Inizia ora  Contattaci 
Inizia ora  Contattaci 

Misure di sicurezza per le attività di e-commerce giapponesi

Radar
Radar

Prevenzione delle frodi grazie alle potenzialità della rete Stripe.

Ulteriori informazioni 
  1. Introduzione
  2. Perché le misure di sicurezza sono necessarie nell’e-commerce?
    1. Misure per prevenire i danni derivanti dalle frodi sulle carte di credito
    2. Protezione dei dati personali dei clienti
    3. Rischio continuo di attacchi informatici
  3. Common security incidents affecting ecommerce businesses
    1. System shutdowns
    2. Website alteration
    3. Unauthorized access
    4. Ransomware
  4. Linee guida per la sicurezza dei siti di e-commerce
  5. Misure di sicurezza di base per i siti di e-commerce
    1. Integrare 3D Secure 2.0 per la verifica dell’identità
    2. Conformità con le norme PCI DSS (Payment Card Industry Data Security Standard)
    3. Implementare il rilevamento delle frodi sulle carte di credito
  6. Come rispondere a una minaccia alla sicurezza nell’e-commerce
    1. Infezione da virus o ransomware
    2. Fughe di dati
    3. Arresto del sistema
  7. In che modo le attività di e-commerce giapponesi possono migliorare la sicurezza?
  8. In che modo Stripe Radar può essere utile
  9. Inizia a usare Stripe 

Con la crescente popolarità dello shopping online e dei pagamenti digitali, in Giappone i siti di e-commerce sono diventati una componente inscindibile della vita quotidiana. Tuttavia, i rischi per la sicurezza, come le frodi sulle carte di credito, le fuoriuscite di informazioni personali e gli attacchi informatici, aumentano di anno in anno. Molte attività di e-commerce hanno difficoltà a capire come gestire questi problemi, a causa della limitazione delle risorse.

In questo articolo spieghiamo le misure di sicurezza di base per le attività di e-commerce giapponesi, insieme ad alcuni metodi per reagire ai pagamenti fraudolenti e alle fughe di informazioni.

Contenuto dell'articolo

  • Perché le misure di sicurezza sono necessarie nell'e-commerce?
  • Incidenti di sicurezza comuni che interessano le attività di e-commerce
  • Linee guida per la sicurezza dei siti di e-commerce
  • Misure di sicurezza di base per i siti di e-commerce
  • Come rispondere a una minaccia alla sicurezza nell'e-commerce
  • In che modo le attività di e-commerce giapponesi possono migliorare la sicurezza?
  • In che modo Stripe Radar può essere utile

Perché le misure di sicurezza sono necessarie nell'e-commerce?

Con l'espansione del mercato e-commerce, i metodi fraudolenti e gli attacchi informatici sono divenuti più sofisticati. I danni causati dagli attacchi alle informazioni sulle carte di credito diventano ogni anno sempre più gravi. Devono quindi essere rafforzate le misure di sicurezza.

Misure per prevenire i danni derivanti dalle frodi sulle carte di credito

Secondo l'Associazione giapponese per il credito al consumo (JCA), nel 2024 le perdite dovute a frodi sulle carte del credito hanno raggiunto il livello record di 55,5 miliardi di yen. Questo importo è più che raddoppiato in soli cinque anni. Questo dimostra che le frodi stanno aumentando proporzionalmente alla crescita del mercato dell'e-commerce.

La maggior parte di queste perdite (cioè più del 90%) è stata causata dal furto dei numeri delle carte di credito avvenuto nei siti di e-commerce. Questo furto viene effettuato tramite email di phishing, falsi siti di acquisti e hacking dei sistemi operativi dell'e-commerce. Senza implementare contromisure di base, è improbabile che si possano ridurre queste perdite. Le Linee guida per la sicurezza delle carte di credito richiedono anche alle attività di e-commerce l'implementazione di misure specifiche.

Protezione dei dati personali dei clienti

I siti di e-commerce gestiscono molte informazioni sulle carte di credito. Inoltre, gestiscono informazioni personali, come nomi, indirizzi, numeri di telefono e indirizzi email. Quando le informazioni personali vengono violate, il danno non si limita alla singola persona. In genere si verificano fughe in massa dei dati dei clienti, con conseguenti gravi danni finanziari e alla reputazione dell'attività.

I titolari delle carte che diventano vittime di frodi a causa dei furti di numeri potrebbero ricevere addebiti imprevisti e potrebbero anche provare ansia e insoddisfazione a causa della fuga di informazioni. Questo potrebbe causare la perdita della fiducia nel sito di e-commerce. Per ripristinare la fiducia, l'attività dovrebbe dedicare tempo e risorse all'assistenza della clientela e alle indagini. Le fughe di dati possono comunque danneggiare nel complesso la credibilità e la redditività dell'attività.

Rischio continuo di attacchi informatici

I siti di e-commerce rappresentano dei bersagli interessanti per gli attacchi informatici. Questo avviene in quanto è possibile accedervi in qualsiasi momento e contengono una grande quantità di dati sulle transazioni. Un rapporto delMinistero dell'economia, del commercio e dell'industria (METI) evidenzia che sono in aumento gli accessi non autorizzati, il phishing e le violazioni del sistema di pagamento. Negli ultimi anni, i metodi di attacco sono diventati sempre più sofisticati. Si sono ampliati in modo da includere metodi fraudolenti automatizzati, noti come " attacchi credi master", e truffe di phishing che utilizzano l'intelligenza artificiale (AI).

Common security incidents affecting ecommerce businesses

Many different types of security incidents can occur on ecommerce sites. Here are some common examples and their risks:

System shutdowns

This happens when the ecommerce site shuts down and becomes unavailable due to server or system failure. When a site shuts down, it can lose sales and customer trust. In addition, recovery efforts can lead to labor and financial costs.

The Information-technology Promotion Agency (IPA) provides Security Guidelines for Building and Operating Ecommerce Sites that recommend preparing for these situations by regularly backing up data, introducing redundancies, implementing access control, and utilizing logs.

According to a survey conducted by the IPA and the Personal Information Protection Commission (PPC), the average loss in sales due to the shutdown of an ecommerce site is estimated to be ¥57 million. The average cost of responding to this kind of incident is estimated to be ¥240 million.

Website alteration

If viruses or malware infiltrate administrator terminals or servers, they can cause damage to systems or data. An ecommerce business should install antivirus software, regularly update operating systems and software, and establish a hacking detection system.

According to the National Police Agency (NPA), there have been multiple reports of a crime called “web skimming.” This involves illegal programs being embedded into legitimate ecommerce sites to acquire customers’ card information.

Unauthorized access

This occurs when a third party gains unauthorized access to administrative screens or databases to view, alter, or delete data. The security guidelines mentioned above include key countermeasures, such as multifactor authentication, vulnerability assessment, access control, and login anomaly detection.

Ecommerce sites built using open source software (OSS) could be at particular risk. According to the IPA, 97% of affected ecommerce sites were built in-house, with many using OSS systems. While OSS systems are convenient, their vulnerabilities are also easier to discover. For example, if patches are not applied promptly or correctly, an OSS system can easily become a target for unauthorized access.

Ransomware

This cyberattack involves fraudulent actors encrypting systems or data and demanding money in exchange for restoring them. Businesses can reduce the risk of this attack through regular backups, separate storage, restrictions of administrator privileges, and recovery training.

According to a report by the Japan Network Security Association (JNSA), ransomware attacks have caused financial losses of ¥10 million to several hundred million. This includes small and medium-sized enterprises, with some cases reporting losses exceeding ¥100 million.

Linee guida per la sicurezza dei siti di e-commerce

Le Linee guida per la sicurezza nella creazione e nella gestione dei siti di e-commerce, pubblicate dall'IPA, riportano le specifiche linee guida per la sicurezza nella creazione e nella gestione sicura dei siti di e-commerce. Sono destinate principalmente alle piccole e medie imprese e ai fornitori indipendenti.

Le principali linee guida sono:

  • Prevenire gli incidenti di sicurezza.
  • Correggere le vulnerabilità nella progettazione e nelle operazioni.
  • Fornire assistenza al personale non specializzato.
  • Chiarire le responsabilità tra le parti interessate, sia per i sistemi interni, sia per quelli in outsourcing.

Le linee guida per la sicurezza sono più di un manuale tecnico. Al contrario, riunificano il lavoro pratico con il processo decisionale, sottolineando l'importanza delle misure di sicurezza come decisioni nella gestione. Inoltre, le linee guida forniscono esempi di cause, effetti e rischi degli incidenti di sicurezza che si sono verificati o potrebbero verificarsi.

Causa

Effetto e rischio

Vulnerabilità del sistema di gestione dei contenuti (CMS) che determinano la manomissione del sito

Potrebbero essere divulgati i dati personali, inclusi i dati delle carte di credito

Perdita di ID e password della schermata di amministrazione

Terze parti potrebbero visualizzare o cancellare i dati riservati dei clienti

Affidare ad appaltatori la valutazione della configurazione e delle vulnerabilità del sistema senza formare il personale interno

Quando si verifica un incidente, la causa potrebbe non essere facilmente identificabile, prolungando l'incidente e il suo impatto

Rendere pubblicamente disponibili l'ambiente di sviluppo e le pagine di test

Potenziali soggetti fraudolenti possono visualizzare le vulnerabilità, lasciando il sistema esposto alle intrusioni

Trascurare gli aggiornamenti e le impostazioni SSL (Secure Sockets Layer)

I rischi di attacchi "man-in-the-middle" e di intercettazione delle comunicazioni stanno aumentando

In tutti i casi di incidenti di sicurezza, la causa principale è la mancanza di chiarezza sul responsabile e su cosa debba essere protetto. Le linee guida suddividono le misure di sicurezza in tre categorie, in base alle parti coinvolte nella prevenzione degli incidenti. Inoltre, chiariscono e spiegano i ruoli di ciascuna parte.

Gli operatori dei siti di e-commerce dovrebbero:

  • Decidere riguardo alla creazione e alla costruzione del sito, oltre alle politiche di gestione
  • Chiarire l'outsourcing e la selezione dei fornitori, i contratti e la gestione
  • Stabilire una politica per la protezione delle informazioni dei clienti

Chi effettua lo sviluppo e la costruzione dovrebbe:

  • Progettare e implementare sistemi privi di vulnerabilità
  • Eseguire verifiche e test
  • Aggiornare e gestire il software

Chi fornisce i servizi di gestione e manutenzione dovrebbe:

  • Svolgere regolare assistenza sulle vulnerabilità dei server e del software
  • Stabilire sistemi di gestione e monitoraggio dei log
  • Stabilire un sistema di risposta in caso di incidente

Misure di sicurezza di base per i siti di e-commerce

Per molte attività, aggiornare e rafforzare le misure di sicurezza può sembrare complicato. Tuttavia, è importante iniziare con semplici passaggi che possono essere compiuti immediatamente, come rafforzare le password e rivedere le impostazioni di condivisione. Quindi le attività possono gradualmente creare sistemi di sicurezza più solidi. Ecco alcune misure specifiche che le attività di e-commerce dovrebbero prendere in considerazione:

Integrare 3D Secure 2.0 per la verifica dell'identità

3D Secure 2.0 è un sistema che migliora l'autenticazione dell'identità per i pagamenti con carta di credito. I passcode monouso e l'autenticazione biometrica possono impedire pagamenti non autorizzati che utilizzano le tattiche del furto d'identità.

Questo sistema offre anche una migliore esperienza del cliente rispetto ai metodi convenzionali per le password, bilanciando al contempo sicurezza e praticità. Questo lo ha reso sempre più popolare tra i circuiti di carte di credito e i fornitori di servizi di pagamento. I siti di e-commerce che non hanno ancora integrato 3D Secure sono a rischio di storni e rifiuti delle transazioni. Le attività di e-commerce dovrebbero quindi prenderne in considerazione l'adozione fin dall'inizio.

Conformità con le norme PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS è uno standard di sicurezza internazionale per le attività che gestiscono le informazioni sulle carte sul credito. Questo standard fornisce specifiche dettagliate, come la crittografia delle informazioni, il controllo degli accessi e la gestione dei log. Quando si gestiscono internamente le informazioni delle carte è richiesta una rigorosa conformità.

Tuttavia, la gestione interna di tutti questi requisiti può rappresentare un peso significativo, e molte attività utilizzano agenti di pagamento conformi allo standard PCI DSS per ridurre l'onere pur soddisfacendo i requisiti.

Implementare il rilevamento delle frodi sulle carte di credito

Le transazioni fraudolente non sono sempre evidenti fin dall'inizio. Spesso le attività le scoprono dopo che gli acquisti sono stati completati. Per questo è importante disporre di un sistema che rilevi e risponda in tempo reale ai segnali di transazioni fraudolente, soprattutto prima che le transazioni vengano effettuate o liquidate. Di seguito sono riportate alcune qualità che dovrebbero contrassegnare le transazioni sospette:

  • Accesso da aree con precedenti di frode
  • Immissioni consecutive di carte di credito dallo stesso indirizzo IP (Internet Protocol)
  • Mancata corrispondenza tra le informazioni sul cliente e il nome del titolare della carta
  • Acquisti multipli di alto valore in un breve periodo di tempo

L'utilizzo di un sistema che blocca o mette in attesa automaticamente le transazioni da rivedere quando sono classificate come rischiose può prevenire i danni prima che si verifichino.

Come rispondere a una minaccia alla sicurezza nell'e-commerce

L'implementazione delle misure di sicurezza può aiutare a ridurre il verificarsi di incidenti per la sicurezza. Tuttavia, l'aumento del numero di casi di frode significa che è probabile che la maggior parte delle attività subisca qualche tipo di violazione della sicurezza. Questo può verificarsi anche se l'attività mette in atto delle contromisure. Di seguito sono indicati alcuni metodi per rispondere a incidenti di sicurezza specifici:

Infezione da virus o ransomware

Interrompere l'utilizzo del computer o del server infetto e disconnettere la rete dall'azienda. Successivamente, segnalare l'incidente ai partner dell'attività e ai clienti interessati, nonché a tutte le agenzie governative competenti. Ad esempio, in Giappone, le infezioni da virus e ransomware devono essere segnalate all'IPA. Procedere quindi con l'indagine e il lavoro di ripristino. Il backup regolare dei dati può ridurre al minimo i danni causati da questo tipo di incidente.

Fughe di dati

Le fughe di dati includono l'accesso non autorizzato alle reti, le attività illegali commesse dai dipendenti (ad esempio, condotta illecita di membri interni), le email indirizzate erroneamente e la pubblicazione accidentale sul Web. In tal caso, confermare il tipo e la quantità dei dati trapelati, nonché lo stato delle misure di sicurezza come la crittografia e le limitazioni di accesso.

In caso di accesso non autorizzato, disconnettere immediatamente il dispositivo dalla rete e sospendere i servizi. Questo è importante perché c'è il rischio che vengano divulgate informazioni personali o riservate. In caso di fuga di informazioni sui conti o sulle carte di credito, contattare il circuito della carta di credito e bloccare i conti.

In caso di comportamenti illeciti di membri interni, limitare l'accesso ai sistemi dall'interno e conservare le prove, ad esempio i personal computer. Se le email sono state inviate ai destinatari sbagliati, contattarli e chiedere di eliminare le email. Se le informazioni sono state pubblicate per errore sul sito web dell'azienda, eliminarle immediatamente o limitarne l'accesso in modo che non possano essere visualizzate all'esterno dell'organizzazione.

Dopo aver adottato queste misure, assicurarsi di segnalarlo e informare le parti interessate, se necessario:

  • Se le informazioni che sono trapelate, come le informazioni sui conti, potrebbero essere utilizzate in modo improprio, avvisare le persone e le attività interessate per evitare danni secondari.
  • In caso di fuga di informazioni personali, segnalarlo al PPC.
  • Se la causa della fuga di informazioni è di natura criminale, come l'accesso non autorizzato o una condotta illecita di membri interni, comunicare i dettagli alla polizia.
  • Se la causa della fuga di informazioni è un virus informatico o un accesso non autorizzato, segnalare l'incidente all'ufficio di segnalazione IPA.

Successivamente, indagare sull'ambito, sulle cause e sul danno causato dalla fuoriuscita di informazioni. Quindi procedere con il lavoro di ripristino per prevenire eventuali recidive.

Arresto del sistema

Se si verifica un arresto del sistema, può essere difficile identificarne immediatamente la causa. Le potenziali cause includono guasti generali delle apparecchiature e violazioni della sicurezza, come attacchi informatici e bug del software. Se la causa è sconosciuta, l'attività dovrebbe reagire come se si trattasse di un problema di sicurezza.

In caso di malfunzionamenti, guasti, arresti o segni imminenti che potrebbero verificarsi nel sistema, contattare l'amministratore del sistema o il responsabile della sicurezza delle informazioni. A seconda della situazione, se necessario la parte responsabile può sostituire o spegnere i server.

Successivamente, contattare i partner dell'attività e segnalare l'incidente alle agenzie governative competenti. In caso di presenza di virus o accesso non autorizzato, segnalarlo all'ufficio di segnalazione IPA. Indagare sulla causa dell'incidente e procedere con il ripristino e la prevenzione delle recidive.

In che modo le attività di e-commerce giapponesi possono migliorare la sicurezza?

Le misure di sicurezza per l'e-commerce sono importanti per proteggere le operazioni di ogni giorno. Indipendentemente dalle dimensioni dell'attività, le frodi sulle carte e le fughe di dati sono sempre un rischio che le attività devono impegnarsi a combattere.

Negli ultimi anni è più facile adottare e integrare una serie di misure, come 3D Secure, per rafforzare la verifica delle identità (ad esempio, le procedure Know Your Customer [KYC]). Le attività possono anche seguire gli standard del settore, come PCI DSS, e introdurre servizi di rilevamento delle frodi. È importante rimanere vigili e adottare in anticipo misure proattive. Il fatto che un'attività non abbia affrontato problemi di sicurezza non significa che debba essere soddisfatta. Gli imprenditori dovrebbero migliorare le misure di sicurezza dei loro siti di e-commerce per garantirne l'affidabilità, la fiducia e la continuità delle attività di e-commerce.

In che modo Stripe Radar può essere utile

Stripe Radar è in grado di prevenire le frodi sfruttando modelli di intelligenza artificiale istruiti con i dati della rete globale Stripe. Questi modelli vengono costantemente aggiornati in base alle ultime tendenze, proteggendo continuamente le attività da sistemi fraudolenti in continua evoluzione.

Stripe offre anche Radar for Fraud Teams, con cui gli utenti possono aggiungere regole personalizzate per gestire scenari di frode specifici della loro attività e accedere a funzioni avanzate di analisi delle frodi.

Radar può aiutare la tua attività a:

  • Prevenire le perdite da frode: con oltre 1.000 miliardi di dollari di pagamenti elaborati annualmente, Radar è in grado di rilevare e prevenire le frodi con estrema precisione, facendoti risparmiare denaro.
  • Aumentare i ricavi: i modelli di intelligenza artificiale di Radar sono addestrati su dati reali di contestazione, informazioni sui clienti, dati di navigazione e altro. Questo consente a Radar di identificare transazioni rischiose e ridurre i falsi positivi, aumentando i tuoi ricavi.
  • Risparmiare tempo: Radar è integrato in Stripe e non richiede alcuna riga di codice per essere configurato. Puoi anche monitorare le tue prestazioni antifrode, scrivere regole e altro in un'unica piattaforma, aumentando l'efficienza.

Ulteriori informazioni su Stripe Radar o Inizia oggi stesso.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Radar

Radar

Previeni le frodi grazie alle potenzialità della rete Stripe.

Documentazione di Radar

Utilizza Stripe Radar per proteggere la tua azienda dalle frodi.