Безопасный платежный процессинг — это когда данные и средства всех сторон, вовлеченных в процессинг транзакции, защищены, основываясь на особых стандартах, регулировании и мерах.
Безопасность — это основа доверия, а доверие — один из базовых принципов электронной коммерции. Пользователи доверяют мерчантам свои платежные данные, а мерчанты отвечают за предоставление им безопасного и качественного покупательского опыта. В свою очередь, платежные провайдеры, шлюзы и карточные процессоры обеспечивают безопасность на более высоком уровне.
Тем не менее, мошенники оттачивают навыки быстрее, чем индустрия может реагировать на угрозы. Так, глобальные потери от платежного мошенничества возросли втрое за последние 10 лет, достигнув $32.39 млрд в 2020 году. Эта цифра подчеркивает масштаб и важность проблемы, делая безопасность первоочередной задачей для всех, кто занимается платежами. Согласно Cybersource, 36% специалистов электронной коммерции говорят, что поддержка безопасности и предотвращение мошенничества для них самая тяжелая задача в управлении платежами.
Как узнать, позаботился ли провайдер платежных услуг о безопасности карточного процессинга? Мы отобрали несколько критериев, на которые следует обратить внимание и расспросить о них.
Важнейший индикатор безопасности процессинга онлайн платежей — наличие у провайдера PCI DSS-сертификата. PCI DSS — это набор стандартов и требований по платежной безопасности для мерчантов, платежных провайдеров и других сторон, участвующих в процессинге карточных транзакций. Он направлен на защиту чувствительной информации и предотвращение мошенничества. Компания должна проходить PCI DSS-аудит ежегодно. Пройдя его успешно, компания получает сертификат соответствия.
Мерчанты, которые предоставляют услуги потребителям в Европе, также должны соответствовать местному регулированию. В частности, PSD2 и GDPR.
Первый документ регулирует платежные услуги в Евросоюзе, и безопасность — одна из его ключевых тем. Например, он требует усиленной аутентификации пользователей (SCA) для всех транзакций в Европейской Экономической Зоне. Это значит, что плательщики должны проходить мультифакторную аутентификацию, подтверждая транзакцию своим паролем, устройством и биометрией (как минимум, двумя из этих трех опций).
Второй регламент касается защиты данных пользователей и приватности. Он проясняет, какие виды данных считаются чувствительными, какие политики компании должны внедрить по сбору, хранению, удалению и должной защите этой информации, и так далее. Он также подразумевает штрафы за нарушения.
Одно из требований PCI — это SSL (secure socket layer). Эта технология шифрует всю чувствительную информацию, передаваемую между браузером пользователя, вашим сайтом, серверами и т.д. Зашифрованные данные можно расшифровать только с помощью приватного ключа. Злоумышленники, которые попытаются перехватить клиентские платежные данные, не смогут их расшифровать.
Чтобы получить SSL-сертификат для вашего сайта, вам нужно подтвердить личность и владение сайтом. Ваши клиенты будут знать, что вы позаботились об этом, так как в адресной строке браузера будет отображаться зеленый замочек и префикс HTTPS.
Еще один продвинутый способ защитить карточные данные и другую конфиденциальную информацию — заменить ее на токен, уникальный цифровой идентификатор. Этот токен сам по себе не имеет ценности и не содержит никаких данных. Единственный способ получить доступ к оригинальным данным, которые надежно хранятся в другом месте, — это обменять их на токен, используя решение для токенизации, с помощью которого он был создан.
Токенизация выгодна всем участникам платежного процесса. Пользователь, который однажды сделал покупку и токенизировал свои карточные данные, может в дальнейшем оплачивать покупки на этом сайте в один клик. С точки зрения бизнеса, это положительно влияет на конверсию и устраняет вероятность неправильного ввода платежных данных клиентом.
3D Secure — это протокол безопасности, который помогает убедиться, что карточный платеж инициирован именно держателем карты. Он работает следующим образом:
Злоумышленники и мошенники постоянно совершенствуют свои схемы, но в ответ платежные провайдеры и другие вендоры разрабатывают ряд решений по борьбе с мошенничеством. Они помогают выявить подозрительную активность заблаговременно и сохранить средства. Сегодня многие из подобных решений строятся с применением машинного обучения и искусственного интеллекта, и они могут самообучаться на основе вашего платежного трафика.
Для бизнеса крайне важно достичь баланса между коэффициентом конверсии и безопасностью. Доказано, что некоторые из перечисленных выше мер негативно влияют на конверсию. Это не значит, что вы должны пренебрегать ими, но стоит проявить индивидуальный подход и настроить инструменты безопасности так, чтобы они соответствовали вашему бизнесу.
Для этого найдите платежного партнера, который позволяет настраивать параметры и фильтры безопасности в зависимости от географии, сумм транзакций, типов карт, отключать или включать проверку 3DS и CVV и т.д. Еще одно решение проблем с конверсией — подтверждение транзакций вручную. Система автоматически помечает транзакции как подозрительные, а ваши сотрудники проверяют их и оценивают риск самостоятельно.
Запишитесь на демо, чтобы увидеть платформу Corefy собственными глазами и узнать, как мы обеспечиваем безопасность платежей и какие инструменты против мошенничества лучше всего подходят вашему бизнесу.
