Безпечний платіжний процесинг — це коли дані та кошти всіх сторін, залучених в процесинг транзакції, захищені за певними стандартами, регулюванням та заходами.
Безпека — це основа довіри, а довіра — один з базових принципів електронної комерції. Користувачі довіряють мерчанту свої платіжні дані, а мерчанти відповідають за надання їм безпечного і якісного досвіду користування. У свою чергу, платіжні провайдери, шлюзи і карткові процесори забезпечують безпеку на більш високому рівні.
Проте шахраї відточують навички швидше, ніж індустрія може реагувати на загрози. Так, глобальні втрати від платіжного шахрайства зросли втричі за останні 10 років, досягнувши $32.39 млрд в 2020 році. Ця цифра підкреслює масштаб і важливість проблеми, роблячи безпеку першочерговим завданням для всіх, хто займається платежами. Згідно Cybersource, 36% фахівців електронної комерції кажуть, що підтримка безпеки і запобігання шахрайству для них найважча задача у керуванні платежами.
Як дізнатися, чи подбав провайдер платіжних послуг про безпеку карткового процесингу? Ми відібрали кілька критеріїв, на які слід звернути увагу і розпитати про них.
Найважливіший індикатор безпеки процесингу онлайн платежів — наявність у провайдера PCI DSS-сертифікату. PCI DSS — це набір стандартів і вимог щодо платіжної безпеки для мерчантів, платіжних провайдерів та інших сторін, що беруть участь в процесингу карткових транзакцій. Він спрямований на захист чутливої інформації та запобігання шахрайству. Компанія повинна проходити PCI DSS-аудит щорічно. Пройшовши його успішно, компанія отримує сертифікат відповідності.
Мерчанти, які надають послуги споживачам в Європі, також повинні відповідати місцевому регулюванню. Зокрема, PSD2 та GDPR.
Перший документ регулює платіжні послуги в Євросоюзі, і безпека — одна з його ключових тем. Наприклад, він вимагає посиленої аутентифікації користувачів (SCA) для всіх транзакцій в Європейській Економічній Зоні. Це означає, що платники повинні проходити мультифакторну аутентифікацію, підтверджуючи транзакцію своїм паролем, пристроєм і біометрією (як мінімум, двома з цих трьох опцій).
Другий регламент стосується захисту даних користувачів і приватності. Він пояснює, які види даних вважаються чутливими, які політики компанії повинні впровадити зі збирання, зберігання, видалення і належного захисту цієї інформації, і так далі. Він також передбачає штрафи за порушення.
Одна з вимог PCI — це SSL (secure socket layer). Ця технологія шифрує всю чутливу інформацію, що передається між браузером користувача, вашим сайтом, серверами і т.д. Зашифровані дані можна розшифрувати тільки за допомогою приватного ключа. Зловмисники, які спробують перехопити клієнтські платіжні дані, не зможуть їх розшифрувати.
Щоб отримати SSL-сертифікат для вашого сайту, вам потрібно підтвердити особистість і володіння сайтом. Ваші клієнти будуть знати, що ви подбали про це, тому що в адресному рядку браузера буде відображатися зелений замочок і префікс HTTPS.
Ще один просунутий спосіб захистити карткові дані та іншу конфіденційну інформацію — замінити її на токен, унікальний цифровий ідентифікатор. Цей токен сам по собі не має цінності і не містить ніяких даних. Єдиний спосіб отримати доступ до оригінальних даних, які надійно зберігаються в іншому місці, — це обміняти їх на токен, використовуючи рішення для токенізаціі, за допомогою якого він був створений.
Токенізація вигідна всім учасникам платіжного процесу. Користувач, який одного разу зробив покупку і токенізував свої карткові дані, може надалі оплачувати покупки на цьому сайті в один клік. З точки зору бізнесу, це позитивно впливає на конверсію і усуває ймовірність помилок при введенні платіжних даних клієнтом.
3D Secure — це протокол безпеки, який допомагає переконатися, що картковий платіж ініційований саме власником картки. Він працює таким чином:
Зловмисники і шахраї постійно вдосконалюють свої схеми, але у відповідь платіжні провайдери та інші вендори розробляють ряд рішень для боротьби з шахрайством. Вони допомагають виявити підозрілу активність завчасно і зберегти кошти. Сьогодні багато подібних рішень будуються із застосуванням машинного навчання і штучного інтелекту, і вони можуть самонавчатися на основі вашого платіжного трафіку.
Для бізнесу вкрай важливо досягти балансу між коефіцієнтами конверсії і безпекою. Доведено, що деякі з перерахованих вище заходів негативно впливають на конверсію. Але варто застосувати індивідуальний підхід і налаштувати інструменти безпеки так, щоб вони відповідали вашому бізнесу.
Для цього знайдіть платіжного партнера, який дозволяє налаштовувати параметри і фільтри безпеки в залежності від географії, сум транзакцій, типів карток, відключати або перевіряти 3DS чи CVV і т.д. Ще одне рішення проблем з конверсією — підтвердження транзакцій вручну. Система автоматично позначає транзакції як підозрілі, а ваші співробітники перевіряють їх і оцінюють ризик самостійно.
Перегляньте демо, щоб побачити платформу Corefy на власні очі і дізнатися, як ми забезпечуємо захист платежів і які інструменти проти шахрайства найкраще підходять вашому бізнесу.
