Онлайн бизнес – предприятие достаточно рискованное само по себе.
Стоит ли говорить о том, что любая утечка данных может нанести непоправимый вред Вашей репутации?
Любая утечка может привести к полному краху всего бизнеса.
Мошенники стараются любыми способами заполучить информацию о клиентах, позволяющую открыть доступ к их счетам и картам.
Одна из основных задач бизнеса – не допустить этого.
Разберем подробнее реализацию защиты платежных данных при организации онлайн продаж.
Распространенные способы мошенничества в онлайн
Существует как минимум три основных сценария, по которым могут действовать мошенники.
Но это не значит, что преступники ограничиваются только этими тремя схемами.
Варианты могут быть разными, однако имея представление об основных, Вы уже сможете ориентироваться.
1 сценарий: взлом
Это один из наиболее распространенных вариантов преступлений в онлайн. Преступники просто взламывают CRM компании, открывая доступ к хранящимся там данным о клиентах.
Эти данные в дальнейшем могут быть использованы для создания сайтов-двойников, которые регистрируются на максимально похожий адрес.
Дальше дело техники: мошенники информируют доверчивых клиентов о том, что им открыт доступ к выгодной распродаже или другому выгодному предложению.
Большинство клиентов, как показывает практика, не заметит разницы в адресе сайта и попытается оформить заказ.
В результате клиенты потеряют деньги, а бизнесмен, не позаботившийся о безопасности, потеряет репутацию.
2 вариант сценария: фишинг
В этом случае преступникам достаточно получить доступ к базе для e-mail рассылки.
По этой базе производится рассылка писем, ведущих на поддельный сайт банка или платёжной системы.
При этом в большинстве случаев мошенники не озадачиваются созданием полной копии сайта, так как для достижения цели достаточно лишь одной страницы.
На странице клиент заполняет данные для авторизации, после чего злоумышленники могут использовать их в своих целях.
3 вариант сценария: человеческий фактор
Ни один бизнесмен не защищен от недобросовестных сотрудников, которые, имея доступ к базе данных, могут запросто скопировать её.
В лучшем случае такой человек постарается переманить часть клиентов к конкурентам, в худшем – продаст данные.
Защита информации о клиентах
Что стоит понять, так это то, что защита информации о клиентах начинается с грамотной организации процессов внутри самой компании.
В первую очередь стоит озадачиться не столько защитой сайта, сколько защитить себя от случайных или преднамеренных действий сотрудников, то есть исключить человеческий фактор.
Каким образом это можно реализовать
- Определите, хранится ли у вас информация о клиентах, требующая защиты. Если да, то где именно?
- Разработайте документацию, которая позволит привлечь к ответственности нерадивого сотрудника, решившего использовать данные клиента в своих целях. В большинстве случаев речь идёт об инструкции и положении о коммерческой тайне. В этих документах необходимо подробно описать, какую информацию стоит отнести к тайне и каким образом эту информацию стоит защищать. Все сотрудники ознакамливаются с документами с обязательной подписью.
- Судя по нашему опыту, далеко не все сотрудники будут понимать, что за документ они подписывают, поэтому стоит дополнительно проинформировать их об ответственности за ненадлежащее выполнение должностных обязанностей в части обращения с данными клиентов.
- В обязательном порядке произведите проверку мест хранения файлов, которые используются в работе с клиентами и партнёрами.
- Продумайте иерархию доступов. Недопустимо использование одинаковых логинов и паролей, которые будут знать даже сотрудники, не имеющие права доступа в систему. Это одна из наиболее частых ошибок маленьких компаний.
- Установите программное обеспечение, позволяющее контролировать работу с информацией. Речь тут идёт о DLP. С его помощью вы сможете запретить копирование файлов на карты памяти, настроить оповещение о попытках выгрузки клиентских данных, осуществлять контроль вложений в электронные письма и пр.
Какие технологии защиты информации можно использовать
Вы понимаете, что мир не стоит на месте и технологии постоянно развиваются и совершенствуются.
Но при этом необходимо учитывать, что безопасность зависит не только от продавца, но и от всех других участников процесса: платёжной системы, агрегатора, банка и покупателя.
Для того, чтобы система онлайн платежей функционировала и обеспечивала безопасность всех сторон, сегодня применяются такие протоколы и правила:
1) Шифрование информации для последующей передачи через протокол HTTPS способен обеспечить лишь протокол SSL.
Именно этот протокол отвечает за безопасность на пути передачи данных от клиента к серверу.
Шифрование производится с использованием специального ключа.
К сожалению, распространенный протокол HTTP не способен обеспечить защиту данных на том же уровне.
2) Следующий уровень защиты относится к платёжным системам. Для них действует стандарт PCI DSS.
Компании, сотрудничающие с МПС, в обязательном порядке проходят аудит, который должен подтвердить их соответствие требованиям стандарта.
PCI DSS обязателен для компаний, принимающих оплату онлайн, так как он обеспечивает защиту банковских карт.
3) На уровне банков – эмитентов действует известная держателям карт технология 3-D Secure.
Она позволяет проверить личность владельца карты при совершении им онлайн платежа.
Суть применяемой технологии достаточно проста: для подтверждения оплаты необходимо ввести код из СМС на сервере банка. Вводом кода клиент подтверждает свою личность.
4) Один из современных способов защиты на уровне продавцов, принимающих оплату онлайн – антифорд.
Основное назначение системы – защита бизнес от мошенников.
Специализированные сервис приема платежей в автоматическом режиме осуществляет проверки всех транзакций и отсеивает сомнительные, потенциально мошеннические операции.
При этом самые продвинутые системы можно настроить под особенности конкретного бизнеса, что позволяет значительно сократить процент отсеивания.
Это важно, так как часто могут отсеиваться и безопасные платежи.
Благодаря антифорду проводить операции становится возможно и без дополнительных проверок.
Клиент может оформить и оплатить заказ гораздо быстрее, а сам процесс будет для него в разы удобнее.
Защита платежных данных клиентов и компаний
Если Вы владелец бизнеса, который подразумевает сбор и обработку данных карт, реквизитов счетов, то вам следует:
- Обязательно уведомлять потенциальных клиентов о том, что ваш сайт собирает их данные, и каким образом они в дальнейшем используются;
- Предоставить посетителю сайта право выбора. Человек, посетивший вашу площадку, должен иметь возможность отказаться от предоставления данных. Особенно актуально для случаев, когда возможна передача данных клиента третьим лицам.
- Открыть клиенту доступ к данным, чтобы он мог не только посмотреть, но и изменить личную информацию.
- Обеспечить соответствие сайта действующим нормам безопасности. Минимальное требование – протокол HTTPS.
- Доверить хранение данных надёжному хостеру. Обязательно с соблюдением мер защиты и ограничением доступа к данным на сервере.
Стоит понимать, что защищать от кражи необходимо не только платёжные данные своих клиентов, но и расчётный счёт собственной компании.
Для защиты данных компании, следует:
- Продумать права доступа к расчётному счёту. Идеальный сценарий – использование двух устройств и двух ЭЦП, права которых будут отличаться. Первое устройство вы можете использовать для формирования платежей, а второе — для проверки, подписи и отправки платежей.
- Подключать внешний носитель только для осуществления входа в систему или подтверждения операций.
- Защитить ПК, с которого производится вход, максимально сложным паролем.
- Отказаться от сохранения важных паролей в браузере. Лучше ввести их заново, чем однажды потерять и пароли и деньги и репутацию.
- Установить на используемом для входа ПК хороший антивирус и не забывать о его обновлении (лучше, чтобы это происходило в автоматическом режиме).
- Серьезно отнестить к процессу работы, закрывая все вкладки браузера при открытии интерфейса банковского приложения. Обязательно перед началом работы отключите программы удаленного доступа.
Есть ли особенности, когда речь идёт об онлайн транзакциях
Электронные платежи подразумевают несколько этапов защиты:
• Авторизацию пользователя;
• Шифрование данных;
• Использование специальных сертификатов.
Шифрование и дешифрование информации в интернете осуществляется при помощи набора символов и цифр, называемом ключами шифрования.
Ключи могут быть открытыми и закрытыми
Первый вариант доступен всем и используется при обращении браузер к серверу, второй – доступен лишь владельцу сайта.
Закрытые ключи используются при отправке информации браузером.
Обратите внимание, что использование только одного типа ключей чревато тем, что мошенники перехватят ключ и пробьют систему защиты данных.
Именно поэтому коммерческие системы при организации приёма платежей должны использовать протоколы, основанные на закрытых и открытых ключах.
Выглядит это следующим образом:
- Сначала шифрование передаваемых данных происходит при помощи закрытого ключа.
- Закрытый ключ шифруется при помощи открытого ключа и передаётся второй стороне сделки.
Весь процесс происходит по протоколам SSL и SET. SSL отвечает за шифрование канала связи, а SET за шифрование данных.
При таком подходе продавец получает 1 часть подписи, а банк – вторую.
Это позволяет банку получить реквизиты обеих сторон сделки не имея представления о сути, а покупателю – информацию о заказе без доступа к реквизитам продавца.