I truffatori sono alla ricerca di vulnerabilità che possono utilizzare per accedere ai sistemi e rubare dati. Tuttavia, gli acquirenti devono ancora essere in grado di completare le transazioni utilizzando il loro metodo di pagamento preferito e godere di un'esperienza efficiente e senza attriti quando pagano.
Per proteggere i loro clienti e le loro attività pur offrendo un'ottima esperienza di pagamento, i commercianti devono comprendere le migliori pratiche di sicurezza online quando accettano pagamenti con carta di credito e metodi di pagamento alternativi.
I tre pilastri dell'elaborazione sicura dei pagamenti online
Ci sono tre fattori che i commercianti devono comprendere e gestire per creare un'esperienza di pagamento che sia semplice, sicura e fornisca protezione per tutti i metodi di pagamento, comprese le carte di credito e di debito e i metodi di pagamento alternativi.
Tre fattori per ridurre il rischio di pagamento
- Frode
- Sicurezza
- Conformità
Frode
La gestione delle frodi è fondamentale per le aziende e può richiedere modifiche ai metodi di pagamento offerti e un'ulteriore verifica dell'identificazione dell'acquirente. Alti tassi di frode possono far sì che le società di carte di credito revochino il diritto di un commerciante di elaborare i pagamenti e anche avere un impatto negativo sulla reputazione dell'azienda.
Sicurezza
Poiché i criminali informatici cercano le vulnerabilità per offrire loro l'opportunità di rubare preziosi dati personali e finanziari, i commercianti devono garantire che il processo di pagamento sia sicuro e protegga i dati importanti dell'azienda e dei clienti.
Conformità
Gli standard di privacy e sicurezza dei dati stabiliti da organismi di regolamentazione o da singoli paesi sono progettati per proteggere aziende e individui. I commercianti devono capire quali sono i loro obblighi e assicurarsi che continuino a rispettare i requisiti ovunque svolgano la loro attività.
10 migliori pratiche per l'elaborazione sicura dei pagamenti online
1. Abbina l'IP e le informazioni sull'indirizzo di fatturazione
Il controllo dei dettagli forniti durante la transazione può aiutare a segnalare una transazione potenzialmente fraudolenta e proteggere l'azienda prima che si verifichi una frode. Il servizio di verifica dell'indirizzo (AVS) confronta l'indirizzo IP dell'acquirente con l'indirizzo di fatturazione della carta di credito utilizzata per garantire che il cliente sia il titolare della carta.
2. Cripta i dati
SSL e TLS - (Transport Layer Security) TLS e (Secure Sockets Layer) sono protocolli che autenticano e crittografano i dati durante lo spostamento su Internet. La protezione delle transazioni con i protocolli SSL garantisce che le informazioni sensibili siano crittografate e accessibili solo al destinatario previsto.
3. Usa la tokenizzazione del pagamento
La tokenizzazione della carta di credito rende anonimi i dati sensibili di pagamento convertendoli in una stringa di numeri generati casualmente, chiamati "token". Come token, le informazioni possono essere inviate tramite Internet o reti di pagamento per completare il pagamento senza essere esposte.
4. Richiedi password complesse
I criminali informatici tentano di accedere agli account utente con combinazioni di nomi, compleanni e parole del dizionario utilizzate di frequente. La protezione degli account dei clienti con una password complessa può aggiungere una linea di difesa. Nel caso in cui il cliente non ricordi la propria password complessa, è necessario che sia attiva una procedura di "password dimenticata" per consentire loro di accedere al proprio account.
5. Implementa 3D Secure
3D Secure è un metodo di autenticazione progettato per impedire l'uso non autorizzato delle carte e protegge i commercianti di e-commerce da storni di addebito in caso di transazione fraudolenta. Commercianti, reti di carte e istituti finanziari condividono le informazioni per autenticare le transazioni. Tutti i commercianti sono tenuti a rispettare le nuove leggi dell'UE per una forte autenticazione dei clienti e 3D Secure è un modo efficiente per farlo.
6. Richiedi il CVV
Il valore di verifica della carta (CVV) può essere utilizzato per convalidare le transazioni con carta non presente sia al telefono che online. Se i numeri della carta di credito sono stati rubati, chiedere informazioni disponibili solo sulla carta può aiutare i commercianti a convalidare il pagamento.
7. Utilizzare l'autenticazione forte del cliente (SCA)
SCA viene utilizzato per ridurre le frodi e aumentare la sicurezza dei pagamenti online e richiede due o più elementi dall'uso nel processo di autenticazione. Qualcosa che conosci (una password o un PIN), qualcosa che possiedi (un badge o uno smartphone) o qualcosa che sei (impronte digitali o riconoscimento vocale).
8. Monitora continuamente le frodi
I commercianti hanno bisogno di un gateway di pagamento che rilevi e gestisca le frodi. Il monitoraggio delle frodi integrato identifica dove potrebbe esserci un rischio reale di un acquisto fraudolento. Le aziende possono impostare regole, in base alla loro situazione e tolleranza al rischio, che limitano o rifiutano le transazioni ritenute troppo ad alto rischio o richiedono l'approvazione manuale prima che una transazione sia completata.
9. Gestire la conformità PCI
I commercianti che elaborano, archiviano o trasmettono i dati della carta di credito devono essere conformi allo standard PCI. Le conseguenze di una violazione dei dati per un'azienda non conforme sono significative e possono includere multe e sanzioni costose oltre a danni significativi alla reputazione.
I processori di pagamento svolgono un ruolo importante nell'aiutare i commercianti a gestire e mantenere la conformità, ma le aziende dovrebbero assumere un ruolo proattivo per comprendere i propri obblighi e requisiti di conformità .
10. Formare i dipendenti
Fornire agli individui le conoscenze e le abilità che consentono loro di riconoscere e rispondere in modo appropriato. Quando il team comprende il processo di pagamento sicuro, è più preparato a identificare l'attività fraudolenta mentre si sta verificando e può prevenire incidenti di sicurezza delle informazioni.
L'utilizzo di queste best practice per l'elaborazione sicura dei pagamenti online è una componente importante per il successo dell'e-commerce internazionale.
Comprensione della conformità PCI
Industria delle carte di pagamento (PCI) / Payment Card Industry (PCI)
Comprendere la conformità PCI è essenziale per qualsiasi azienda che accetta pagamenti con carta, ma cos'è la conformità PCI? PCI DSS (Payment Card Industry Data Security Standard) è un insieme di standard stabiliti dal PCI Security Standards Council con l'obiettivo di proteggere i dati delle carte di credito e ridurre il rischio di frode.
Qualsiasi azienda che accetta pagamenti con carta deve rispettare le linee guida e i requisiti stabiliti, il che significa gestire e conservare le informazioni del titolare della carta, inclusi i dettagli della carta, in modo da mantenerle al sicuro.
La conformità PCI copre 6 aree principali:
1 Costruisci e mantieni una rete e sistemi sicuri
- Installa e mantieni un firewall
- Non utilizzare le impostazioni predefinite del fornitore per password e parametri di sicurezza
2 Proteggi i dati del titolare della carta
- Carte conservate in modo sicuro
- Criptare la trasmissione dei dati del titolare della carta
3 Mantenere un programma di gestione delle vulnerabilità
- Proteggiti dai malware e aggiorna regolarmente il software antivirus
- Sviluppare e mantenere sistemi e applicazioni di sicurezza
4 Implementare forti misure di controllo degli accessi
- Limita i dati dei titolari di carta in base alla necessità di sapere
- Identificare e autenticare l'accesso ai sistemi
- Limitare l'accesso fisico ai dati dei titolari di carta
5 Monitorare e testare regolarmente le reti
- Traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta
- Testare regolarmente i sistemi e i processi di sicurezza
6 Mantenere una politica di sicurezza delle informazioni
- Mantenere una politica che affronti la sicurezza delle informazioni per tutto il personale
Chi è soggetto alla conformità PCI?
Il consiglio PCI ha creato dei questionari di autovalutazione PCI per convalidare la tua conformità. Esistono quattro diversi livelli di conformità PCI. Il livello di conformità che la tua organizzazione deve soddisfare si basa principalmente sul volume delle transazioni con carta di credito che elabori in un periodo di 12 mesi.
Livello 1
Organizzazioni che elaborano più di 6 milioni di transazioni tramite Visa o MasterCard o più di 2,5 milioni per American Express. OPPURE hanno subito una violazione dei dati. OPPURE sono considerati di Livello 1 da un'associazione di carte, come Visa, MasterCard o Amex.
Requisiti PCI DSS di livello 1:
- Rapporto annuale sulla conformità di un valutatore della sicurezza qualificato (noto anche come valutazione in loco o QSA)
- Scansione di rete trimestrale da parte di un fornitore di scansioni approvato (ASV) https://www.pcisecuritystandards.org/document_libr...
- Attestato di conformità per le valutazioni in loco (AOC) https://www.pcisecuritystandards.org/pci_security/...
Livello 2
Organizzazioni che elaborano da 1 a 6 milioni di transazioni all'anno.
Requisiti PCI DSS di livello 2:
- Questionario di autovalutazione PCI DSS annuale (SAQ) https://www.pcisecuritystandards.org/pci_security/...
- Scansione di rete trimestrale da parte di un fornitore di scansioni approvato (ASV) https://www.pcisecuritystandards.org/assessors_and...
- Attestato di conformità per le valutazioni in loco (AOC) https://www.pcisecuritystandards.org/document_libr...
Livello 3
Organizzazioni che elaborano da 20.000 a 1 milione di transazioni online all'anno. O organizzazioni che elaborano meno di 1 milione di transazioni totali all'anno.
Requisiti PCI DSS di livello 3:
- Questionario di autovalutazione PCI DSS annuale (SAQ) https://www.pcisecuritystandards.org/pci_security/...
- Scansione di rete trimestrale da parte di un fornitore di scansioni approvato (ASV) https://www.pcisecuritystandards.org/assessors_and...
- Attestato di conformità per le valutazioni in loco (AOC) https://www.pcisecuritystandards.org/document_libr...
Livello 4
Organizzazioni che elaborano meno di 20.000 transazioni online all'anno. OPPURE Organizzazioni che elaborano 1 milione o meno di transazioni totali all'anno.
Requisiti PCI DSS di livello 4:
- Questionario di autovalutazione PCI DSS annuale (SAQ) https://www.pcisecuritystandards.org/pci_security/...
- Scansione di rete trimestrale da parte di un fornitore di scansioni approvato (ASV) https://www.pcisecuritystandards.org/assessors_and...
- Attestato di conformità per le valutazioni in loco (AOC) https://www.pcisecuritystandards.org/document_libr...
La pagina 18 del questionario di autovalutazione standard per la sicurezza dei dati nel settore delle carte di pagamento (PCI) ti aiuterà a scegliere il SAQ e l'AOC giusti per la tua organizzazione. https://www.pcisecuritystandards.org/documents/SAQ...
La conformità PCI potrebbe non coprire tutti i requisiti
Per saperne di più su cosa significa la conformità dei pagamenti per la tua azienda, leggi Spiegazione sulla conformità all'elaborazione dei pagamenti.https://www.rapyd.net/blog/payment-processing-comp...
