналу, включно з ризиками соціальної інженерії, і тестують свої системи для виявлення вразливостей. Ви повинні знати, що всередині вас є хтось, хто думає, як кіберзлочинці, і вживає відповідних заходів.
Захист кожного посилання для цифрових платежів
Сучасний пакет оплати рахунків став складнішим, ніж будь-коли, завдяки доданню цифрових варіантів оплати рахунків — цифрових гаманців, QR-кодів зі скануванням і оплатою, додатків для оплати між особами тощо.
Ви не можете контролювати злочинців, але ви можете зміцнити свій платіжний ланцюг від початку до кінця, працюючи з орієнтованим на безпеку постачальником платіжної платформи, який запровадив захист, наприклад двофакторну перевірку; шифрування та токенізація; група управління ризиками та відповідності; а також професійні сторонні аудити, тести безпеки та сертифікації.
Еволюція мобільних платежів йде повним ходом. Тепер професіонали з платежів повинні працювати разом, щоб залишатися на крок попереду тих, хто працює над його використанням.