15 aprile 2024
La sicurezza delle transazioni, nota anche come sicurezza dei pagamenti, si riferisce a una categoria di pratiche, protocolli, strumenti e altre misure di sicurezza utilizzate durante e dopo le transazioni commerciali per proteggere le informazioni sensibili e garantire il trasferimento sicuro dei dati dei clienti.
Sebbene le transazioni online pongano sfide specifiche per la sicurezza delle transazioni, sono fondamentali sia per le aziende online, sia per quelle offline per creare un senso di fiducia nei consumatori, mitigare le frodi e rispettare la conformità normativa.
A fronte dell'aumento delle transazioni online e di e-commerce, la sicurezza delle transazioni è diventata una preoccupazione fondamentale per qualsiasi attività commerciale che gestisce i pagamenti e il trasferimento di asset di valore, come istituti finanziari, criptovalute e rivenditori. Altri casi d'uso includono i mercati di gioco online, metodi di pagamento alternativi come ApplePay e Venmo e qualsiasi servizio responsabile del trattamento di documenti legali sensibili (come i servizi di dichiarazione dei redditi online o vari uffici statali ufficiali).
Per evitare perdite finanziarie derivanti da transazioni fraudolente e fornire un'esperienza utente affidabile a clienti che condividono i propri dati personali, le misure di sicurezza comuni delle transazioni includono la moderna crittografia avanzata dei dati, l'autenticazione a più fattori (MFA) e le firme digitali. Questi protocolli di sicurezza riducono il rischio di frodi nei pagamenti e di furti dei dati dei clienti derivanti da una violazione di sicurezza, della quale numerose aziende potrebbero essere legalmente responsabili, a seconda della loro giurisdizione.
Sebbene la maggior parte delle misure di sicurezza delle transazioni venga messa in atto durante la transazione stessa, la sicurezza delle transazioni si estende anche ai criteri aziendali interni che regolano il trattamento di tutti i dati sensibili delle transazioni memorizzati da un'organizzazione o da un'azienda, come i numeri della carta di credito e del conto corrente. Per i professionisti della cybersecurity che si occupano della sicurezza del database, garantire la sicurezza delle transazioni comporta non solo monitorare le transazioni online in tempo reale per attività sospette e transazioni non autorizzate, ma anche individuare e mitigare proattivamente eventuali vulnerabilità interne della sicurezza. I moderni fornitori di servizi di sistemi di sicurezza delle transazioni spesso integrano una funzionalità di notifica personalizzabile e altre automazioni per agevolare le transazioni protette su larga scala.
Le ultime notizie e insight sull'AI
Scopri notizie e insight selezionati da esperti in materia di AI, cloud e molto altro nella newsletter settimanale Think.
Le minacce alla sicurezza delle transazioni spesso si intersecano o contribuiscono a minacce più ampie alla cybersecurity. Di seguito è riportato un breve elenco di alcune delle minacce alla sicurezza delle transazioni più diffuse.
Le truffe di phishing, in cui i criminali informatici utilizzano messaggi fraudolenti per manipolare i destinatari inducendoli a rivelare informazioni sensibili, rappresentano una minaccia sia per i clienti, sia per le aziende. Le truffe di phishing spesso prendono di mira i consumatori nel tentativo di rubare direttamente i dati della loro carta di credito per utilizzarli in transazioni fraudolente. Possono inoltre colpire le aziende nel tentativo di rubare le informazioni di pagamento dei clienti in massa.
Mentre le transazioni di persona richiedono in genere una carta di credito fisica, le transazioni effettuate online o per telefono spesso richiedono solo un numero di carta di credito. Questa falla può rendere le transazioni online o telefoniche vulnerabili a frodi senza la presenza di una carta fisica, in cui i truffatori utilizzano numeri rubati per effettuare transazioni fraudolente. Sebbene un cliente possa comunque conservare la propria carta di credito fisica, potrebbe essere totalmente inconsapevole del fatto che i dati della sua carta siano stati rubati.
Un altro rischio rappresentato dal phishing è la frode per acquisizione dell'account. I truffatori possono utilizzare il phishing o altri mezzi per ottenere l'accesso non autorizzato al conto corrente bancario o di shopping online di un consumatore e procedere ad acquisti non autorizzati.
Anche le truffe BEC sono normalmente causate da schemi di phishing condotti con successo. Quando un criminale informatico ottiene l'accesso a un'e-mail aziendale compromessa, potrebbe sostituirsi a un dipendente o a un fornitore autorizzato e tentare di richiedere un bonifico fraudolento.
Un altro rischio derivante da attacchi di phishing condotti con successo è il SIF, un tipo di frode in cui i truffatori utilizzano una combinazione di informazioni di identificazione personale (PII) reali e rubate per creare identità costruite per varie attività fraudolente, come schemi predefiniti di pagamento in cui un truffatore acquista un prodotto a credito o con un pagamento rateale senza intenzione di effettuare pagamenti futuri.
Forma nota di attacco informatico, durante un attacco MITM, in cui un hacker si posiziona furtivamente tra due parti che ritengono di avere una connessione privata. L'aggressore potrebbe tentare di manipolare i dati trasferiti o semplicemente intercettare per rubare qualsiasi informazione privata di pagamento che possa essere condivisa.
Dato il costante progresso delle nuove tecnologie e la continua evoluzione delle strategie di attacco dei criminali informatici, gli esperti lavorano costantemente per migliorare la sicurezza delle transazioni in tutti i vettori disponibili. Di seguito presentiamo alcuni dei metodi più comuni per rafforzare la sicurezza delle transazioni:
Crittografia
Le aziende e i clienti si affidano alla crittografia dei dati, il pilastro della privacy dei dati, per proteggere le informazioni sensibili durante e dopo le transazioni. Gli standard di crittografia comunemente utilizzati come Secure Sockets Layer (SSL) e Transport Layer Security (TLS) vengono spesso utilizzati durante le transazioni online per impedire accessi non autorizzati, manomissioni e furti.
Tokenizzazione
La tokenizzazione è un processo che sostituisce i dati sensibili dei clienti, come i numeri di carta di credito, con token univoci che non possono essere utilizzati né per effettuare transazioni fraudolente né per decodificare le informazioni di pagamento originali. Questi token vengono quindi utilizzati per fare riferimento alle informazioni di pagamento originali, memorizzate in una cassaforte di token sicura. La tokenizzazione riduce il rischio associato alle violazioni dei dati e semplifica la conformità normativa in quanto i token stessi sono inutili anche se cadono nelle mani sbagliate.
Autenticazione
Come forma fondamentale di sicurezza delle transazioni, le pratiche di autenticazione precedono di molto l'era di Internet. Mentre in passato un commerciante poteva richiedere un documento d'identità con foto prima di accettare un assegno personale, le moderne misure di autenticazione digitale sono diventate più sofisticate. L'autenticazione a fattore singolo (SFA) richiede una forma di identificazione, ad esempio una password o un pin; l'autenticazione a due fattori (2FA) richiede ulteriori forme di identificazione, come un passcode monouso inviato a un dispositivo registrato o a un'e-mail. Altri metodi di autenticazione standard includono la necessità di un valore di verifica della carta (CVV) per i pagamenti con carta di credito e l'autenticazione biometrica (come il riconoscimento facciale o la scansione dell'impronta digitale).
Canali di pagamento sicuri
I gateway di pagamento sicuri sono una parte fondamentale per consentire una sicurezza delle transazioni efficace e ingenerare e mantenere la fiducia dei clienti. Questi gateway consentono l'elaborazione delle transazioni tra il cliente, l'azienda e l'elaboratore dei pagamenti o la banca acquirente. I gateway di pagamento sicuri spesso combinano varie tecniche di sicurezza delle transazioni, tra cui crittografia, tokenizzazione e autenticazione, per garantire la sicurezza dei dati.
Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di standard di sicurezza delle transazioni sviluppato dal Payment Card Industry Security Standard Council (PCI SSC), un forum globale di stakeholder del settore dei pagamenti.
Sviluppato per promuovere l'adozione di standard e risorse di sicurezza dei dati per pagamenti sicuri in tutto il mondo, la conformità PCI DSS aiuta le aziende a soddisfare i requisiti normativi mantenendo al sicuro i dati dei clienti.
Per soddisfare la conformità PCI DSS, le aziende devono eseguire le seguenti operazioni:
- Creare e mantenere una rete e sistemi sicuri: installa e mantieni una configurazione firewall per proteggere i dati del titolare della carta. Evita di utilizzare le impostazioni predefinite del fornitore per le password di sistema e altri parametri di sicurezza.
- Proteggere i dati dei titolari della carta: crittografa la trasmissione dei dati del titolare della carta su reti aperte e pubbliche.
- Mantenere un programma di gestione delle vulnerabilità: sviluppa e mantieni sistemi e applicazioni sicuri e proteggi tutti i sistemi da malware con software o programmi antivirus regolarmente aggiornati.
- Implementare misure di controllo efficaci degli accessi: individua e autentica l'accesso ai componenti del sistema. Limita l'accesso fisico ai dati dei titolari delle carte e limita l'accesso interno ai dati dei titolari delle carte in base a requisiti aziendali e di necessità
- Monitorare e testare regolarmente le reti: tieni traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta con test regolari dei sistemi e dei processi di sicurezza.
- Mantenere una politica di sicurezza delle informazioni: mantieni una politica che affronti la sicurezza delle informazioni per tutto il personale.