Pubblicato: 15 aprile 2024
Autori: Josh Schneider, Ian Smalley
La sicurezza delle transazioni, nota anche come sicurezza dei pagamenti, si riferisce a una categoria di pratiche, protocolli, strumenti e altre misure di sicurezza utilizzate durante e dopo le transazioni commerciali per proteggere le informazioni sensibili e garantire il trasferimento sicuro dei dati dei clienti.
Sebbene le transazioni online pongano sfide uniche per la sicurezza delle transazioni, sono fondamentali sia per le aziende online che per quelle offline per ingenerare fiducia nei consumatori, mitigare le frodi e mantenere la conformità normativa.
A fronte dell'aumento accelerato delle transazioni online e di e-commerce, la sicurezza delle transazioni è diventata una preoccupazione fondamentale per qualsiasi attività commerciale che gestisce i pagamenti e il trasferimento di beni di valore, come istituti finanziari, criptovalute e rivenditori. Altri casi d'uso includono i mercati di gioco online, metodi di pagamento alternativi come ApplePay e Venmo e qualsiasi servizio responsabile del trattamento di documenti legali sensibili (come i servizi di dichiarazione dei redditi online o vari uffici statali ufficiali).
Per evitare perdite finanziarie derivanti da transazioni fraudolente e fornire un'esperienza utente affidabile a clienti che condividono i propri dati personali, le misure di sicurezza comuni delle transazioni includono la crittografia avanzata dei dati, l'autenticazione a più fattori (MFA) e le firme digitali. Questi protocolli di sicurezza riducono il rischio di frodi nei pagamenti e di furto dei dati dei clienti derivante da una violazione della sicurezza, della quale molte aziende potrebbero essere legalmente responsabili, a seconda della loro giurisdizione.
Sebbene la maggior parte delle misure di sicurezza delle transazioni venga messa in atto durante la transazione stessa, la sicurezza delle transazioni si estende anche ai criteri aziendali interni che regolano il trattamento di tutti i dati sensibili delle transazioni memorizzati da un'organizzazione o da un'azienda, come i numeri di carta di credito e i numeri di conto. Per i professionisti della cybersecurity che si occupano della sicurezza del database, garantire la sicurezza delle transazioni comporta non solo monitorare le transazioni online in tempo reale per attività sospette e transazioni non autorizzate, ma anche individuare e mitigare proattivamente eventuali vulnerabilità della sicurezza interne. I moderni fornitori di servizi di sistemi di sicurezza delle transazioni spesso integrano una funzionalità di notifica personalizzabile e altre automazioni per agevolare le transazioni protette su larga scala.
L'evoluzione dell'AI sta cambiando il modo in cui definiamo ed eseguiamo il lavoro, nonché il modo in cui supportiamo le persone che lo svolgono. Scopri come i leader delle risorse umane stanno aprendo la strada e applicando l'AI per guidare la trasformazione delle risorse umane e dei talenti.
Iscriviti alla newsletter IBM
Le minacce alla sicurezza delle transazioni spesso si intersecano o contribuiscono a minacce alla cybersecurity più ampie. Di seguito è riportato un breve elenco di alcune delle minacce alla sicurezza delle transazioni più diffuse.
Le truffe di phishing, in cui i criminali informatici utilizzano messaggi fraudolenti per manipolare i destinatari inducendoli a rivelare informazioni sensibili, rappresentando una minaccia sia per i clienti che per le aziende. Le truffe di phishing spesso prendono di mira i consumatori nel tentativo di rubare direttamente i dati della loro carta di credito per utilizzarli in transazioni fraudolente. Possono anche colpire le aziende nel tentativo di rubare le informazioni di pagamento dei clienti in blocco.
Mentre le transazioni di persona richiedono in genere una carta di credito fisica, le transazioni effettuate online o per telefono spesso richiedono solo un numero di carta di credito. Questa scappatoia può rendere le transazioni online o telefoniche vulnerabili a frodi con carta non presente, in cui i truffatori utilizzano numeri rubati per effettuare transazioni fraudolente. Sebbene un cliente possa comunque conservare la propria carta di credito fisica, potrebbe essere totalmente inconsapevole del fatto che i dati della sua carta sono stati rubati.
Un altro rischio rappresentato dal phishing è la frode per l'acquisizione dell'account. I truffatori possono utilizzare il phishing o altri mezzi per ottenere un accesso non autorizzato al conto bancario o di shopping online di un consumatore e procedere ad acquisti non autorizzati.
Anche le truffe BEC sono normalmente causate da schemi di phishing di successo. Quando un criminale informatico ottiene l'accesso a un'e-mail aziendale compromessa, potrebbe impersonare un dipendente o fornitore autorizzato e tentare di richiedere un bonifico fraudolento.
Un altro rischio derivante da attacchi di phishing riusciti, il SIF è un tipo di frode in cui i truffatori utilizzano una combinazione di informazioni di identificazione personale (PII) reali e rubate per creare identità costruite per varie attività fraudolente, come schemi di inadempienza di pagamento in cui un truffatore acquista un prodotto a credito o con un pagamento a rate senza intenzione di effettuare pagamenti futuri.
Forma nota di attacco informatico, durante un attacco MITM, un hacker si posiziona improvvisamente tra due parti che ritengono di avere una connessione privata. L'aggressore potrebbe tentare di manipolare i dati trasferiti o semplicemente intercettare per rubare qualsiasi informazione privata di pagamento che possa essere condivisa.
Dato il costante progresso delle nuove tecnologie e la continua evoluzione delle strategie di attacco dei criminali informatici, gli esperti lavorano costantemente per migliorare la sicurezza delle transazioni in tutti i vettori disponibili. Di seguito presentiamo alcuni dei metodi più comuni per rafforzare la sicurezza delle transazioni:
Le aziende e i clienti si affidano alla crittografia dei dati, il pilastro della privacy dei dati, per proteggere le informazioni sensibili durante e dopo le transazioni. Gli standard di crittografia comunemente utilizzati come Secure Sockets Layer (SSL) e Transport Layer Security (TLS) vengono spesso utilizzati durante le transazioni online per impedire accessi non autorizzati, manomissioni e furti.
La tokenizzazione è un processo che sostituisce i dati sensibili dei clienti, come i numeri di carta di credito, con token univoci che non possono essere utilizzati né per effettuare transazioni fraudolente né per decodificare le informazioni di pagamento originali. Questi token vengono quindi utilizzati per fare riferimento alle informazioni di pagamento originali, memorizzate in una cassaforte di token sicura. La tokenizzazione riduce il rischio connesso alle violazioni dei dati e semplifica la conformità normativa poiché i token stessi sono inutili anche se cadono nelle mani sbagliate.
Come forma fondamentale di sicurezza delle transazioni, le pratiche di autenticazione precedono di molto l'era di Internet. Mentre in passato un commerciante poteva richiedere un documento d'identità con foto prima di accettare un assegno personale, le moderne misure di autenticazione digitale sono diventate più sofisticate. L'autenticazione a fattore singolo (SFA) richiede una forma di identificazione, ad esempio una password o un pin; l'autenticazione a due fattori (2FA) richiede ulteriori forme di identificazione, come un passcode monouso inviato a un dispositivo registrato o a un'e-mail. Altri metodi di autenticazione standard includono la necessità di un valore di verifica della carta (CVV) per i pagamenti con carta di credito e l'autenticazione biometrica (come il riconoscimento facciale o la scansione dell'impronta digitale).
I gateway di pagamento sicuri sono una parte fondamentale per consentire una sicurezza delle transazioni efficace e ingenerare e mantenere la fiducia dei clienti. Questi gateway consentono l'elaborazione delle transazioni tra il cliente, l'azienda e l'elaboratore dei pagamenti o la banca acquirente. I gateway di pagamento sicuri spesso combinano varie tecniche di sicurezza delle transazioni, tra cui crittografia, tokenizzazione e autenticazione, per garantire la sicurezza dei dati.
Lo standard Payment Card Industry Data Security Standard (PCI DSS) (link esterno a ibm.com) è un insieme di standard di sicurezza delle transazioni sviluppato dal Payment Card Industry Security Standard Council (PCI SSC), un forum globale di stakeholder del settore dei pagamenti.
Sviluppato per promuovere l'adozione di standard e risorse di sicurezza dei dati per pagamenti sicuri in tutto il mondo, la conformità PCI DSS aiuta le aziende a soddisfare i requisiti normativi mantenendo al sicuro i dati dei clienti.
Per soddisfare la conformità PCI DSS, le aziende devono eseguire le seguenti operazioni:
- Creare e mantenere una rete e sistemi sicuri: installa e mantieni una configurazione firewall per proteggere i dati del titolare della carta. Evita di utilizzare le impostazioni predefinite del fornitore per le password di sistema e altri parametri di sicurezza.
- Proteggere i dati dei titolari di carta: crittografa la trasmissione dei dati dei titolari di carta su reti aperte e pubbliche.
- Mantenere un programma di gestione delle vulnerabilità: sviluppa e mantieni sistemi e applicazioni sicuri e proteggi tutti i sistemi dal malware con software o programmi antivirus regolarmente aggiornati.
- Implementare misure di controllo accessi efficaci: identifica e autentica l'accesso ai componenti del sistema. Limita l'accesso fisico ai dati dei titolari di carta e limita l'accesso interno ai dati dei titolari di carta in base a requisiti aziendali e di necessità
- Monitorare e testare regolarmente le reti: traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carte con test regolari dei sistemi e dei processi di sicurezza.
- Mantenere una politica di sicurezza delle informazioni: mantieni una politica che affronti la sicurezza delle informazioni per tutto il personale.
IBM CICS Transaction Server, spesso detto CICS, è una potente piattaforma server di applicazioni a linguaggio misto di livello mondiale adottata per ospitare le applicazioni aziendali transazionali in un'architettura ibrida.
Utilizza un sistema operativo altamente sicuro e scalabile per l'esecuzione di applicazioni mission-critical. IBM® z/OS è un sistema operativo (OS) per mainframe IBM® Z, adatto a operazioni continue e ad alto volume con elevata sicurezza e stabilità. Con IBM z/OS, puoi guidare la business transformation e accelerare l'innovazione.
Accelera e raggiungi gli obiettivi aziendali con IBM® Consulting. Ti aiutiamo a realizzare una modernizzazione delle applicazioni appositamente progettata, che semplifica la gestione della tecnologia e riduce i costi, incorporando e rendendo operative le tecnologie emergenti nei tuoi core business e nelle tue strategie di piattaforma.
Proteggi i tuoi utenti, asset e dati gestendo e prevenendo le frodi prima che si verifichino. IBM Security aiuta a semplificare le procedure di prevenzione delle frodi e a consolidare la fiducia nell'identità digitale, offrendo un'autenticazione continua e fluida lungo tutto il percorso dell'utente, creando un'esperienza positiva per l'utente.
La gestione delle transazioni è un processo integrale dei sistemi di gestione dei database (DBMS) durante il quale il software di gestione delle transazioni supervisiona, coordina ed esegue ogni tentativo di transazione.
Un sistema di elaborazione delle transazioni (TPS) è un tipo di software di gestione dei dati e di elaborazione delle informazioni utilizzato durante una transazione commerciale per gestire la raccolta e il recupero dei dati dei clienti e delle aziende.
L'autenticazione a più fattori (MFA) è un metodo di verifica dell'identità in cui un utente deve fornire almeno 2 prove, come la password e un passcode temporaneo, per dimostrare la propria identità.
La sicurezza del database si riferisce alla gamma di strumenti, controlli e misure progettati per stabilire e preservare la riservatezza, l'integrità e la disponibilità del database. La riservatezza è l'elemento compromesso nella maggior parte delle violazioni dei dati.
Una violazione dei dati è un incidente di sicurezza in cui parti non autorizzate hanno accesso a informazioni sensibili o riservate, inclusi dati personali (numeri di previdenza sociale, numeri di conto bancario, dati sanitari) o dati aziendali (record di dati dei clienti, proprietà intellettuali, informazioni finanziarie).
Per cybersecurity si intende una tecnologia, misura o pratica per prevenire gli attacchi informatici o mitigarne l'impatto.