什么是交易安全？

虽然在线交易对交易安全构成了独特的挑战，但对于线上和线下企业来说，在线交易仍然是建立消费者信任、减少欺诈和保持合规性的重要手段。

随着电子商务和在线交易的加速兴起，交易安全已成为所有处理支付和有价值资产转移的企业（如金融机构、加密货币交易所和零售商）的主要关注点。其他用例包括在线游戏市场、替代支付方式（如 ApplePay 和 Venmo）以及任何负责处理敏感法律文件的服务（如在线报税服务或各种官方政府办公室）。

为了防止欺诈性交易造成经济损失，并为分享个人数据的客户提供值得信赖的用户体验，常见的交易安全措施包括先进的现代数据加密、多因素身份验证 (MFA) 和数字签名。这些安全协议降低了因安全漏洞而导致的支付欺诈和客户数据被盗的风险，而根据不同地区的法律法规，企业可能需要对因安全漏洞造成的后果承担法律责任。

虽然大多数交易安全措施都是在交易过程中实施，但交易安全还可扩展到内部业务政策以规定组织或企业如何处理信用卡号和账号等敏感交易数据。对于网络安全专业人员（致力于确保数据库安全）而言，保障交易安全不仅意味着实时监控在线交易以识别可疑活动和未经授权的交易，还意味着主动识别并解决任何内部安全漏洞。现代交易安全系统服务提供商通常会采用可定制的通知功能和其他自动化功能，以促进大规模交易并保障安全。

对交易安全的威胁通常与更广泛的网络安全威胁相互交织，或者助长网络安全威胁。下面简要说明一些最常见的交易安全威胁。

随着新技术的不断进步，以及网络罪犯不断演变的攻击策略，专家们一直在努力通过所有可用的载体来提升交易安全。以下是增强交易安全性的几种最常见的的方法：

作为数据隐私的核心，企业和客户都依赖数据加密来保护交易期间和交易后的敏感信息。在线交易期间经常使用安全套接字层 (SSL) 和传输层安全 (TLS) 等常用加密标准，以防止未经授权的访问、篡改和盗窃。

标记化是一种将信用卡号等敏感客户数据替换为独特标记的过程，这种标记既不能用于欺诈交易，也不能通过逆向工程生成原始支付信息。交易使用这些标记引用存储在安全标记保管库中的原始支付信息。标记化既降低了与数据泄露相关的风险，又简化了监管合规操作，因为即使标记落入坏人之手，标记本身也毫无用处。

身份验证是交易安全的基本形式，早在互联网时代之前就已经存在。过去，商家在接受个人支票之前可能会要求提供带照片的身份证明，而现代数字身份验证措施更加复杂。单因素身份验证 (SFA) 仅需要一种验证方式，例如密码或 PIN码；双因素身份验证 (2FA) 还需要额外的验证方式，例如发送到注册设备或电子邮件的一次性密码。其他标准身份验证方法包括：用于信用卡支付的卡验证值 (CVV)，以及面部识别或指纹扫描等生物识别身份验证。

安全支付网关是保障在线交易安全和建立客户信任的重要环节。这些网关使得客户、企业和支付处理商或收单银行之间的交易得以处理。安全支付网关通常采用多种交易安全技术，包括加密、标记化和身份验证，以确保数据安全。

《支付卡行业数据安全标准》(PCI DSS) 是由支付卡行业安全标准委员会 (PCI SSC)（支付行业利益相关者组成的全球论坛）制定的一套交易安全标准。

PCI DSS 标准旨在促进全球范围内采用数据安全标准和安全支付资源，帮助企业满足监管要求，同时保障客户数据安全。

为满足 PCI DSS 合规性要求，企业必须做到以下几点：

• 建立和维护安全网络与系统：安装和维护防火墙配置以保护持卡人数据。避免使用供应商提供的系统密码和其他安全参数的默认值。
  
  
• 保护持卡人数据：对开放公共网络上传输的持卡人数据进行加密。
  
  
• 维护漏洞管理计划：开发并维护安全的系统和应用程序，使用定期更新的防病毒软件或程序保护所有系统免受恶意软件的侵害。
  
  
• 实施稳妥的访问控制措施：识别和验证系统组件访问。限制对持卡人数据的物理访问，并根据业务需要和知情要求限制对持卡人数据的内部访问
  
  
• 定期监控和测试网络：跟踪和监控对网络资源和持卡人数据的所有访问，定期测试安全系统和流程。
• 制定和维护信息安全政策：制定和维护一项针对所有人员的信息安全政策。