راهنمای کامل امنیت پرداخت آنلاین و انطباق PCI DSS

بسته به زمانی که شما آغاز رزرو آنلاین را تعریف می کنید ، حداقل 2 دهه از معرفی این سرویس خرد کردن زمین می گذرد. مایکروسافت در سال 1996 Expedia را با شرکت تابعه شرکت هواپیمایی آمریکایی ، صابر ، تأسیس Travelocity ، در همان سال تأسیس کرد. بقیه ، همانطور که می گویند ، تاریخ است.

از زمان آغاز به کار ، به طور پیوسته در حال افزایش است ، رزرو آنلاین قرار است تا سال 2025 ، در سطح جهان ، از رزروهای آفلاین عبور کند. طبق گفته PhocusWright ، در اروپا ، رزرو آنلاین تا پایان سال 2017 از آفلاین فراتر خواهد رفت و به 52 ٪ سهم بازار می رسد. پیش بینی می شود کل درآمدهای مسافرتی آنلاین در سال 2022 از 1 تریلیون دلار فراتر رود و فرصتی بزرگ برای بازار برای شرکت های این صنعت ، در سراسر جهان ایجاد می کند.

تجربه مشتری برای به دست آوردن سهم بازار مهم است

مانند هر مشاغل ، شرکت های مسافرتی باید تلاش کنند تا تجربه مشتری را کامل کنند. از یک وب سایت آسان برای حرکت ، با قابلیت مقایسه قیمت و بررسی های به روز شده ، تا رزرو رایگان ، شرکت های مسافرتی باید یک تجربه کاربری استثنایی را در سایت های رزرو آنلاین خود تضمین کنند.

در گزارش سال 2016 ، Colloquy Expert وفاداری نشان داد که 25 ٪ از کاربران تصمیم به ترک سایت های رزرو آنلاین دارند که بی اثر هستند. با توجه به اینکه مسافران به طور متوسط 48 بار در 8 سایت مختلف قبل از رزرو جستجو می کنند ، ارائه یک سایت عالی و یک تجربه مشتری برجسته بسیار مهم است.

رها کردن سبد خرید در صنعت مسافرتی ، نزدیک به 82 ٪ ، در مقایسه با 75. 6 ٪ در همه بخش ها بسیار زیاد است. موسسه Baymard 7 ساله مطالعه نشان داد که قابلیت استفاده از پرداخت تأثیر قابل توجهی در کلیک از طریق نرخ دارد. طبق گفته Baymard ، میانگین سایت با اندازه بزرگ می تواند 35. 26 ٪ افزایش در تبدیل ها را از طریق فرآیندهای بهبود یافته بهبود یافته به دست آورد.

یک فرآیند پرداخت مشتری محور باید شامل ویژگی های کلیدی زیر باشد:

گزینه های پرداخت انعطاف پذیر - سایت های رزرو آنلاین باید روش های مختلف پرداخت را بپذیرند ، از کارتهای اعتباری سنتی گرفته تا گزینه های پرداخت تلفن همراه ، پشتیبانی از 70 ٪ مسافران دیجیتال پیش بینی شده برای رزرو هتل ها از طریق دستگاه تلفن همراه در سال 2019 ، در ایالات متحده. پرداختهای مرزی - سفر بین المللی در دهه آینده 35 درصد افزایش می یابد. سایت های رزرو آنلاین که پرداخت های مرزی را ارائه می دهند ، و این پرداخت ها را در ارزهای محلی مشتری خود می پذیرند ، فرایند پرداخت بدون دردسر را به مشتریان خود ارائه می دهند. این منجر به تصمیم گیری سریعتر و پرداخت های تسریع می شود. پرداخت های امن - برای استفاده از رشد پیش بینی شده در رزرو آنلاین ، شرکت های مسافرتی باید اطمینان حاصل کنند که داده های مشتری خود در سایت های خود ایمن است.

چالش های امنیتی پرداخت آنلاین

براساس تحقیقات Juniper ، بر روی مصرف کنندگان و بازرگانان ، هر دو مورد بر روی مصرف کنندگان و بازرگانان ، نگرانی مداوم است که در سال 2015 10. 7 میلیارد دلار ارزش دارد و پیش بینی می شود تا پایان دهه به 25. 6 میلیارد دلار برسد. بخش پیشرو که از کلاهبرداری های موبایل و آنلاین رنج می برد ، 65 ٪ از کل کلاهبرداری ها را به خود اختصاص می دهد ، در حالی که بلیط هواپیمایی در سال 2020 به 1. 5 میلیارد دلار در ضررهای مربوط به کلاهبرداری متحمل شده است.

موارد زیر برخی از تاکتیک های تقلب مشترک را ارائه می دهد که بازرگانان آنلاین باید از آنها آگاه باشند تا به طور مؤثر از مشتریان و خودشان محافظت کنند:

سرقت هویت یکی از اشکال اصلی کلاهبرداری است که هم مشتریان و هم مشاغل را تحت تأثیر قرار می دهد. سرقت هویت شامل رهگیری داده های حساس است که به درستی محافظت نمی شود، توسط کلاهبردارانی که از جزئیات پرداخت برای خریدهای غیرمجاز بدون کارت استفاده می کنند. آژانس مسافرتی جعلی کلاهبرداران آنلاین به فروش معاملات جعلی، مانند بسته های مسافرتی، از شرکت های گردشگری قانونی معروف هستند. آنها وب سایت های سطح بالا و جعلی ایجاد می کنند و سعی می کنند این بسته های مسافرتی را به فروش برسانند که عموماً تخفیف قابل توجهی را از طریق این سایت ها شامل می شود. آنها از تبلیغات آنلاین مانند Google Adwords برای دسترسی به مسافران ناآگاه استفاده می کنند. آنها سپس اطلاعات کارت اعتباری مصرف کننده را برای اهداف کلاهبرداری آنلاین خود به دست می آورند که به مشتری و همچنین اعتبار شرکت مسافرتی آسیب می رساند. حمله های مرد میانی در این مورد، کلاهبردار خود را بین یک کاربر و یک برنامه کاربردی قرار می دهد، تراکنش را استراق سمع می کند، یا جعل هویت یکی از طرفین، دسترسی به اطلاعات امن مانند اطلاعات ورود به سیستم و اطلاعات کارت اعتباری را به دست می آورد. کلاهبرداری وفاداری - این شامل سوء استفاده از برنامه های وفاداری و هک کردن حساب های اعضا برای سرقت و انتقال امتیاز یا مایل است. تاجر از دست دادن امتیازات و مایل های سرقت شده، هزینه های بازپرداخت و هزینه های بازیابی و کاهش اعتماد و اطمینان مسافر متحمل می شود. کلاهبرداری دوستانه - اینها سفارشات قانونی هستند که توسط مصرف کننده مورد مناقشه قرار می گیرند و بازرگانان را ملزم به بازپرداخت وجه پرداختی (بازپرداخت هزینه) می کنند. این شکل از کلاهبرداری اغلب غیرعمدی است، به طوری که مصرف کننده فراموش می کند که سفارش را داده است، یا کودکی بدون اطلاع او از کارت والدین استفاده می کند، اما مواردی وجود دارد که این کلاهبرداری عمدی است. تاجر متحمل هزینه محصولاتی که برای آنها پرداخت نشده است، هزینه استرداد شارژ را متحمل می شود و همچنین باید به مصرف کننده بازپرداخت کند.

ایمن نگه داشتن اطلاعات مشتریان در برابر نقض امنیت برای محافظت از آنها در برابر سرقت هویت بسیار مهم است. وب سایت هایی که نمی توانند این سطح از امنیت را فراهم کنند، اعتماد مشتریان خود را از دست داده و در معرض مسئولیت های مالی قرار خواهند گرفت. بنابراین، یکپارچه سازی فناوری های رمزگذاری و احراز هویت، و همچنین حفظ استانداردهای PCI DSS، برای استراتژی امنیتی هر کسب وکار مسافرتی آنلاین حیاتی است.

بازپرداخت وجه یک نگرانی عمده برای بازرگانان آنلاین است

بازپرداخت زمانی است که یک شرکت کارت اعتباری در پاسخ به اختلاف مشتری ، پول را از حساب بازرگان برداشت می کند. سپس پول به مشتری منتقل می شود. طبق معاملات دیجیتال ، در سال 2016 14. 7 میلیون بار در ایالات متحده 14. 7 میلیون بار پرداخت کرده است که 5. 8 میلیارد دلار برای بازرگانان هزینه دارد که نسبت به سال 2015 21 درصد افزایش یافته است. طبق گفته Lexis Nexis ، تقلب در شارژ 42 ٪ از کل کلاهبرداری ها در ایالات متحده در سال 2016 را نشان می دهد.

بازپرداختها اغلب قانونی هستند ، مانند پاسخ به اختلافات هنگام عدم دریافت کالا یا در مورد کلاهبرداری هویت ، در معاملات کارت ویزیت. همانطور که در بالا مورد بحث قرار گرفت ، ممکن است در نتیجه کلاهبرداری دوستانه نیز در نتیجه کلاهبرداری دوستانه رخ دهد. از طرف دیگر ، مشتری ممکن است نام بازرگان (توصیف کننده بیانیه کارت اعتباری) را تشخیص ندهد. در این موارد ، اختلاف نظر باز می شود و به بازرگان مبلغ کل معامله پرداخت می شود که به مشتری بازپرداخت می شود.

فرایند مربوط به اختلاف مشتری ، و شارژ بسیار طولانی است ، در حالی که بانک صادرکننده صحت اختلاف را بررسی می کند. در صورت معتبر بودن ، بازرگان نه تنها مبلغ معامله را شارژ می کند بلکه با هزینه بازپرداخت مجازات می شود. بازرگان بیشتر به شهرت خود آسیب می رساند ، زیرا مشتریان ممکن است کاستی های موجود در بررسی ها را تبلیغ کنند ، که می تواند معاملات آینده را برای سایر مشتریان کاهش دهد.

به منظور کاهش بازپرداخت ها ، بازرگانان باید اطمینان حاصل کنند که توصیف کننده کارت اعتباری آنها با نام آنها در وب سایت خود یکسان است یا حداقل قابل تشخیص است. بازرگانان باید در مورد سفارش قرار داده شده و البته پس از تحویل سفارش ، از کاربر تأیید کنند. اجرای فرآیندهای مدیریت ریسک برای شناسایی مشتریان کلاهبرداری از طریق لیست های سیاه می تواند به میزان قابل توجهی در کاهش وقوع و هزینه های بارگذاری کمک کند.

بررسی اجمالی استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS)

استاندارد امنیت داده های صنعت کارت پرداخت یا PCI DSS مجموعه ای از استانداردهای امنیتی است که در سال 2004 توسط شرکت های بزرگ کارت اعتباری ، یعنی Visa ، MasterCard ، Discover Financial Service ، JCB Inteational و American Express ایجاد شده است. این استانداردها شامل اتخاذ بهترین شیوه ها و روشهای امنیتی به منظور محافظت از اطلاعات حساس کارتهای پرداخت است.

PCI DSS دارای 12 الزام امنیتی خاص است که در 6 دسته مختلف قرار می گیرند ، به شرح زیر:

این استانداردها مؤلفه های سیستم فنی و عملیاتی را درج می کنند که به داده های دارنده کارت در آن متصل یا متصل هستند.

1. برای محافظت از داده های دارنده کارت ، پیکربندی فایروال را نصب و نگهداری کنید

2. از پیش فرض های فروشنده برای رمزهای عبور سیستم و سایر پارامترهای امنیتی استفاده نکنید

3. از داده های دارنده کارت ذخیره شده محافظت کنید

4- رمزگذاری داده های دارنده کارت در شبکه های عمومی باز و باز

5- از نرم افزار یا برنامه های ضد ویروس به طور مرتب استفاده و به روز کنید

6. توسعه و نگهداری سیستم ها و برنامه های ایمن

7. دسترسی به داده های دارنده کارت را با نیاز به تجارت محدود کنید

8- یک شناسه منحصر به فرد را به هر شخص با دسترسی به رایانه اختصاص دهید

9. دسترسی فیزیکی به داده های دارنده کارت را محدود کنید

10. پیگیری و نظارت بر دسترسی به منابع شبکه و داده های دارنده کارت

11. به طور مرتب سیستم ها و فرآیندهای امنیتی را آزمایش کنید

منبع: شورای استاندارد امنیت PCI

تقسیم به سطوح مختلف انطباق بر اساس حجم معاملات پردازش شده سالانه ، PCI DSS برای هر شغلی که پرداخت را از طریق بدهی یا کارت اعتباری پردازش می کند ، لازم است. مشاغل پذیرش پرداخت کارتهای اعتباری باید اقدامات امنیتی مورد نیاز را انجام داده و فرم های دوره ای را در مورد انطباق ، تأیید شده توسط یک ارزیابی کننده امنیتی واجد شرایط ، در مورد بالاترین سطح PCI DSS ارائه دهند. آنها همچنین باید اسکن شبکه سه ماهه را توسط یک فروشنده اسکن تأیید شده انجام دهند.

موارد زیر 4 سطح مختلف PCI DSS را ارائه می دهد که به طور کلی پذیرفته می شوند. فروشندگان باید به شرکتهای کارت پرداختی که با آنها کار می کنند دسترسی پیدا کنند ، زیرا تعاریف بین شرکت ها متفاوت است.

در صورت شناسایی یک نقض امنیتی ، شرکت های کارت اعتباری ممکن است با جابجایی شرکت به سطح بالاتری از PCI DSS ، نیاز به پیروی دقیق تر داشته باشند. نتایج دیگری برای عدم رعایت وجود دارد ، که با حساسیت به کلاهبرداری ، که بر شهرت فروشنده تأثیر می گذارد ، وجود دارد و همانطور که در بالا ذکر شد می تواند منجر به هزینه های مسئولیت شود. بازسازی اعتماد و شهرت نیز با هزینه ای همراه است.

علاوه بر این ، اگر شرکتی با نقض استانداردها پیدا شود ، شرکت های کارت اعتباری ممکن است تصمیم بگیرند جریمه ای را به فروشنده تحمیل کنند ، که می تواند در هر جایی از 5000 دلار - 100000 دلار در هر ماه باشد. در صورت کشف نقض امنیتی ، شرکت ها ملزم به همکاری با یک بازپرس پزشکی قانونی هستند - هزینه قابل توجهی نیز. سرانجام و از اهمیت ویژه ای ، فروشندگان خطر از دست دادن وضعیت بازرگان خود را دارند ، باعث می شوند که آنها نتوانند پرداخت کارت اعتباری یا بدهی را بپذیرند و از ارائه رزرو آنلاین ناتوان باشند.

نحوه دستیابی به گواهینامه PCI DSS

گواهینامه PCI DSS نیاز به نظارت و گزارش مداوم دارد. پس از تعیین سطح سایت رزرو ، توسط هر شرکت اعتباری در نظر گرفته شده است ، و فرکانس مورد نیاز نظارت و گزارش دهی ، شرکت های مسافرتی می توانند تصمیم بگیرند که به ارزیابی امنیت کیفیت ترجیحی بانک خود (QSA) دسترسی پیدا کنند که می توانند در دستیابی به انطباق کمک کنند.

مطابق با انجمن بین المللی حمل و نقل هوایی (IATA) ، یک روند مداوم 3 مرحله ای است:

• ارزیابی کردن

1. 1. 1. شناسایی اطلاعات دارنده کارت
      2. تهیه موجودی از دارایی های فناوری اطلاعات و فرآیندهای تجاری برای پردازش کارت پرداخت.
      3. تجزیه و تحلیل آسیب پذیری ها
      • اصلاح کردن
      1. 1. 1. رفع آسیب پذیری ها
            2. از بین بردن ذخیره داده های دارنده کارت مگر اینکه کاملاً لازم باشد
            • گزارش
            1. 1. تهیه و ارسال گزارش های مورد نیاز به مارک های مناسب بانک و کارت

               شرکت های PCI DSS سطح 1 موظفند گزارش سالانه مربوط به انطباق (ROC) را توسط یک QSA یا حسابرس داخلی ، که توسط یک افسر شرکت امضا شده است ، ارسال کنند ، در حالی که تمام سطوح دیگر می توانند پرسشنامه های ارزیابی خود را در مورد انطباق ارائه دهند. علاوه بر این ، همه شرکت ها باید توسط یک فروشنده اسکن تأیید شده (ASV) اسکن شبکه سه ماهه را انجام دهند.

               با توجه به ماهیت پیچیده انطباق و گزارش ، مدیریت پایبندی PCI DSS دشوار و وقت گیر است. نظارت مداوم در معاملات ، طبق این استاندارد ، فشار بر عملیات را ایجاد می کند و یک شرکت را حتی بیشتر در معرض کلاهبرداری قرار می دهد.

               در حالی که خود رعایت کاملاً سنگین است ، همانطور که در بالا توضیح داده شد ، شرکت ها می توانند با استفاده از ارائه دهنده خدمات پرداخت معتبر (PSP) به پوشش PCI DSS دست یابند. PSP فروشندگان را قادر می سازد تا فن آوری های پرداخت آنلاین را در وب سایت های خود ، یکپارچه ادغام کنند. PSP های دارای گواهینامه سطح 1 PCI DSS را ارائه می دهند ، مطابق با استانداردهای PCI به روز می شوند. علاوه بر این ، PSP های پیشرو شامل لیست سیاه ، روند تاریخی و نظارت ضد کلاهبرداری و همچنین استفاده از الگوریتم های پیشرفته ، جغرافیایی و ردیابی IP برای تشخیص نقض امنیتی و معاملات کلاهبرداری هستند.

               PSP مزایای بی شماری را برای شرکت های مسافرتی ارائه می دهد

               علاوه بر اطمینان از انطباق PCI DSS ، PSPS مزایای بی شماری را به شرکت های مسافرتی آنلاین ارائه می دهد و آنها را به یک شریک ایده آل برای پذیرش پرداخت تبدیل می کند:

               • صفحه پرداخت میزبان - PSP ها توانایی ارائه سیستم های پرداخت خود را از طریق یک صفحه پرداخت میزبان دارند که می تواند برای مطابقت با وب سایت فروشنده مارک شود.
               • روش پرداخت ایمن و ایمن - PSP ها نه تنها برای پذیرش پرداخت توسط مشتریان (B2C) یک چارچوب امن را ارائه می دهند ، بلکه ممکن است از انتقال ایمن وجوه به تأمین کنندگان (B2B) نیز پشتیبانی کنند.
               • نحوه انعطاف پذیری پرداخت - PSP ها به طور کلی طیف گسترده ای از روش های پرداخت را ارائه می دهند. از آنجا که شرکت های مسافرتی و هتل ها از مشتریان بین المللی پذیرایی می کنند ، مهم است که گزینه های مختلف پرداخت را به مشتریان ارائه دهید و به آنها امکان می دهد روشی را که راحت تر از آنها هستند انتخاب کنند. PSP انواع کارت های اعتباری و بدهی را می پذیرند ، از پرداخت های تلفن همراه و پول تلفن همراه پشتیبانی می کنند و پرداخت های کد QR امن را نیز ادغام می کنند. PSP ها همچنین ممکن است فروشنده را قادر به ادغام یک برنامه فروش موبایل ، تبدیل تلفن های همراه به ثبت های پرداخت کرده و بیشتر انعطاف پذیری فروشنده را در پذیرش پرداخت ها افزایش دهد.
               • پرداختهای مرزی-PSP ها به طور معمول از چندین ارز پشتیبانی می کنند ، سایت های رزرو را قادر می سازد تا پرداخت های مرزی را به ارز ارجح پایگاه مشتری خود بپذیرند.
               • با تمرکز بر امنیت ، PSP ها با توجه به امنیت ، ارزیابی مدیریت ریسک را انجام می دهند و یک بستر بسیار ایمن را برای پذیرش پرداخت در اختیار مشتریان خود قرار می دهند. PSP ها همچنین در صورت نیاز به وجوه ، وجوه را از بین می برند.

               غذای اصلی

               1. رزرو سفر آنلاین تا سال 2025 بر بازار حاکم خواهد شد.
               2. مشتریان انتظار یک فرآیند پرداخت ساده و ایمن را دارند. عدم ارائه این تجربه می تواند منجر به رزرو متروکه شود.
               3. برای پذیرش پرداخت کارت اعتباری در سایت های خود ، همه فروشندگان آنلاین باید از PCI DSS سازگار باشند. عدم رعایت می تواند پیامدهای جدی مالی و عملیاتی داشته باشد.
               4. با همکاری با PSP ، شرکت های مسافرتی در بالاترین سطح ، بدون فرایندهای ارزیابی و گزارشگری که دشوار و مصرف منابع است ، پیروی از PCI DSS را به دست می آورند.
               5. PSP ها مزایای اضافی برای شرکت های مسافرتی در قالب:
                  1. حالت های پرداخت انعطاف پذیر
                  2. پذیرش پرداخت مرزی متقاطع
                  3. حمایت از ارزهای بین المللی
                  4. دست زدن به شارژ
                  5. افزایش امنیت
                  6. یک صفحه پرداخت میزبان

                  آیا می خواهید پذیرش پرداخت آنلاین ایمن را شروع کنید؟برای یک نسخه ی نمایشی و مشاوره رایگان با ما در DPO تماس بگیرید!

                  DPO یک پلتفرم پردازش مبتنی بر ابر را با فناوری پیشرفته و پیشرفته ارائه می دهد که از چندین نوع معامله با قابلیت های آنلاین و آفلاین پشتیبانی می کند. این فناوری از کلیه شیوه های پرداخت ، کلیه کارتها ، پول موبایل ، کلیه ارزها ، برنامه های تلفن همراه و خوانندگان کارت پشتیبانی می کند. تیم مراقبت از مشتری DPO یک نقطه تماس را برای شما و مشتریان نهایی شما فراهم می کند. ما با اجرای یک رویکرد منحصر به فرد برای اطمینان از تبدیل کل ، از تمام سطوح معاملات پشتیبانی می کنیم.