Translator|刘涛点评|孙淑娟支付业务出现任何问题都可能导致直接的、可衡量的损失。数据泄露、欺诈性诈骗或仅仅是与供应商的沟通不畅可能会造成数百万美元的损失。本文介绍了反欺诈、PCIDSS、账户对账等防范措施,以防止此类问题的发生。评估问题在研究预防措施之前,让我们先看看现实世界中常见的问题——数据泄露和在线欺诈。数据泄露2021年至2022年期间,美国所有类型基础设施的数据泄露平均成本为每实例$360百万美元。对于金融机构而言,数据泄露的平均成本甚至更高,为585万美元。这个数字自去年以来又增加了10%。COVID-19迫使许多人在家工作,但并非所有公司都有时间采用网络安全技术,例如零信任安全和其他分布式安全技术。因此,随着数据处理费用的增加,事件的数量和成本也会增加。欺诈欺诈是指某人为了获得特定利益而故意欺骗他人,其中最常见的是金融欺诈。欺诈有多种类型:网络钓鱼。这是一种比较常见的以获取用户个人信息为目的的欺诈行为。幸运的是,现代电子邮件提供商和运营商已经学会识别网络钓鱼电子邮件并将其标记为垃圾邮件以防止用户打开它们。友好欺诈或欺诈性退单。这是强制性的用户退款。例如,如果有人使用信用卡支付服务费用,则可以利用使用条款或其他规则中的漏洞来骗取退款。如果是数码产品,可以多次使用。Twitch(视频游戏直播视频平台)经常遇到这个问题。该平台的一项服务允许主播通过阅读消息或点击用户名获得“红包”。用户在收到1美元、3美元、5美元或更多的奖金后立即要求退款的做法已经变得如此普遍,因为Twitch上的退款申请流程非常简单。这就是为什么该服务后来决定引入验证机制的原因。信用卡盗窃。如果持卡人没有3DS等安全措施,卡片落入骗子手中,损失的资金将无法挽回。帐户接管欺诈。例如,当用户支付一项服务时,他或她依次输入卡的详细信息,确认交易,并在信用卡交易报表服务中看到支付成功的消息。但在此过程中,信用卡数据最终可能会在用户不知情的情况下被盗并用于支付。最好的解决方案是启用动态CVV、设置信用卡支付限额并应用其他基本安全规则。为了说明欺诈问题的严重性,以下是全球信用卡购买总额与欺诈损失的比较统计数据:供应商可以做什么供应商本身可以影响欺诈的数量。为此,需要检查、保存所有交易并跟踪其历史记录。在处理大量支付交易时,手动进行此类检查几乎是不可能的。因此,厂商必须提供一些有效的武器来打击欺诈。规则引擎顾名思义,该解决方案根据既定规则过滤交易事件。在交易过程中,系统会读取所有可用信息,包括设备、地理位置、客户历史记录、IP地址历史记录等。系统会根据这些信息汇总可用于创建规则的指标。例如,如果客户定期付款并且汇率很高,那么他们可以自由地确认交易。但如果没有任何规则可遵循,那么供应商会自动采用其他安全规则。评分和AI欺诈评分是一个定量评估交易风险级别的过程。它基于机器学习技术,通过各种指标验证每笔交易。然后系统会打印一个简单的分数,表明交易风险的水平。评估过程包括以下步骤:1.客户发起交易。2.系统收集所有与客户相关的信息(付款记录、电话号码、E-mail、IP地址等)。3.通过评分系统分析所有信息。4.系统为每个指标分配正面或负面的分数。5.计算总分。6.根据总分,系统将执行以下操作之一:批准、拒绝或转发交易以供人工审核。公司可以创建自己的评分系统或使用第三方服务。人工智能对于处理大量数据的企业非常重要,因为不同类型的企业甚至特定客户都需要定制评分。人工智能帮助系统适应各种突发事件和快速增长的销售状况。黑名单法对供应商和商家都适用。没有人比商人更了解客户。无论客户使用何种信用卡支付,只要将客户置于旁路名单中,即可保证交易的顺利进行。但有些交易永远不应该做。例如,由可疑IP地址发起的交易。这时候,黑名单就派上用场了。同时,它也是一个动态列表,可以根据其他系统的处理结果进行补充。例如,如果支付运营商以“反欺诈”为由拒绝交易,商家可以冻结发起交易的客户或客户使用的特定信用卡,这就是黑名单的作用。这不是防止欺诈的最佳方法,但它可以用作附加工具。PCIDSS合规性支付卡行业制定了PCIDSS——一套为使用信用卡支付的企业提供数据安全的建议和规则。PCIDSS的制定和实施始于2004年,目前市场上的版本是v3.2.1。该标准不针对具体国家,也不是法律。然而,世界上最知名的支付系统,如Visa或Mastercard,将无法与未经PCIDSS认证的公司合作。合规性有四个级别:L1-每年超过600万笔交易L2-每年1-600万笔交易L3-每年20,000-100万笔交易L4-每年低于20,000笔交易每个级别都是不同的要求,ASV扫描并且可能需要至少每季度进行一次渗透测试。L1的成本在10,000美元到50,000美元之间,初始合规需要2个多月的时间。仅当公司在其一侧托管支付页面并使用支付网关服务器时,公司才需要符合PCIDSS。或者,与符合PCIDSSL1标准的可信支付中介合作是一个很好的解决方案。对帐对帐是一个会计过程,它比较两组记录以检查数字是否正确和一致。通过我们系统进行的所有交易均由另一个系统提供资金。因此,必须确保两个系统中存在相同的状态和金额,没有故障,并且佣金计算正确。对账应有助于解决以下问题:状态不匹配数量不匹配此操作在供应商系统中不存在此操作在处理过程中没有非财务属性不匹配:IP、指纹、描述等交互日志理想情况下,公司应记录每个与供应商的详细互动,因为有时某些行为需要确认。在支付行业,未能提供对您有利的行为证据可能会导致财务和声誉受损。记录以下数据至关重要:您与供应商之间的所有请求和响应供应商传输错误:500+、超时或意外行为回调用户返回基础设施有效和高质量的基础设施建设直接影响公司业务。现代基础设施提供商,如AmazonWebServices、Cloudflare等,为企业客户提供了大量的软件包和服务。基础设施提供商应提供以下关键功能:容量规划扩展策略DDoS保护数据备份数据保留结论企业在从事数字支付业务时,由于数据泄露、与供应商沟通不畅或欺诈等原因而遭受直接损失。为避免这种情况发生,他们必须实施适当的安全措施或寻找负责任的支付合作伙伴。幸运的是,市场上有很多安全可靠的支付解决方案。规则引擎、评分服务、人工智能和基于不同属性的黑名单可以防止企业处理可疑交易。协调、交互日志和高质量的基础设施最大限度地减少了出现问题的可能性,并使企业能够快速解决问题。PCIDSS合规性意味着支付公司必须实施一套安全措施来保护客户数据和商业交易。市场上总会有欺诈行为。然而,采用现代方法和服务可以为企业提供许多机会来保护客户免受欺诈并避免不必要的损失。译者介绍刘涛,社区编辑,某大型国企系统启动检测与管控负责人。主要职责是对系统上线验收的漏扫、渗透测试、基线检查等进行严格审查。拥有多年网络安全管理经验。多年PHP和Web开发与防御经验,Linux使用与管理经验,丰富的代码审计、网络安全测试与威胁挖掘经验。精通KaliSQL审计、SQLMAP自动检测、XSS审计、Metasploit审计、CSRF审计、webshel??l审计、maltego审计等技术。原标题:HowPaymentBusinessDealwithFraudandDataleaks,作者:DmytroDziubenko
