ما هو أمان المعاملات؟
يشير أمان المعاملات، والتي تُعرف أيضًا بأمان المدفوعات، إلى فئة من الممارسات والبروتوكولات والأدوات وغيرها من التدابير الأمنية المُستخدمة أثناء المعاملات التجارية وبعدها، بهدف حماية المعلومات الحساسة وضمان نقل بيانات العملاء بطريقة آمنة وموثوقة.
وعلى الرغم من أن المعاملات عبر الإنترنت تُشكّل تحديات فريدة لأمان المعاملات، إلا أنها تُعد ضرورية لكل من الأعمال التجارية عبر الإنترنت وخارجها، لبناء ثقة العملاء، والحد من الاحتيال، والامتثال للوائح التنظيمية.
بالتزامن مع الصعود المتسارع للتجارة الإلكترونية والمعاملات عبر الإنترنت، أصبح أمن المعاملات مصدر قلق كبير لأي عمل تجاري يتعامل مع المدفوعات ونقل الأصول القيمة، مثل المؤسسات المالية وتبادل العملات المشفرة وتجار التجزئة. تشمل حالات الاستخدام الأخرى أسواق الألعاب عبر الإنترنت، وطرق الدفع البديلة مثل ApplePay وVenmo وأي خدمة مسؤولة عن معالجة المستندات القانونية الحساسة (مثل خدمات الإيداع الضريبي عبر الإنترنت أو المكاتب الحكومية الرسمية المختلفة).
ولمنع الخسائر المالية الناجمة عن المعاملات الاحتيالية وتوفير تجربة مستخدم موثوقة للعملاء والزبائن الذين يشاركون بياناتهم الشخصية، تتضمن تدابير أمن المعاملات الشائعة تشفير البيانات الحديث المتقدم والمصادقة متعددة العوامل (MFA) والتوقيعات الرقمية. تخفف بروتوكولات الأمان هذه من مخاطر الاحتيال في الدفع وسرقة بيانات العملاء الناتجة عن الاختراق الأمني، والتي قد تكون العديد من الشركات مسؤولة قانونيًا عنها، بحسب السلطة القضائية.
بينما يتم وضع معظم تدابير أمن المعاملات أثناء إجراء المعاملة نفسها، فإن أمن المعاملات يمتد أيضاً إلى سياسات العمل الداخلية التي تحكم التعامل مع أي بيانات معاملات حساسة تخزنها المؤسسة أو الشركة مثل أرقام بطاقات الائتمان وأرقام الحسابات. بالنسبة لمحترفي الأمن السيبراني الذين يستثمرون في أمن قواعد البيانات، فإن أمن المعاملات لا يعني فقط مراقبة المعاملات عبر الإنترنت في الوقت الفعلي بحثاً عن أي نشاط مشبوه ومعاملات غير مصرح بها ولكن أيضاً تحديد أي ثغرات أمنية داخلية والتخفيف من حدتها بشكل استباقي. وغالباً ما يدمج مزودو خدمات نظام أمن المعاملات الحديث وظيفة الإشعارات القابلة للتخصيص وغيرها من الأتمتة لتسهيل المعاملات الآمنة على نطاق واسع.
أحدث الأخبار والرؤى حول الذكاء الاصطناعي
تتوفر معارف وأخبار منسقة بمهارة حول الذكاء الاصطناعي والسحابة وغيرها في نشرة Think الإخبارية الأسبوعية.
غالبًا ما تتقاطع تهديدات أمان المعاملات مع التهديدات السيبرانية الأوسع أو تُسهم فيها. فيما يلي قائمة مختصرة ببعض أكثر هذه التهديدات شيوعًا:
تشكل عمليات التصيد الاحتيالي، التي يستخدم فيها مجرمو الإنترنت رسائل احتيالية للتلاعب بالأهداف لإجبارهم على الكشف عن معلومات حساسة، تهديدًا لكل من العملاء والشركات. غالبًا ما تستهدف عمليات التصيد الاحتيالي المستهلكين في محاولة لسرقة معلومات بطاقاتهم الائتمانية مباشرةً لاستخدامها في معاملات احتيالية. كما يمكنهم أيضًا استهداف الشركات في محاولة لسرقة معلومات الدفع الخاصة بالعملاء بالجملة.
في المعاملات المباشرة، يُطلب وجود بطاقة ائتمان فعلية. أما في المعاملات عبر الإنترنت أو الهاتف، فعادة ما يُكتفى بإدخال رقم البطاقة فقط. وهذا ما يفتح الباب أمام الاحتيال باستخدام بطاقات مسروقة، إذ يمكن للمخترقين استخدام أرقام بطاقات مسروقة لإجراء عمليات شراء احتيالية دون علم صاحب البطاقة الأصلي. وقد يحتفظ العميل ببطاقته الفعلية دون أن يدرك أن بياناتها قد تعرّضت للسرقة.
ومن المخاطر الأخرى التي يشكلها التصيد الاحتيالي الاحتيال للاستيلاء على الحساب. قد يستخدم المحتالون التصيد الاحتيالي أو وسائل أخرى لضبط الوصول غير المصرح به إلى حساب العميل المصرفي أو التسوق عبر الإنترنت والمضي قدمًا في إجراء عمليات شراء غير مصرح بها.
تعد عمليات الاحتيال عبر البريد الإلكتروني الخاص بالشركات (BEC) أيضاً نتيجة شائعة لأساليب التصيد الاحتيالي الناجحة. عندما يتمكن أحد المجرمين الإلكترونيين من الوصول إلى حساب بريد إلكتروني تجاري مخترق، فقد ينتحل شخصية موظف أو بائع معتمد ويحاول طلب تحويل مصرفي احتيالي.
هناك خطر آخر ينتج عن هجمات التصيد الناجحة، وهو الاحتيال بشأن الهوية الاصطناعية (SIF) وهو نوع من يستخدم فيه المحتالون مزيجًا من معلومات التعريف الشخصية الحقيقية المسروقة لإنشاء هويات مزيفة لتنفيذ العديد من الأنشطة الاحتيالية المختلفة، مثل مخططات أخطاء السداد حيث يشتري المحتال منتجًا بالائتمان أو بالتقسيط دون نية إجراء مدفوعات مستقبلية.
شكل معروف من أشكال الهجوم الإلكتروني، أثناء هجمات الوسيط (MITM)، يقوم أحد المتسللين بوضع نفسه سراً بين طرفين يعتقدان أن بينهما اتصالاً خاصاً. قد يحاول المهاجم التلاعب ببياناته المنقولة أو ببساطة التنصت لسرقة أي معلومات دفع خاصة قد تتم مشاركتها.
مع التقدم المستمر للتقنيات الجديدة، بالإضافة إلى استراتيجيات الهجوم المتطورة باستمرار لمجرمي الإنترنت، يعمل الخبراء باستمرار على تحسين أمن المعاملات من خلال جميع المحاور المتاحة. فيما يلي بعض الطرق الأكثر شيوعاً لتعزيز أمن المعاملات:
التشفير
يُعد تشفير البيانات هو الأساس في حماية الخصوصية، حيث تعتمد الشركات والعملاء عليه لحماية المعلومات الحساسة أثناء المعاملات وبعدها. وتُستخدم معايير التشفير الشائعة مثل طبقة المنافذ الآمنة (SSL) وأمان طبقة النقل (TLS) في المعاملات عبر الإنترنت لمنع الوصول غير المصرح به أو التلاعب أو السرقة.
الترميز
الترميز هو عملية تُستبدل فيها البيانات الحساسة للعملاء، مثل أرقام بطاقات الائتمان، برموز فريدة لا يمكن استخدامها في إجراء معاملات احتيالية، ولا يمكن عكس هندستها لاستخلاص معلومات الدفع الأصلية. تُستخدم هذه الرموز للإشارة إلى معلومات الدفع الأصلية، والتي يتم الاحتفاظ بها في خزانة رموز آمنة. وتُسهم الرمزية في تقليل المخاطر المرتبطة باختراق أمن البيانات، كما تُبسط الامتثال التنظيمي، نظرًا لأن هذه الرموز تكون عديمة القيمة حتى إذا وصلت إلى أطراف غير مصرح بها.
المصادقة
كشكل أساسي من أشكال أمن المعاملات، فإن ممارسات المصادقة سبقت عصر الإنترنت بفترة طويلة. بينما كان التاجر في الماضي قد يطلب شكلاً من أشكال الهوية التي تحمل صورة قبل قبول شيك شخصي، إلا أن إجراءات المصادقة الرقمية الحديثة قد ازدادت تطوراً وتعقيدًا. تتطلب المصادقة أحادية العامل (SFA) شكلاً واحداً من أشكال التعريف، مثل كلمة مرور أو رقم تعريف شخصي؛ بينما تتطلب المصادقة الثنائية (2FA) أشكالاً إضافية من أشكال التعريف، مثل رمز مرور لمرة واحدة يتم إرساله إلى جهاز مسجل أو بريد إلكتروني. تتضمن طرق المصادقة القياسية الأخرى طلب قيمة التحقق من البطاقة (CVV) لمدفوعات بطاقات الائتمان والمصادقة البيومترية (مثل التعرف على الوجه أو مسح بصمات الأصابع).
بوابات الدفع الآمنة
تُشكّل بوابات الدفع الآمنة ركيزة أساسية في ضمان أمان المعاملات وتعزيز ثقة العملاء والحفاظ عليها. فهي تُمكّن من معالجة المعاملات بسلاسة بين العميل، والمؤسسة، ومُعالج الدفع أو البنك المُكتسب. وتعتمد هذه البوابات على مجموعة متكاملة من تقنيات الحماية، مثل التشفير، والترميز، والمصادقة، لضمان أمن البيانات ومنع الوصول غير المصرح به.
معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) عبارة عن مجموعة من معايير أمان المعاملات التي طورها مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC)، وهو منتدى عالمي للأطراف المعنية في صناعة المدفوعات.
تم تطوير امتثال PCI DSS لدفع اعتماد معايير وموارد أمان البيانات للمدفوعات الآمنة في جميع أنحاء العالم، ويساعد امتثال PCI DSS الشركات على تلبية متطلبات اللوائح مع الحفاظ على أمان بيانات العملاء.
لضمان الامتثال لمعيار أمان بيانات بطاقات الدفع (PCI DSS)، يجب على المؤسسات تنفيذ ما يلي:
- إنشاء شبكة وأنظمة آمنة وتحديثها: إعداد جدار حماية قوية وتحديثها لحماية بيانات حامل البطاقة. جنّب استخدام كلمات المرور والإعدادات الافتراضية التي يوفرها الموردون، لضمان الحد الأدنى من الثغرات الأمنية.
- حماية بيانات حامل البطاقة: تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة المفتوحة.
- تفعيل برنامج إدارة الثغرات الأمنية: تطوير وصيانة أنظمة وتطبيقات آمنة وحماية جميع الأنظمة من البرامج الضارة باستخدام برمجيات أو برامج مكافحة الفيروسات التي يتم تحديثها بانتظام.
- تنفيذ تدابير قوية للتحكم في الوصول: تحديد ومصادقة الوصول إلى مكونات النظام. تقييد الوصول الفعلي إلى بيانات حامل البطاقة وتقييد الوصول الداخلي إلى بيانات حامل البطاقة من خلال متطلبات العمل القائمة على الحاجة إلى المعرفة
- المراقبة المستمرة والاختبار الدوري للشبكات: تتبع ومراقبة جميع محاولات الوصول إلى موارد الشبكة وبيانات حاملي البطاقات، إلى جانب إجراء اختبارات منتظمة لأنظمة الحماية وعمليات الأمان.
- تفعيل سياسة أمن المعلومات: تفعيل سياسة تتناول أمن المعلومات لجميع الموظفين.