有人可能会问,为什么企业如此容易受到网络欺诈的影响。 答案是双重的。 许多商家没有以正确的方式确保在线支付处理的安全,但欺诈者也应受到一些表扬,因为他们的骗局越来越难以打击。 在本文中,我们将揭示如何确保在线支付安全和保护客户敏感数据的 11 种最佳做法。
电子商务欺诈的范围很广,从典型的账户接管到信用卡被盗,还有更复杂的三角诈骗计划,即骗子充当网上购物的秘密中间人。 全面的欺诈检测和预防方法可使您的网店远离黑客的诡计。 遵循我们的做法,获得最佳的电子商务支付保护。
如何确保在线支付处理的安全性?
可靠的在线供应商或服务与可疑供应商或服务的区别在于安全的在线交易和支付。 以下见解和策略将帮助您实施强有力的安全措施。
1.加密客户支付数据
网站安全始于 SSL(安全套接字层)证书。 这个小型数字文件使用 TLS(传输层安全)协议对用户浏览器和网络服务器之间传输的数据进行加密。 自互联网诞生之初,SSL/TLS 加密技术就一直是电子商务发展的支柱,现在已成为所有网站的必备技术。
对于电子商务平台来说,SSL 加密是 PCI DDS(支付卡行业数据安全标准)合规性的一部分,这是针对处理持卡人数据的组织机构的通用安全标准。
由于 SSL 证书种类繁多,大多数电子商务网站的最佳选择是商业验证 (BV) SSL 证书。 BV SSL 是一种高保证证书,可证明公司的官方身份。 验证过程需要贵方提交书面材料,但您可以通过为贵组织获取 LEI 代码来加快验证过程。
2.收集和存储尽可能少的数据
从客户那里收集的数据越多,一旦发生泄露,风险就越大。 包括《通用数据保护条例》(GDPR)在内的最新立法对如何收集、存储和访问数据提出了严格要求。
不要因为可以就收集和存储数据,尤其是涉及个人数据时。 收集客户的姓名、地址或信用卡付款详情等基本信息,并将其存储在安全加密的云系统中。
3.符合 PCI 标准
PCI 合规性依赖于三个关键方面:信用卡数据保护、存储数据安全和年度验证。 如果您使用第三方支付处理商,PCI 合规性管理的很大一部分就成了他们的责任。 尽管如此,了解和理解自己的义务还是非常重要的。
12 项 PCI 合规要求概述如下:
- 维护防火墙,保护企业网络内的持卡人数据
- 保护物理和虚拟系统上的存储数据
- 不要使用默认密码。 定期更换。
- 使用 SSL 证书加密在公共网络上传输的持卡人数据
- 限制对持卡人数据的访问
- 限制对系统组件的访问
- 限制对持卡人数据的物理访问
- 跟踪和监控网络资源和持卡人数据的访问情况
- 开发并维护安全的系统和应用程序
- 扫描所有存储敏感数据的系统,查找潜在漏洞
- 定期测试安全系统和流程
- 在系统和人员中保持标准的安全策略
4.实施 3D 安全
3D Secure 是 3 域服务器的缩写,是一种涉及三方的安全协议,三方是 3D Secure 过程中的关键人物:
- 出售物品的商家
- 公司的银行–收购银行
- 发卡机构–通常是 VISA 或 MasterCard。
3D 安全认证方法可防止未经授权使用卡片。 它还能在发生欺诈交易时保护商家免受扣款。 有了这项新技术,银行卡的滥用和支付损失就会大大减少。
5.要求密码坚固
永远不要低估一个强大密码的威力。 根据 Verizon 的数据,凭证外泄是网络攻击最常见的原因,占外泄事件的 61%。 网站不允许用户创建弱密码是有原因的–这是一场等待发生的灾难。
只要把密码加长几个字符,黑客就会多出一万亿个破解密码的组合。 下面介绍如何让密码几乎牢不可破:
- 在任何情况下,避免提供任何个人信息
- 如果字典里能找到这个词,就不要用。
- 包括各种特殊字符(数字、大写字母、符号)
- 使用 Dashline 或 Lastpass 等知名密码管理器提供的密码生成器。
6.使用强大的客户身份验证
强大的客户身份验证(SCA)可在用户登录系统时增加一层安全性。 它能防止不受控制的软件访问,并能超有效地抵御自动僵尸攻击(据微软称,防范率高达 99.9%)。 SCA 要求用户从三个可用的身份因素中至少提供两个:密码、面部/指纹扫描或手机。
另一种验证在线交易的有效方法是卡验证值 (CVV),即 VISA、MasterCard、Discover 和 American Express 信用卡背面的 3-4 位数字。
CVV 可防止信用卡被盗、欺诈和未经授权的交易。 它确保只有卡主才能使用该卡。 即使有人掌握了卡号,没有 CVV 也无法进行交易。
7.使用安全的在线支付方法和供应商
Stripe 等第三方支付处理器或 Shopify 等一体化电子商务平台可简化您的业务,使您不必担心数据存储和安全问题。 最重要的是,您可以免于承担与在线欺诈相关的责任和风险。
由可靠的第三方平台提供支持的在线商店默认符合 PCI 标准,并具有先进的安全基础设施,让您安心专注于业务增长。
8.使用地址验证服务
地址验证服务(AVS)用于电子商务支付,以提高安全性并降低欺诈交易的风险。 AVS 将持卡人在交易中提供的账单地址与发卡机构存档的地址进行核对。
AVS 有助于发现潜在的欺诈活动。 如果交易来自不同的国家,而不是存档的账单地址,就会引起注意。 商户可以配置其支付系统,根据收到的 AVS 响应代码自动标记或审查交易。
与任何系统一样,AWS 也有其局限性。 它可能不会考虑地址格式的变化或细微差别,如拼写错误或街道缩写不同。 此外,AVS 不会核实持卡人的身份或账户资金的可用性。
9.全天候监控欺诈行为
主动出击总比被动应对要好,尤其是当客户的隐私受到威胁时。 值得庆幸的是,有很多工具和欺诈管理系统可以保护您的业务。 如果再加上人工智能,黑客就无法破坏你的安全系统了。 以下是监控和预防欺诈的方法:
- 在所有连接到支付终端的设备上安装杀毒软件。 定期更新网站和软件,并使用最新的安全补丁。
- 扫描系统漏洞,发现网络犯罪分子可能利用的潜在漏洞,因为他们的主要目的是用恶意软件感染支付提供商的服务器,从用户那里获取实时支付数据。 PCI 合规性要求进行漏洞扫描,因此要使用 PCI 批准的扫描供应商(通常称为 ASV)。
- 让人工智能和机器学习通过跟踪客户行为来分析可疑活动。 人工智能正迅速成为网络安全的关键,它可以为您的企业长期节省大量资金。
10.培训员工
网络安全意识应列入每家网络公司的议事日程。 安全文化是抵御持续威胁的最佳 “软 “防御,尤其是当36% 的数据泄露来自内部人员时。 为防止不法员工的破坏,应限制系统访问权限,并将安全关键型工作负载分隔开来。
员工应了解您的安全协议以及发生数据泄露后应采取的措施。 根据高级计算系统协会(USENIX)的建议,公司应每四到六个月举办一次网络安全培训。 他们对网络钓鱼意识的研究发现,员工往往会忘记他们所学到的知识,因此通过不断提醒他们网络犯罪的危险性,可以保护您的企业和客户。
11.定期更新和修补系统
所有软件和系统都要打上最新的安全补丁,这对维护安全的在线支付处理环境至关重要。 网络犯罪分子经常利用过时软件中的漏洞来获取未经授权的访问权限或发起攻击。
由于系统未打补丁,已经发生了多起备受瞩目的安全漏洞事件。 例如,2017 年发生的Equifax 漏洞事件就是由于该公司未能修补一个已知漏洞造成的,该事件暴露了数百万人的敏感个人信息。 同样,2017 年的 WannaCry 勒索软件也是针对未打补丁的系统,造成了严重破坏和经济损失。
安全专家一直强调补丁管理的重要性。 最佳实践,如互联网安全中心(CIS)概述的最佳实践,强调需要采取积极主动的方法打补丁,包括建立定期补丁周期、利用自动补丁管理工具,以及进行漏洞评估以确定和解决薄弱环节。
最终想法
电子商务正在成为我们数字世界的默认购物方式。 但是,在家里就能方便地购买商品,也带来了欺诈的风险。 保护购物者的敏感数据并提高工作场所的网络安全意识是每个企业的责任。 我们已经向您介绍了如何确保在线支付安全,现在轮到您主动出击,保护您的在线业务免受财务和声誉损失了。
