Как создать безопасный платежный шлюз
Опубликовано: 2021-10-07Лучше перестраховаться, чем потом сожалеть. И это утверждение тем более верно для интернет-магазинов. Защита вашего платежного процесса имеет решающее значение для поддержания доверия клиентов и поддержания вашего бизнеса и доходов.
Ваша платежная система под замком? Узнайте больше об атаках и убедитесь, что вы защищены с помощью нашего контрольного списка безопасности.
Как выглядят атаки платежных шлюзов?
Когда киберпреступник атакует ваш платежный шлюз, его цель — обнаружить или украсть информацию о кредитной карте, которую затем можно продать в Интернете.
Атаки на платежные шлюзы могут принимать форму:
- Атаки перечислением, которые проверяют действительность комбинаций кредитных карт, чтобы найти те, которые работают. На вашем сайте это может выглядеть как многочисленные неудачные попытки оформить небольшой заказ.
- Украдены учетные данные администратора. Преступники используют методы фишинга или другие методы для доступа к вашей учетной записи администратора и платежному шлюзу с целью кражи информации о кредитной карте клиента.
- Клонированные POS-устройства. Злоумышленники копируют ваши устройства в точках продаж (которые используют учетные данные вашего платежного шлюза) для создания поддельных заказов.
Зачем заботиться о безопасности платежного шлюза?
Как только ваш магазин заработает, у вас может возникнуть соблазн подумать, что вы в достаточной безопасности, особенно если вы еще не были в центре внимания хакеров. Но когда преступники атакуют ваш платежный шлюз, вы можете столкнуться с такими последствиями, как:
- Время, необходимое для разбора и устранения нарушений, что не позволяет вам тратить время на приносящие доход части вашего бизнеса.
- Проблемы с производительностью сайта из-за трафика от брутфорс-атак.
- Подрыв доверия к вашему провайдеру платежного шлюза, что может привести к повышению комиссий или отмене услуги.
Как заблокировать свой сайт
Надеюсь, вам никогда не придется беспокоиться о реальных атаках. Но ошибитесь на всякий случай и подумайте, уделите время и вложите средства в каждую из этих проблем, чтобы убедиться, что ваш сайт заблокирован.
Используйте CAPTCHA для учетных записей пользователей и процесса оформления заказа
Убедитесь, что боты не могут проникнуть в вашу систему, добавив CAPTCHA на страницы регистрации и оформления заказа. Хотя это дополнительный шаг для клиентов, он того стоит из-за простого и эффективного способа предотвращения атак ботов на ваш сайт.
Существует множество методов, которые вы можете использовать для оптимизации процесса для ваших законных клиентов, при этом повышая безопасность. Рассмотрите расширенные функции расширения ReCaptcha for WooCommerce, чтобы найти правильный баланс между простотой и безопасностью.
Инвестируйте в качественный хостинг
Ваш хост — ваш партнер по производительности и безопасности. Качественный поставщик будет включать в себя важные функции безопасности, такие как:
- SSL-сертификат, который шифрует информацию о клиенте, такую как данные кредитной карты и адреса.
- PCI-совместимые серверы, соответствующие всем рекомендациям кредитных карт.
- Регулярное сканирование сайта, резервное копирование и мониторинг атак методом грубой силы.
Но не полагайтесь только на своего хоста. Рассмотрите возможность добавления брандмауэра на свой сайт, который действует как барьер между вашим магазином и хакерами, предотвращая их проникновение.
А такие инструменты, как Jetpack Security, обеспечивают сканирование на наличие вредоносных программ, оповещения о простоях и резервное копирование за пределы площадки.
Используйте плагин для защиты от мошенничества
Защитите свой платежный шлюз напрямую с помощью программного обеспечения для защиты от мошенничества, которое отслеживает ваши заказы и следит за любой подозрительной активностью.
Такие расширения, как WooCommerce Anti-Fraud, будут искать транзакции, подпадающие под типичные шаблоны атак, и блокировать подозрительные заказы и сомнительных пользователей.
Вы можете заблокировать такие действия, как:
- Множество небольших заказов, размещенных в быстрой последовательности
- Внезапный приток заказов из географического местоположения за пределами вашей типичной зоны заказа
- Заказы, размещенные из черного списка адресов электронной почты и IP-адресов
- Подозрительные различия между платежным адресом и адресом доставки
- Платежи с новых неподтвержденных учетных записей PayPal
- Использование прокси-серверов и другие действия по маскировке
Вы можете установить уровень чувствительности для помечаемых заказов, чтобы определить правильный уровень риска для вашего магазина.
Убедитесь, что пароли безопасны
Мы все знаем основы безопасности паролей: используйте различные символы, не используйте личное имя или дату и не используйте пароли повторно на разных веб-сайтах. Но вы можете добавить дополнительную безопасность:
- Усложнение паролей администратора специальными символами и т. д.
- Добавление программного обеспечения для блокировки пароля, которое ограничит количество неудачных попыток входа в систему.
- Предоставление пользователям только минимальных разрешений, необходимых для выполнения их работы или задач.
- Будьте осведомлены о фишинге и никогда не делитесь информацией о своем пароле с подозрительными компаниями или частными лицами.
Пароли также могут использоваться для защиты определенных частей вашего сайта. Используйте расширение категорий, защищенных паролем, чтобы ограничить доступ к часто используемым областям. Покупатели должны будут иметь учетную запись для подтверждения своей личности или получить доступ к паролю непосредственно от вас по защищенным каналам.
Ограничить хранение информации о платежной карте
Одна замечательная особенность WooCommerce заключается в том, что вам вообще не нужно хранить информацию о кредитной карте — ваш платежный шлюз будет обрабатывать наиболее уязвимую и важную информацию о безопасности.
Ключевой совет: убедитесь, что выбранный вами платежный шлюз использует токенизацию для передачи информации о кредитной карте туда и обратно. Для максимальной безопасности рассмотрите платежи WooCommerce .
Но если вы хотите, чтобы ваши клиенты могли настраивать подписки или регистрироваться для предварительных заказов, ваша система может хранить некоторую информацию о вариантах оплаты либо на вашем сайте, либо через ваш платежный шлюз. Ограничьте количество раз, когда клиенты могут обновлять информацию о своей кредитной карте. Несколько обновлений в день — это красный флаг атак методом грубой силы.
Безопасно выводите из эксплуатации POS-устройства
Когда POS-устройства изжили себя, обязательно безопасно выведите их из эксплуатации. Это означает стирание всей памяти и настроек, чтобы гарантировать удаление любых кодов доступа или сохраненных паролей и невозможность их клонирования или копирования. Это также означает возврат этих устройств компании-источнику, чтобы их можно было безопасно утилизировать; не позволяйте им пылиться в задней части вашего магазина.
Поскольку все части платежной системы полностью защищены, вы будете знать, что сделали все возможное, чтобы сохранить свой самый важный бизнес-актив в целости и сохранности. Держите злоумышленников на расстоянии и убедитесь, что вы тратите свою энергию на получение дохода и рост, а не на устранение нарушений безопасности.