Платіжний шлюз — це технологія, яка дозволяє продавцям безпечно приймати і обробляти онлайн-транзакції. Ми можемо порівняти його з звичайним POS-терміналом, який продавці використовують для прийому дебетових/кредитних карток в звичайних магазинах, ось тільки платіжний шлюз призначений для цифрових платежів. Він передає платіжну інформацію між усіма сторонами, що беруть участь в транзакції, забезпечуючи безпечний процесинг з використанням таких технологій безпеки, як токенізація, SSL та інші.
Давайте з'ясуємо, як саме шлюз задіяний в онлайн-транзакції:
Таким чином, платіжний шлюз супроводжує кожну транзакцію від початку до кінця, забезпечуючи захист конфіденційних даних картки і знижуючи ризик зломів і шахрайських втручань. Будь-якому бізнесу, що планує приймати онлайн-платежі, необхідний безпечний шлюз, який найкращим чином захистить конфіденційні дані їхніх клієнтів. Однак безпека — далеко не єдина перевага платіжних шлюзів, оскільки окрім цього вони допомагають мерчантам закріпитися на ринку за рахунок прийому кількох валют і способів оплати. Це дійсно незамінне рішення для роздрібних продавців електронної комерції, торгових майданчиків, квиткових платформ та інших сфер діяльності.
Платіжний шлюз виконує кілька основних функцій, таких як аутентифікація, шифрування, маршрутизація і повідомлення. По суті, він діє як посередник між покупцем і продавцем, вдаючись до всіх необхідних заходів для забезпечення повного захисту платежу від шахрайства або крадіжки особистих даних. Для цього на кожному етапі обробки транзакції застосовуються різні методи захисту даних. Чим більше інструментів використовує ваш провайдер платіжного шлюзу, тим кращим буде захист конфіденційної інформації ваших клієнтів. Розглянемо кожен метод окремо.
Secure Sockets Layer/Transport Layer Security Protocol — це протокол безпеки на основі шифрування, розроблений для забезпечення конфіденційності даних, що передаються через інтернет. Він забезпечує безпеку даних під час передачі, гарантуючи безпечне з'єднання між сервером і браузером клієнта. Якщо при обробці онлайн-платежу буде застосовуватися SSL/TLS, то той, хто спробує перехопити дані, побачить хаотичний набір символів, який неможливо розшифрувати. Таким чином, якщо клієнт вводить дані своєї картки на веб-сайті, але протокол не використовується, інформація буде проходити через мережу незахищеною і може бути легко перехоплена шахраями. SSL/TLS, в свою чергу, робить крадіжку даних практично неможливою.
Стандарт PCI DSS — це набір правил, який охоплює всі аспекти безпеки платежів. Він був розроблений в 2004 році великими компаніями, які випускають кредитні картки, а саме Visa, Mastercard, Discover, American Express і JCB. Основна мета стандарту — запобігти крадіжці даних і шахрайству, пов'язаному з операціями по дебетовим і кредитним карткам. PCI DSS висуває досить суворі вимоги до безпеки будь-яких компаній, в яких передається, обробляється або зберігається платіжна інформація. Відповідність стандарту PCI DSS може запобігти багатьом ризикам, пов'язаним з витоком конфіденційних даних клієнтів третім особам і їх використанням в шахрайських цілях. Щоб все було зашифровано і безпечно, в електронній комерції використовують шлюзи, що відповідають стандарту PCI.
Токенізація — це тип шифрування, при якому конфіденційні дані картки обмінюються на спеціальний токен. Технологія токенізаціі дозволяє замінити реальний номер картки клієнта унікальним згенерованим кодом — токеном, який буде використовуватися тільки для конкретної покупки. Шахраям немає сенсу перехоплювати токени, тому що вони не будуть працювати на інших сайтах.
3D Secure — це протокол аутентифікації, який забезпечує додатковий рівень перевірки електронних транзакцій. Ця технологія була спеціально розроблена для підвищення безпеки онлайн-платежів. Назва методу виникла тому, що в онлайн-транзакції задіяні три домени: домен продавця або еквайра, де вводяться платіжні дані, домен платіжної системи, який перенаправляє платіж на сторінку підтвердження з паролем або одноразовим кодом, і домен емітента, який підтверджує транзакцію.
Антифрод — це комплексна система моніторингу і запобігання шахрайству, яка перевіряє кожну транзакцію в режимі реального часу. Сучасні системи захисту від шахрайства враховують безліч параметрів для визначення підозрілих транзакцій, наприклад, суму, унікальний токен банківської картки, цифровий відбиток користувача, IP-адреса, через яку проводиться оплата, та ін. Кожна система захисту від шахрайства використовує свої власні правила і фільтри, а також технології машинного навчання для виявлення і блокування шахрайства.
Як бачимо, технології захисту платіжної інформації не стоять на місці, пропонуючи мерчантам і покупцям практично гарантовану конфіденційність. Однак варто пам'ятати, що шахрайство в електронній комерції все ще присутнє. Цьому може бути кілька причин: або платіжний шлюз не застосовує всі інструменти безпеки, або не дотримується вимог стандарту PCI. Ось чому ми рекомендуємо співпрацювати з надійними постачальниками платіжних послуг, які стабільно підтримують інфраструктуру безпеки.
Інтеграція безпечного платіжного шлюзу має важливе значення для успіху вашого бізнесу. У Corefy ми дуже серйозно ставимося до безпеки, постійно оновлюючи наші інструменти захисту і додаючи нові функції. Ось як ми дбаємо про конфіденційні дані наших клієнтів:
Хостинг.
Ми адмініструємо і управляємо усіма нашими серверами, не передаючи управління платіжним процессингом третім особам.
Захист від DDoS-атак.
Ми використовуємо технології від відомих і надійних провайдерів для запобігання DDoS-атак на наші сервери, а також підтримуємо високу доступність і продуктивність наших веб-сайтів, додатків та API.
Тестування на проникнення.
Ми виконуємо ретельне автоматичне сканування вразливостей кілька разів на тиждень як в нашій інтернет-інфраструктурі, так і у внутрішній інфраструктурі, щоб оцінити можливі загрози.
Сканування.
Ми щотижня виконуємо сканування/аудит безпеки, сертифіковані ASV, сканування внутрішньої і зовнішньої мережі та інші перевірки на відповідність вимогам PCI.
Управління вразливостями.
Вся інтернет- і внутрішня інфраструктура оновлюються в стислі терміни відразу після того, як постачальники надають виправлення і патчі від вразливостей системи безпеки.
Система запобігання вторгненням.
З метою підвищення безпеки весь вхідний і вихідний трафік з нашої платформи відстежується активною системою запобігання вторгнень (IPS), яка блокує загрози поширених експлойтів і вразливостей нульового дня.
TLS 1.2 (SSL).
Використовуючи протокол безпеки транспортного рівня (TLS) версії 1.2, Corefy забезпечує безпеку платежів під час їхнього переказу, гарантуючи безпечне з'єднання між сервером і браузером клієнта.
Шифрування.
Дані про власників карток захищені за допомогою комбінації симетричних та асиметричних криптографічних алгоритмів. Управління всіма даними здійснюється за допомогою декількох ключів шифрування з розділеними відомостями і подвійним контролем. Шахраї не зможуть використовувати інформацію, вкрадену з бази даних, не маючи ключа.
Токенізація.
Ми обробляємо онлайн-платежі не торкаючись реквізитів картки. Замість цього ми використовуємо маркери для обробки транзакцій, тому будь-яке втручання в сервер не зможе нашкодити власникам карток.
Відмова від зберігання заборонених даних.
Ми не зберігаємо дані магнітної смуги, коди валідації або дані PIN.
