开账单的人正急于加入这些趋势,并使数字账单支付尽可能简单和顺畅。 但在他们走得太远之前,他们应该认识到新的支付类型和渠道增加了支付交付链的复杂性,需要额外关注供应商管理。 如果没有监督计划,企业及其客户可能会面临过度下降或争议、服务中断、交易成本增加和安全事件的风险。
2022 Verizon 数据泄露调查报告 指出,仅勒索软件攻击一项就在 13 年至 2020 年期间增加了 2021%,增幅超过过去五年的总和。 支付交付链中的供应商、合作伙伴和第三方对 62 年 2021% 的系统入侵事件负责,这可能代表“我们在行业中看到的更大趋势,即供应商、合作伙伴和第三方,”分析师表示。
开票人不能选择不提供数字支付选项——客户已经明确表示了他们的偏好。 然而,他们可以选择一个 支付平台合作伙伴 扩展和集成数字账单支付,同时有效地检测和管理风险。
我们可以从 Target 中吸取的教训
为了说明一次网络攻击的破坏力有多大,看看最近历史上最明显的例子之一会很有帮助:2013 年 Target 漏洞。 据一位 分析,事件发生后,Target 不得不投资 100 亿美元来改善其支付基础设施,并向银行和信用卡公司支付了另外 100 亿美元以上的款项,这些银行和信用卡公司必须偿还客户。
但更灾难性的是其声誉和客户信任度受到的打击。 该公司衡量品牌认知度的“口碑评分”在数据泄露后的一周内下降了 45 分,反过来,一个季度的利润下降了 46%。
您的公司可能不是像 Target 这样的大型零售商,但这种经验可以告诉开票人网络安全始终是“现在投资或以后付款”的计算。 立即投资安全支付平台,否则在发生安全漏洞时将面临财务损失。
此外,偷工减料的支付平台提供商可能会损害您目前为对冲网络损失而采取的保护措施。 例如,在 2021 年,勒索软件损失激增导致网络保险费成本上升 接近一倍 2021 年,一些保险公司完全放弃了对无法证明其及其支付平台提供商已到位的合理安全保护的公司的承保。 预先投资,包括选择合适的支付平台合作伙伴,需要付出努力和深思熟虑,但它可以让您免于在未来承担这些代价高昂的后果。
四种网络犯罪预防策略
有许多网络犯罪预防策略,但我将简要介绍您的支付平台提供商应采取的四种策略来防范网络攻击。
-
双因素和生物认证
作为支付体验的一部分,客户越来越希望获得保护。 而且,这是正确的。 长达一年 根据一项研究, 由谷歌、纽约大学和加州大学圣地亚哥分校发现,使用设备提示进行双因素身份验证的简单做法在防止绝大多数帐户劫持方面非常成功。 直接向存档设备发送消息并让个人点击消息进行身份验证可防止 100% 的自动机器人、99% 的批量网络钓鱼攻击和 90% 的针对性攻击。
更好的是生物特征认证,它内置于数字钱包和一些移动支付类型,如 Apple Pay 和 Google Pay。 客户完全避免输入支付信息,只需使用面部扫描或指纹即可访问他们的帐户。
是的,身份验证会增加支付体验的摩擦。 然而,在适当的时间实际为客户创造更好的体验时,摩擦是必要的。 在客户关系早期配置身份验证“信任拥抱”,通过消息传递让他们知道他们受到保护,免受欺诈交易,这一点至关重要。 然后可以实施业务规则来解决可能引发潜在欺诈的危险信号的异常情况。
支付提供商应制定客户参与策略,以教育客户并促进自动支付注册等功能的双因素身份验证。 对于内置生物识别身份验证,明智的做法是与支持的平台提供商合作 Apple Pay和Google Pay 作为付款选项,并生成特定于每个付款人账单的开票人唯一凭证。 当身份验证被设计为支付体验的一部分时,客户会很高兴,因为他们了解风险和潜在的数据盗用,以及补救这种情况的可避免麻烦。
-
加密和令牌化
加密和令牌化在保护数据方面发挥着不同的作用,因此应利用两者来促进数字支付。 令牌化是用唯一的加密值替换敏感的帐户级数据。 加密是将数据转换为“秘密值”的方法。
一起使用它们可以帮助公司避免破坏性的数据泄露,从而与客户建立信任。 此外,这些安全措施可帮助您的支付平台提供商满足任何收集信用卡或借记卡信息的企业所必需的法规遵从性要求,这使它们成为您的支付平台提供商安全工具带中的必备工具。
这些方法可以保护敏感的支付数据不被网络罪犯窃取和勒索。 更好的是,这些方法起到了威慑作用,因为黑客倾向于攻击不受保护的目标,这些目标可以用最少的努力获得巨大的回报。 如果他们不能轻松快速地找到有价值的信息,他们就会撤退并转向别处。
-
风险缓解团队
网络罪犯既有创造力又有技巧,因此为您提供同样强大的防御非常重要。 这意味着您的支付合作伙伴拥有一支由经验丰富的风险、合规和技术专家组成的跨职能团队,他们知道如何设计和构建安全的支付环境:风险负责人领导可扩展控制环境的开发; 一名信息安全官员负责监督周边监控、进行持续测试和执行安全审计; 工作人员致力于降低运营风险并在必要时实施动态安全协议; 以及一名法律和合规官,负责与监管机构合作,协调监管审计并确保合规性。
请记住,将风险保护设计到支付产品或服务中比事后改造更具成本效益,因此寻找具有内置控制的支付平台,以及根据客户需求定制的有才华的团队.
-
审计、认证和安全标准与测试
随着支付类型和技术的加速发展,一些支付平台提供商未能在内部和外部审计、安全测试和安全认证程序上优先安排时间和资源。 然而,这些监督领域提供了有效的第三道防线——在运营和风险管理和合规等二线功能之后——以确保该平台从“安全卫生”和监管角度来看是健全的。 三线审计职能使支付平台提供商保持敏锐、负责,并向高级管理层和董事会成员保证前两道防线符合预期。
出于这个原因,开票人应该只与经过合格第三方执行的全面隐私和安全评估和认证的支付平台提供商合作。 例如,为了保证信息资产的安全,支付平台提供商应该拥有 ISO/IEC 27001 认证或同等的安全认证。
该平台还应符合 PCI 标准,并具有适当的流程,使开票方的客户支持人员在与客户就付款进行交互时能够保持合规性。
每个正在考虑的支付合作伙伴都应遵循 NIST CSF,这是一个包含行业标准和最佳实践的网络安全框架,可帮助组织了解和降低风险。
最后,询问潜在的支付平台提供商他们是否对其员工进行定期安全培训(包括社会工程风险)并测试他们的系统以识别漏洞。 你需要知道你的内部有人像网络罪犯一样思考并采取相应的预防措施。
保护数字账单支付的每个环节
随着数字账单支付选项的增加——数字钱包、扫描支付 QR 码、个人对个人支付应用程序等,如今的账单支付堆栈比以往任何时候都更加复杂。
您无法控制犯罪分子,但您可以通过与以安全为中心的支付平台提供商合作,从头到尾加强您的支付供应链,该提供商已实施双因素验证等保护措施; 加密和令牌化; 风险管理和合规团队; 以及专业的第三方审计、安全测试和认证。
移动账单支付的发展如火如荼。 现在,支付专业人士必须共同努力,才能比那些努力利用它的人领先一步。
时间戳记: