支付业务如何应对欺诈行为和数据泄露
发布时间:2022-08-27 09:55:31 所属栏目:安全 来源:互联网
导读:支付业务遇到的任何问题都会导致直接的、可衡量的损失。数据泄露、欺诈骗局或仅仅与供应商沟通不畅,都可能导致数百万美元的损失。 本文介绍了反欺诈、PCI DSS、对账等防范措施,以杜绝此类问题的发生。 评估问题 在了解防范措施之前,让我们先来看一看现实
|
支付业务遇到的任何问题都会导致直接的、可衡量的损失。数据泄露、欺诈骗局或仅仅与供应商沟通不畅,都可能导致数百万美元的损失。 本文介绍了反欺诈、PCI DSS、对账等防范措施,以杜绝此类问题的发生。 评估问题 在了解防范措施之前,让我们先来看一看现实中常见的问题——数据泄露和在线欺诈。 数据泄露 美国在2021到2022年期间,各类基础设施数据泄露的平均成本为每次360万美元。对金融机构而言,数据泄露的平均成本更高,竟达到了585万美元。从去年起,这个数字又增加了10%。 新冠肺炎迫使很多人在家办公,但并不是所有的公司都有时间采用诸如零信任安全(Zero Trust Security)等网络安全技术以及其他分布式安全技术。因此,随着数据处理费用的增加,事故的数量和成本也会随之增加。 欺诈行为 欺诈指某人为了获得特定的利益而故意欺骗他人,其中最常见的就是资金诈骗。欺诈的种类很多: 网络钓鱼(Phishing)。这是一种较为常见的以获取用户个人信息为目的的欺诈行为。幸运的是,现代的电子邮件供应商和运营商已经学会了识别网络钓鱼邮件,并将其标记为垃圾邮件,以防止用户打开它们。 友善欺诈(Friendly fraud)或欺诈性退单拒付(fraudulent chargeback)。这是一种强制性用户退款。例如,如果有人用信用卡支付服务费用,就可以通过使用条款或者其他规则的漏洞来骗取退款。如果它是数字产品,则可以多次使用。Twitch网(一个面向视频游戏的实时流媒体视频平台)经常遇到这个问题。该平台的一项服务允许流媒体用户通过阅读信息或点击用户名获得“红包”。用户在收到1美元、3美元、5美元或更多的红包后立刻要求退款,这种做法后来变得非常普遍,因为Twitch上的退款申请程序太简单了。这也是后来该项服务决定引入查证机制的原因。 信用卡盗窃。如果持卡人没有设置诸如3DS之类的安全措施,使得信用卡最终落到了骗子手中,那么损失的资金将无法挽回。 帐户接管欺诈。例如,用户在支付服务费用时,依次输入卡片的详细信息,确认交易,并在信用卡交易账单服务中看到付款成功的信息。但在这个过程中,信用卡数据最终会被人窃取,然后在用户不知情的情况下用来支付。最好的解决办法是启用动态 CVV,设置信用卡支付限制以及应用其他的基本安全规则。 为了说明欺诈问题的严重性,以下是关于全球信用卡购买总量的统计数据,与欺诈损失的对比表: 供应商可以做什么 供应商本身可以影响欺诈行为的数量。要做到这一点,所有的交易都需要被检查、保存和跟踪它们的历史记录。当处理大量付款交易时,几乎不可能手动完成此类检查。因此,供应商必须提供一些有效的武器来打击欺诈行为。 规则引擎 顾名思义,该解决方案根据已建立的规则过滤交易事件。交易过程中,系统读取所有可用的信息,包括设备,地理位置,客户历史记录, IP地址历史记录等。根据这些信息,系统聚合了可以用来创建规则的度量。举例来说,如果客户定期付款且兑换率很高,那么他们就可以自由确认交易。但是如果没有任何规律可遵循,那么供应商会自动采用其它的安全规则。 评分和人工智能 欺诈评分是一个定量评估交易风险水平的过程。它基于机器学习技术,通过各种指标对每一笔交易进行验证。然后系统打出一个简单的分数表示交易风险水平。 评估过程由下列步骤组成: 1.客户端启动交易。 2.系统收集所有与客户有关的信息(付款记录,电话号码,E-mail,IP地址等等)。 3.通过评分系统分析所有信息。 4.系统给每个指标打正分或负分。 5.计算总分。 6.根据总分,系统将执行下列操作中的一项:批准、拒绝或转发交易以进行手动审核。 公司可以创建自己的评分系统,也可以使用第三方服务。 人工智能对于处理大量数据的企业非常重要,因为不同类型的企业,甚至特定的客户都需要定制评分。人工智能帮助系统适应各种突发事件和快速增长的销售状况。 黑名单 这种方法对供应商和商户都是适用的。 没有人比商人更了解顾客了。不管客户用哪种信用卡付款,只要把客户放在旁路列表中,就可以保证交易的顺利进行。 但是有些交易,永远都不应该去做。例如,由可疑 IP地址发起的交易。这时候,黑名单就派上用场了。 同时它也是个动态列表,可以根据其它系统的处理结果来补充。例如,如果支付运营商以“反欺诈”为由拒绝了交易,商户可以冻结发起交易的客户或客户使用的特定信用卡,这就是黑名单的作用。这并不是最好的防止欺诈的方法,但可以作为附加工具使用。 PCI DSS 合规性 支付卡行业开发了PCI DSS—这是一套建议和规则,为使用信用卡支付的企业提供数据安全保障。PCI DSS的开发和实施始于2004年,目前市场上的版本是v3.2.1。 该标准不属于特定国家,也不是法律。然而,像Visa或Mastercard这样的世界上最知名的支付系统,不会和没有通过PCI DSS认证的公司合作。 合规性分为四个等级: L1–每年超过600万笔交易 L2–每年有100-600万笔交易 L3–每年20000-100万笔交易 L4–每年少于20000笔交易 每个级别都有不同的要求,可能需要每季度至少一次的ASV扫描和渗透测试。L1的价格可能在1万到5万美元之间,并且需要超过2个月的时间来进行初始合规。只有当该公司在它的一侧托管支付页面和使用支付网关服务器时,该公司才需要符合PCI DSS。另外,与和PCI DSS L1兼容的可信支付中介合作是个不错的解决方案。 对账 对账是一个会计过程,将两组记录进行比较,检查数字是否正确和一致。 所有通过我们系统的交易都是由另一个系统提供资金担保的。因此,必须确保在两个系统中都有相同的状态和金额,不会出现任何故障,并且正确地计算佣金。 (编辑:济源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
