С ростом числа пользователей и транзакций электронной коммерции важно, чтобы мы все знали об обязательных протоколах безопасности для веб-сайтов электронной коммерции. Это поможет избежать мошеннических действий. Как говорится, профилактика лучше лечения. Ниже поговорим о протоколах и процессах безопасности, которые используются в сети и которые вы также должны искать при каждой транзакции в Интернете.
Протоколы безопасности онлайн-транзакций
- Шифрование TLS
Безопасность данных на веб-сайте электронной коммерции или в системе онлайн-платежей начинается с момента, когда пользователь заходит на сайт. Сертификат TLS сообщает пользователям, что данные передаются между веб-сервером и их браузером, безопасны.
Поставщик платежей, система использует на своем веб-сайте SSL-сертификат высшей надежности, который является сертификатом EV SSL (Extended Validity SSL). Без шифрования TLS все данные, отправляемые через Интернет, не зашифрованы и видны всем, кто имеет средства и намерен их перехватить
Простой способ проверить, сертифицированы ли SSL-сертификаты, часто посещаемые вами веб-сайты электронной коммерции, - это посмотреть на URL-адрес и увидеть, использует ли он протокол http: //или https: //. Дополнительная буква «s» означает безопасную систему электронных платежей. Вы также можете найти значок замка в начале URL-адреса. Современные веб-браузеры в своей гонке для обеспечения безопасности Интернета по умолчанию теперь следуют противоположной парадигме – помечают сайты HTTP как «небезопасные».
- Соответствие PCI-DSS
Совет по стандартам безопасности PCI – это глобальная организация, которая поддерживает и продвигает правила управления данными держателей карт для всех веб-сайтов электронной коммерции и систем онлайн-платежей.
Стандарты данных индустрии индустрии платежных карт (PCI-DSS), по сути, представляет собой набор политик, определяющий порядок обработки конфиденциальной информации о держателях карт. Совет по стандартам безопасности PCI был создан как совместная инициатива четырех основных поставщиков кредитных карт: American Express, Visa, MasterCard и Discover в 2004 году. За прошедшие годы стандарта PCI-DSS стал руководящим принципом. принцип сетевой безопасности во всем мире.
Чтобы веб-сайт электронной коммерции или система онлайн-платежей соответствовали требованиям PCI-DSS.
Поддерживайте безопасную сеть для обработки платежей
Это предполагает использование надежных брандмауэров, которые могут защитить от злонамеренных угроз безопасности. Кроме того, веб-сайт или платежный шлюз не должен использовать учетные данные по умолчанию, такие как PIN-коды и пароли, предоставленные возможности, и должны позволять использовать эти данные по мере необходимости.
Убедитесь, что все данные зашифрованы во время передачи
Когда данные о держателях карт передаются онлайн, их обязательно нужно зашифровать. Система шифрует всю информацию, которую вы делитесь, с помощью проверки через TLS (Transport Layer Security). Это предотвращает перехват данных во время передачи из вашей системы. В шлюзе все данные, введенные платежные данные, такие как имя, адрес и информация о кредитной/дебетовой карте, используются только для обработки и выполнения заказа. Сервер никогда не хранит конфиденциальную информацию, такую как номера CVV, PIN-коды и т. д.
Обеспечение безопасности инфраструктуры
Эта директива предусматривает соблюдение новых требований PCI-DSS и использование обновленного программного обеспечения для защиты программного обеспечения и шпионского ПО от известных уязвимостей программного обеспечения, регулярное сканирование программного обеспечения для максимального программного обеспечения данных.
Ограничение доступа к информации: часть защиты доступа к конфиденциальной информации. Данные о держателях карт должны постоянно быть защищены – как электронными, так и физическими.
- Токенизация
Токенизация – это процесс, при котором 16-значный номер карты заменяется цифровым средством, известным как токен. Это сделано для обеспечения безопасности исходных данных, позволяя безопасным шлюзом безопасно получать доступ к данным держателя карты и инициировать безопасный платеж.
Даже если веб-сайт взломан и хранящиеся токены будут взломаны, очень сложно реконструировать фактический номер карты из самого токена.
Для этого необходим доступ к логике токенизации, которая не является общедоступной. Токенизация кредитных карт помогает веб-сайтам электронной коммерции повысить безопасность, поскольку устраняет необходимость в хранении данных карт и сокращает количество нарушений безопасности.
- Двухфакторная аутентификация.
Двухфакторная аутентификация, также известная как 2FA, или двухэтапная проверка, - это дополнительный уровень безопасности, добавляемый веб-сайтами электронной коммерции для безопасной оплаты для клиента. Это процесс аутентификации с участие клиента, требуемый регулируемыми такими, как RBI, в том смысле, что транзакция обрабатывается только после того, как пользователь вводит информацию, которую он может знать под рукой (например, физический токен или ключ безопасности). Многие банки и другие шлюзы электронных платежей также используют двухфакторную аутентификацию для своих способов оплаты.
2FA – это не новая технология, но недавно она стала де-факто методом аутентификации в цифровой эпоху. В 2011 году Google анонсировал двухфакторную аутентификацию для повышения безопасности своих услуг в Интернете. MSN и Yahoo последовали их примеру.
Помимо этих обязательных протоколов, большинство веб-сайтов электронной коммерции и платежных шлюзов имеют свои собственные системы предотвращения мошенничества и рисков. Аналитика больших данных и машинное обучение играют огромную роль в разработке этих систем предотвращения и снижения рисков. Углубляясь в данные клиентов и анализируя закономерности, сервер может с достоверной точностью различать «нормальную» и «подозрительную» транзакцию. Помимо этого, вы как клиент можете многое сделать, чтобы снизить риск мошенничества.