Bezpieczeństwo

Wprowadzenie

Płatności Straal są bezpieczne, zarówno dla Ciebie, jak i Twoich klientów. Straal posiada najwyższej klasy narzędzia do wykrywania fraudu płatniczego i działa zgodnie z najwyższymi wymaganiami bezpieczeństwa PCI DSS Level 1.

Zintegrowany system antyfraudowy wykorzystuje uczenie maszynowe oraz zaawansowane profilowanie użytkowników, a 3-D Secure pozwala na dodatkowe zabezpieczenie transakcji dodatkowym kodem.

W tej sekcji przeczytasz o:

  • standardach PCI DSS
  • 3-D Secure
  • systemie antyfraudowym Nethone

Standardy PCI DSS

PCI DSS jest międzynarodowym standardem bezpieczeństwa wypracowanym przez wiodące organizacje płatnicze, by zwiększyć ochronę danych i walczyć z fraudem płatniczym. W skład tego standardu wchodzą najlepsze praktyki bezpieczeństwa. Oczekuje się, że wszystkie firmy, które przechowują lub przetwarzają dane płatnicze, będą przestrzegać odpowiednich wytycznych PCI.

Jedną z możliwości jest zdobycie certyfikatu potwierdzającego stan bezpieczeństwa w firmie zgodne ze standardem (ang. "PCI Compliance"). Ten proces wiąże się z pozytywnym przejściem audytu i wymaga czasu i pewnego nakładu pracy. Prostszym rozwiązaniem jest przesunięcie części odpowiedzialności na zewnętrzną organizację, np. Straal. Możesz to zrobić, korzystając z naszej strony płatności lub spersonalizowanego formularza płatniczego.

Minimalnym wymogiem PCI jest uzupełnienie PCI SAQ, arkusza samooceny PCI. Zajmuje to mniej czasu i wymaga mniej przygotowań niż pełna certyfikacja. W procesie onboardingu Straal poinformuje, czy przesłanie formularza SAQ jest wymagane.

Formularze SAQ wymagane dla poszczególnych integracji
Rodzaj integracji Wymagany SAQ
Strona Płatności Straal SAQ A – najprostszy z formularzy PCI, 19 stron.
Spersonalizowany formularz płatności przy użyciu Straal.js SAQ A-EP – bardziej wymagający formularz PCI. Dwa razy dłuszy od SAQ A.
Mobilne SDK SAQ A-EP (jeśli korzystasz z naszego SDK dla iOS lub Androida) – bardziej wymagający formularz PCI. Dwa razy dłuszy od SAQ A.

Jeśli zdecydujesz się pisać własny kod wymagania PCI mogą wzrosnąć i SAQ A-EP już nie będzie wystarczający.
Integracja backend-to-backend SAQ D (ponad 40 stron) – najbardziej wymagający z formularzy PCI, ponieważ dane kartowe przechodzą przez Twój backend.

Przeczytaj więcej o formularzach PCI SAQ na stronie PCI SSC Document Library lub dowiedz się więcej o standardach bezpieczeństwa PCI na stronie PCI SSC.

3-D Secure

Wzbogać swoją ochronę przed fraudami o kolejną warstwę, dzięki 3-D Secure. Jest to narzędzie, które pozwoli Ci potwierdzić tożsamość płacącego, dzięki współpracy z wystawcą jego karty płatniczej.

Jak działa 3-D Secure

Kiedyś uwierzytelnienie 3-D Secure wymagało od płacącego przejścia dodatkowego kroku kontroli, np. podaniu dodatkowego hasła. To zniechęcało klientów i zmniejszało współczynnik konwersji.

Inaczej jest w przypadku innowacyjnej wersji 3-D Secure oferowanej przez naszych partnerów. Jest ona oparta o analizę ryzyka i niewidoczna dla klienta, a przez to nieuciążliwa.

Efekt wdrożenia 3-D Secure

3-D Secure pozwala zmniejszyć ryzyko fraudu. Ponadto dodaje kolejną warstwę zabezpieczeń zmniejszającą możliwość odrzucenia transakcji. Wynika to z tego, że w przypadku oszustwa to bank przyjmujący płatność akceptuje też odpowiedzialność za potencjalne wyłudzenie.

System antyfraudowy

Fraud płatniczy z wykorzystaniem skradzionych kart kredytowych lub ich danych stanowi poważne wyzwanie dla instytucji finansowych na całym świecie. Nieuczciwa transakcja może spowodować chargeback – zainicjowany przez prawowitego właściciela karty zwrot środków na jego konto. Koszty takiego zwrotu najczęściej pokrywa sprzedawca.

Co robić w przypadku reklamacji lub fraudu

Płatności, które przyjmujesz są reklamowane i zastanawiasz się, jak zmniejszyć związane z nimi koszta? Oto kilka kroków, które pomogą Ci zminimalizować liczbę zwrotów:

  • Skontaktuj się z klientem, by upewnić się, że doszło do kradzieży karty lub jej danych.
  • Zablokuj konto klienta do czasu rozwiązania problemu.
  • Anuluj podejrzane subskrypcje.
  • W przypadku fraudu możesz wykonać zwrot ręcznie, nie czekając na chargeback. W ten sposób możesz uniknąć kar finansowych towarzyszących wysokiemu odsetkowi odrzuceń.

Jest sposób, by proaktywnie zabezpieczyć się przed przestępcami. Nawiązując współpracę ze Straal, możesz zdecydować się na zestaw najwyższej jakości narzędzi antyfraudowych.

Sprzedawcy w niektórych branżach są szczególnie narażeni na ryzyko fraudu płatnościowego. Właśnie z myślą o takich przypadkach przygotowaliśmy we współpracy z naszym partnerem technologicznym Nethone najwyższej jakości system antyfraudowy, wykorzystujący uczenie maszynowe.

Nethone

Połączyliśmy siły ze spółką Nethone, czołowym twórcą rozwiązań antyfraudowych opartych o sztuczną inteligencję.

Nethone korzysta z narzędzi profilowania użytkownika i wysokiej klasy modeli uczenia maszynowego, dopasowanych do każdego rodzaju sprzedaży.

System weryfikuje każdego użytkownika Twojej strony i w czasie rzeczywistym określa precyzyjnie, czy użytkownik jest prawowitym posiadaczem karty czy oszustem. Dzięki uczeniu maszynowemu każdy przeanalizowany użytkownik wzmacnia dopasowanie modelu.

Ten mechanizm działa w tle i jest niezauważalny dla Twoich klientów.

Narzędzie profilowania Nethone jest osadzone w Twojej witrynie i analizuje bieżący ruch. Kiedy wykryje podejrzany sygnał, wysyła powiadomienie.

Nethone analizuje ponad 5000 metryk w pięciu kategoriach:

  1. Konfiguracja sprzętowa i systemu operacyjnego (np. uruchomiona maszyna wirtualna)

  2. Informacje o przeglądarce (np. użyty agent użytkownika)

  3. Analiza zachowania (np. brak użycia myszy lub klawiatury)

  4. Stan sieci (np. użyta sieć Tor)

  5. Wykrywanie nieprawidłowości (np. inny język przeglądarki i systemu)

Masz również możliwość rozszerzenia funkcjonalności Nethone, by informował o konkretnych zdarzeniach na Twojej stronie, takich jak potwierdzenie adresu e-mail lub prośba o zmianę hasła.

Przedstawiciel Nethone będzie do Twojej dyspozycji w trakcie integracji z Nethone. Jeśli rozważasz skorzystanie z Nethone, skontaktuj się z naszym Działem Sprzedaży.

Jeśli chcesz wiedzieć więcej na temat Nethone, skontaktuj się z Działem Wsparcia Nethone lub zajrzyj na ich stronę.

Dobre praktyki bezpieczeństwa

Nie przechowuj danych kartowych w swoim systemie

Stosowanie się do rad poniżej znacznie zmniejszy wymagania bezpieczeństwa PCI DSS, jakie musisz spełnić:

  • Jeśli to możliwe, unikaj przechowywania danych kartowych.
  • Jeśli musisz, możesz przechowywać datę ważności karty lub BIN (pierwszych 6 cyfr numeru karty), jednak nie przechowuj nigdy całego numeru karty.
  • Nigdy nie przechowuj na serwerze CVV/CVC

Kiedy używasz Straal, rejestracja karty odbywa się w naszym systemie, gdzie dane karty są szyfrowane. Kiedy obciążasz kartę, zamiast nich używasz numeru referencyjnego Straal, który działa jak token. Więcej informacji: Tokenizacja.

Nie pokazuj klientowi szczegółów błędów

Jeśli transakcja się nie powiedzie, otrzymasz od Straal informację o błędzie, zawierającą powód niepowodzenia. Może ona zawierać słowa "dropped by antifraud". Ta informacja jest skierowana przede wszystkim do Ciebie. Swojemu klientowi wyświetl jedynie ogólne powiadomienie "Transakcja nie powiodła się". Szczegółowe informowanie o przyczynach niepowodzeń mogłoby dostarczyć oszustom przydatnych informacji.

Co dalej:


Jeśli coś jest dla Ciebie niejasne w tej sekcji, zajrzyj do Dokumentacji API Straal.

Możesz też sprawdzić Słowniczek, który pomoże Ci zapoznać się ze słownictwem z obszaru płatności.

Skontaktuj się z nami. Zespół Techniczny: [email protected], Dział Wsparcia Klienta: [email protected].