发布日期:2024 年 4 月 15 日
撰稿人:Josh Schneider、Ian Smalley
交易安全也称为支付安全,是指在业务交易过程中和之后用来保护敏感信息并确保客户数据安全传输的一类实践、协议、工具和其他安全措施。
虽然在线交易对交易安全构成了独特的挑战,但对于线上和线下企业来说,在线交易仍然是建立消费者信任、减少欺诈和保持合规性的重要手段。
随着电子商务和在线交易的加速兴起,交易安全已成为所有处理支付和有价值资产转移的企业(如金融机构、加密货币交易所和零售商)的主要关注点。其他用例包括在线游戏市场、替代支付方式(如 ApplePay 和 Venmo)以及任何负责处理敏感法律文件的服务(如在线报税服务或各种官方政府办公室)。
为了防止欺诈性交易造成经济损失,并为分享个人数据的客户提供值得信赖的用户体验,常见的交易安全措施包括先进的现代数据加密、多因素身份验证 (MFA) 和数字签名。这些安全协议降低了因安全漏洞而导致的支付欺诈和客户数据被盗的风险,而根据不同地区的法律法规,企业可能需要对因安全漏洞造成的后果承担法律责任。
虽然大多数交易安全措施都是在交易过程中实施,但交易安全还可扩展到内部业务政策以规定组织或企业如何处理信用卡号和账号等敏感交易数据。对于致力于数据库安全的网络安全专业人员而言,保障交易安全不仅意味着实时监控在线交易以识别可疑活动和未经授权的交易,还意味着主动识别并解决任何内部安全漏洞。现代交易安全系统服务提供商通常会采用可定制的通知功能和其他自动化功能,以促进大规模交易并保障安全。
AI 的发展正在改变我们定义和履行工作的方式,以及我们为履行工作的人员提供支持的方式。了解人力资源主管如何引领并运用 AI 推动人力资源和人才转型。
订阅 IBM 时事通讯
对交易安全的威胁通常与更广泛的网络安全威胁相互交织,或者助长网络安全威胁。下面简要说明一些最常见的交易安全威胁。
网络钓鱼诈骗是指网络罪犯利用欺诈性信息操纵目标,使其泄露敏感信息,对客户和企业均会构成威胁。网络钓鱼欺诈通常以消费者为目标,企图直接窃取他们的信用卡信息,用于欺诈交易。他们还可能以企业为目标,企图大量窃取客户的付款信息。
面对面交易通常需要实体信用卡,但在线交易或通过电话进行的交易往往只需要信用卡号。这一漏洞可能导致在线或电话交易遭受盗卡欺诈,即不法分子利用窃取的卡号进行欺诈交易。客户可能仍持有实体信用卡,但他们可能完全不知道其卡详细信息已经被盗。
网络钓鱼带来的另一个风险是账户接管欺诈。欺诈者可能会使用网络钓鱼或其他手段,未经授权访问消费者的银行或网上购物账户,然后进行未经授权的购买。
BEC 诈骗也是成功的网络钓鱼攻击的常见后果。当网络犯罪分子获得受感染的商业电子邮件帐户的访问权限时,他们可能会冒充授权员工或供应商,试图申请欺诈性电汇。
成功的网络钓鱼攻击带来的另一个风险是 SIF,这是一种欺诈,诈骗者使用被盗的真实个人身份信息 (PII) 组合,为各种欺诈活动创建虚假身份,例如付款违约计划,诈骗者以赊账或分期付款的方式购买产品,但无意在未来还款。
中间人攻击 (MITM) 是一种众所周知的网络攻击形式,在攻击期间,黑客会悄悄地将自己置于两个认为彼此拥有私密连接的通信实体之间。攻击者可能会试图操纵他们传输的数据,或只是偷听以窃取可能分享的私密支付信息。
随着新技术的不断进步,以及网络罪犯不断演变的攻击策略,专家们一直在努力通过所有可用的载体来提升交易安全。以下是增强交易安全性的几种最常见的的方法:
作为数据隐私的核心,企业和客户都依赖数据加密来保护交易期间和交易后的敏感信息。在线交易期间经常使用安全套接字层 (SSL) 和传输层安全 (TLS) 等常用加密标准,以防止未经授权的访问、篡改和盗窃。
标记化是一种将信用卡号等敏感客户数据替换为独特标记的过程,这种标记既不能用于欺诈交易,也不能通过逆向工程生成原始支付信息。交易使用这些标记引用存储在安全标记保管库中的原始支付信息。标记化既降低了与数据泄露相关的风险,又简化了监管合规操作,因为即使标记落入坏人之手,标记本身也毫无用处。
身份验证是交易安全的基本形式,早在互联网时代之前就已经存在。过去,商家在接受个人支票之前可能会要求提供带照片的身份证明,而现代数字身份验证措施更加复杂。单因素身份验证 (SFA) 仅需要一种验证方式,例如密码或 PIN码;双因素身份验证 (2FA) 还需要额外的验证方式,例如发送到注册设备或电子邮件的一次性密码。其他标准身份验证方法包括:用于信用卡支付的卡验证值 (CVV),以及面部识别或指纹扫描等生物识别身份验证。
安全支付网关是保障在线交易安全和建立客户信任的重要环节。这些网关使得客户、企业和支付处理商或收单银行之间的交易得以处理。安全支付网关通常采用多种交易安全技术,包括加密、标记化和身份验证,以确保数据安全。
《支付卡行业数据安全标准》(PCI DSS)(ibm.com 外部链接)是由支付卡行业安全标准委员会 (PCI SSC)(支付行业利益相关者组成的全球论坛)制定的一套交易安全标准。
PCI DSS 标准旨在促进全球范围内采用数据安全标准和安全支付资源,帮助企业满足监管要求,同时保障客户数据安全。
为满足 PCI DSS 合规性要求,企业必须做到以下几点:
- 建立和维护安全网络与系统:安装和维护防火墙配置以保护持卡人数据。避免使用供应商提供的系统密码和其他安全参数的默认值。
- 保护持卡人数据:对开放公共网络上传输的持卡人数据进行加密。
- 维护漏洞管理计划:开发并维护安全的系统和应用程序,使用定期更新的防病毒软件或程序保护所有系统免受恶意软件的侵害。
- 实施强有力的访问控制措施:识别和验证系统组件访问。限制对持卡人数据的物理访问,并根据业务需要和知情要求限制对持卡人数据的内部访问
- 定期监控和测试网络:跟踪和监控对网络资源和持卡人数据的所有访问,定期测试安全系统和流程。
- 制定和维护信息安全政策:制定和维护一项针对所有人员的信息安全政策。
IBM CICS Transaction Server(通常称为 CICS)是一个强大的、世界一流的混合语言应用程序服务器平台,用于在混合架构中托管事务型企业应用程序。
利用高度安全且可扩展的操作系统运行任务关键型应用程序。IBM z/OS 是面向 IBM Z 大型机的操作系统 (OS),适用于连续大容量操作,安全性和稳定性高。借助 IBM z/OS,企业可以推动业务转型并加速创新。
借助 IBM Consulting 加速实现业务目标。我们帮助企业实现专门构建的应用程序现代化,通过将新兴技术嵌入到企业的核心业务流程和平台战略并有效运行,来简化技术管理并降低成本。
在欺诈发生之前进行管理和预防,从而保护您的用户、资产和数据。IBM Security 有助于简化欺诈防范工作并建立数字身份信任,从而在整个用户旅程中提供顺畅、持续的认证,以创造积极的用户体验。
交易管理是数据库管理系统 (DBMS) 的一个不可或缺的过程,在此过程中,交易管理软件监督、协调、执行任何给定的交易尝试。
交易处理系统 (TPS) 是一种数据管理信息处理软件,在业务交易过程中用于管理客户和业务数据的收集与检索。
多因素身份验证 (MFA) 是一种身份验证方法,用户必须提供至少两个证据(如密码和临时通行码)才能证明自己的身份。
数据库安全是指旨在建立和维护数据库机密性、完整性和可用性的一系列工具、控制和措施。在大多数数据泄露事件中,机密性是最容易受到侵害的因素。
数据泄露是指未经授权方访问敏感信息或机密信息的任何安全事件,包括个人数据(社会保障编号、银行账号、医疗保健数据)或企业数据(客户数据记录、知识产权、财务信息)。
网络安全是指用于防范网络攻击或减轻其影响的任何技术、措施或做法。