Met de toenemende populariteit van online winkelen en digitale betalingen zijn e-commerce websites een onmisbaar onderdeel geworden van het dagelijks leven in Japan. De veiligheidsrisico's, zoals creditcardfraude, het lekken van persoonlijke gegevens en cyberaanvallen, nemen echter elk jaar toe. Veel e-commerce-ondernemingen worstelen met de vraag hoe ze met deze problemen moeten omgaan vanwege hun beperkte middelen.
In dit artikel leggen we uit wat de basisbeveiligingsmaatregelen zijn voor e-commerce-ondernemingen in Japan en hoe je kunt reageren op frauduleuze betalingen en het lekken van informatie.
Wat staat er in dit artikel?
- Waarom zijn beveiligingsmaatregelen nodig in e-commerce?
- Veelvoorkomende beveiligingsincidenten die e-commerce-ondernemingen treffen
- Beveiligingsrichtlijnen voor e-commerce websites
- Basisbeveiligingsmaatregelen voor e-commerce websites
- Hoe te reageren op een beveiligingsrisico in e-commerce
- Hoe kunnen e-commerce-ondernemingen in Japan hun beveiliging verbeteren?
- Hoe Stripe Radar kan helpen
Waarom zijn veiligheidsmaatregelen nodig in e-commerce?
Naarmate de e-commercemarkt groeit, worden methoden voor fraude en cyberaanvallen steeds geavanceerder. De schade als gevolg van aanvallen op creditcardgegevens wordt elk jaar ernstiger. Daarom moeten de beveiligingsmaatregelen worden versterkt.
Maatregelen om schade door creditcardfraude te voorkomen
Volgens de Japan Consumer Credit Association (JCA) bedroeg het verlies door creditcardfraude in 2024 een recordhoogte van 55,5 miljard yen. Dit bedrag is in slechts vijf jaar tijd meer dan verdubbeld. Dit laat zien dat fraude toeneemt in verhouding tot de groei van de e-commercemarkt.
Het grootste deel van deze verliezen (meer dan 90%) werd veroorzaakt door diefstal van creditcardnummers op e-commerce websites. Deze diefstal gebeurt via phishing-e-mails, nepwebsites en het hacken van e-commerce besturingssystemen. Zonder basismaatregelen is het onwaarschijnlijk dat deze verliezen zullen afnemen. De Credit Card Security Guidelines verplichten e-commerce-ondernemingen ook om specifieke maatregelen te nemen.
Bescherming van de persoonlijke gegevens van klanten
E-commerce sites hebben veel te maken met creditcardgegevens. Daarnaast hebben ze ook te maken met persoonlijke info, zoals namen, adressen, telefoonnummers en e-mailadressen. Als persoonlijke info uitlekt, is de schade niet beperkt tot één persoon. Meestal lekt er een grote hoeveelheid klantgegevens uit, wat leidt tot grote financiële schade en een deuk in de reputatie van de onderneming.
Kaarthouders die het slachtoffer worden van fraude door nummerdiefstal kunnen onverwachte kosten krijgen en zich ook ongerust en ontevreden voelen over het lekken van informatie. Hierdoor kunnen ze hun vertrouwen in de e-commercewebsite verliezen. Om het vertrouwen te herstellen, moet de onderneming tijd en middelen besteden aan klantenondersteuning en onderzoek. Het lekken van gegevens kan echter de geloofwaardigheid en winstgevendheid van de onderneming als geheel schaden.
Het voortdurende risico van cyberaanvallen
E-commerce sites zijn een aantrekkelijk doelwit voor cyberaanvallen. Dit komt omdat ze altijd toegankelijk zijn en een grote hoeveelheid transactiegegevens bevatten. Een rapport van het Ministerie van Economie, Handel en Industrie (METI) laat zien dat ongeoorloofde toegang, phishing en hacks van betalingssystemen steeds vaker voorkomen. De laatste jaren zijn de aanvalsmethoden steeds geavanceerder geworden. Ze zijn uitgebreid met geautomatiseerde fraudemethoden die bekend staan als "credit master-aanvallen" en phishing-scams met behulp van kunstmatige intelligentie (AI).
Veelvoorkomende beveiligingsincidenten die e-commerce-ondernemingen treffen
Er kunnen allerlei soorten beveiligingsincidenten gebeuren op e-commercewebsites. Hier zijn een paar veelvoorkomende voorbeelden en de risico's die ze met zich meebrengen:
Systeemstoringen
Dit gebeurt als de e-commercesite uitvalt en niet meer beschikbaar is door een server- of systeemstoring. Als een site uitvalt, kan dat leiden tot omzetverlies en een afname van het vertrouwen van klanten. Bovendien kunnen herstelwerkzaamheden leiden tot extra kosten en mankracht.
Het Information-technology Promotion Agency (IPA) biedt Beveiligingsrichtlijnen voor het bouwen en beheren van e-commercesites waarin wordt aanbevolen om je op deze situaties voor te bereiden door regelmatig back-ups van gegevens te maken, redundantie in te voeren, toegangscontrole te implementeren en logboeken te gebruiken.
Volgens een onderzoek van de IPA en de Commissie voor de bescherming van persoonsgegevens (PPC) wordt het gemiddelde omzetverlies door het sluiten van een e-commercewebsite geschat op 57 miljoen yen. De gemiddelde kosten om op zo'n incident te reageren worden geschat op 240 miljoen yen.
Wijziging van de website
Als virussen of malware op beheerderscomputers of servers komen, kunnen ze schade aan systemen of gegevens veroorzaken. Een e-commercebedrijf moet antivirussoftware installeren, besturingssystemen en software regelmatig updaten en een systeem hebben om hacking te detecteren.
Volgens de Nationale Politiedienst (NPA) zijn er meerdere meldingen geweest van een misdrijf dat 'web skimming' wordt genoemd. Hierbij worden illegale programma's in legitieme e-commerce websites ingebouwd om kaartgegevens van klanten te verkrijgen.
Ongeautoriseerde toegang
Dit gebeurt als iemand zonder toestemming toegang krijgt tot beheerschermen of databases om gegevens te bekijken, te wijzigen of te verwijderen. De beveiligingsrichtlijnen die hierboven worden genoemd, bevatten belangrijke maatregelen, zoals meervoudige authenticatie, kwetsbaarheidsbeoordeling, toegangscontrole en detectie van afwijkende inlogactiviteiten.
E-commerce websites die zijn gebouwd met open source software (OSS) kunnen extra risico lopen. Volgens de IPA was 97% van de getroffen e-commerce websites intern gebouwd, waarbij veel gebruik werd gemaakt van OSS-systemen. OSS-systemen zijn weliswaar handig, maar hun kwetsbaarheden zijn ook gemakkelijker te ontdekken. Als patches bijvoorbeeld niet snel of correct worden toegepast, kan een OSS-systeem gemakkelijk het doelwit worden van ongeoorloofde toegang.
Ransomware
Bij deze cyberaanval versleutelen oplichters systemen of gegevens en vragen ze geld om ze weer te herstellen. Ondernemingen kunnen het risico op deze aanval verminderen door regelmatig back-ups te maken, gegevens apart op te slaan, beheerdersrechten te beperken en trainingen te volgen over herstel.
Volgens een rapport van de Japan Network Security Association (JNSA) hebben ransomware-aanvallen financiële verliezen veroorzaakt van 10 miljoen tot enkele honderden miljoenen yen. Dit geldt ook voor kleine en middelgrote ondernemingen, waarbij in sommige gevallen verliezen van meer dan 100 miljoen yen zijn gemeld.
Veiligheidsrichtlijnen voor e-commerce websites
De beveiligingsrichtlijnen voor het bouwen en beheren van e-commerce websites, gepubliceerd door de IPA, bieden specifieke richtlijnen voor het veilig maken en beheren van e-commerce websites. Ze zijn vooral bedoeld voor kleine en middelgrote ondernemingen en onafhankelijke verkopers.
De belangrijkste richtlijnen zijn:
- Voorkom beveiligingsincidenten.
- Zorg dat je kwetsbaarheden in ontwerp en operaties oplost.
- Zorg voor ondersteuning voor niet-gespecialiseerd personeel.
- Maak duidelijk wie waarvoor verantwoordelijk is als het gaat om de verantwoordelijkheid voor zowel interne als uitbestede systemen.
De beveiligingsrichtlijnen zijn meer dan alleen een technisch handboek. Ze brengen praktisch werk en besluitvorming samen door te benadrukken hoe belangrijk beveiligingsmaatregelen zijn als managementbeslissingen. Daarnaast geven de richtlijnen voorbeelden van oorzaken, gevolgen en risico's van beveiligingsincidenten die zich hebben voorgedaan of zich zouden kunnen voordoen.
Oorzaak |
Effect en risico |
---|---|
Kwetsbaarheden in het contentmanagementsysteem (CMS) die kunnen leiden tot manipulatie van de website |
Persoonlijke gegevens, zoals creditcardinfo, kunnen uitlekken. |
Lekkende ID's en wachtwoorden van beheerdersschermen |
Derden kunnen vertrouwelijke klantgegevens bekijken of verwijderen. |
Het beoordelen van de systeemconfiguratie en kwetsbaarheden uitbesteden aan aannemers zonder je eigen mensen op te leiden |
Als er iets misgaat, is het soms lastig om te achterhalen wat de oorzaak is, waardoor het probleem en de gevolgen ervan langer duren. |
De ontwikkelomgeving en testpagina's openbaar maken. |
Mensen die iets frauduleus willen doen, kunnen kwetsbaarheden zien, waardoor het systeem makkelijk te hacken is. |
Updates en Secure Sockets Layer (SSL)-instellingen verwaarlozen. |
De risico's van 'man-in-the-middle-aanvallen' en het onderscheppen van communicatie nemen toe |
Bij alle beveiligingsincidenten is de belangrijkste oorzaak dat het niet duidelijk is wie verantwoordelijk is en wat er beschermd moet worden. De richtlijnen verdelen beveiligingsmaatregelen in drie categorieën op basis van de partijen die betrokken zijn bij het voorkomen van incidenten. Ze verduidelijken en leggen ook de rollen van elke partij uit.
Beheerders van e-commerce websites moeten:
- Het beleid voor het maken, bouwen en beheren van de site bepalen
- Duidelijk maken hoe men omgaat met uitbesteding, het kiezen van leveranciers, contracten en beheer.
- Zorgen voor een beleid voor het beschermen van klantgegevens
Ontwikkelaars en bouwondernemingen moeten:
- Kwetsbaarheidsvrije systemen ontwerpen en implementeren
- Verificatie en testen uitvoeren
- Software updaten en beheren
Leveranciers van bedienings- en onderhoudsoplossingen moeten:
- Regelmatig kwetsbaarheden van servers en software aanpakken
- Zorgen voor logboekbeheer en monitoringsystemen
- Zorgen voor een systeem om te reageren als er iets misgaat
Basisbeveiligingsmaatregelen voor e-commerce websites
Voor veel ondernemingen kan het ingewikkeld lijken om beveiligingsmaatregelen bij te werken en te verbeteren. Het is echter belangrijk om te beginnen met simpele stappen die je meteen kunt doen, zoals het verbeteren van wachtwoorden en het controleren van instellingen voor delen. Daarna kunnen ondernemingen geleidelijk aan robuuste beveiligingssystemen opbouwen. Hier zijn een paar specifieke maatregelen die e-commerce-ondernemingen zouden moeten overwegen:
Integreer Three-Domain Secure (3D Secure) 2.0 voor identiteitsverificatie
3D Secure 2.0 is een systeem dat de identiteitsverificatie voor creditcardbetalingen verbetert. Met eenmalige wachtwoordcodes en biometrische authenticatie kunnen ongeautoriseerde betalingen met behulp van imitatietactieken worden voorkomen.
Dit systeem biedt ook een verbeterde klantervaring in vergelijking met conventionele wachtwoordmethoden, terwijl veiligheid en gemak in balans zijn. Hierdoor wordt het steeds populairder onder creditcardbedrijven en betaaldienstverleners. Sites voor e-commerce die 3D Secure nog niet hebben geïntegreerd, lopen het risico op chargebacks en weigering van transacties. Daarom moeten e-commerce ondernemingen overwegen om het al in een vroeg stadium in te voeren.
Naleving van de Payment Card Industry Data Security Standard (PCI DSS)
PCI DSS is een internationale beveiligingsstandaard voor ondernemingen die met creditcardgegevens werken. Deze standaard geeft gedetailleerde regels, zoals het versleutelen van informatie, toegangscontrole en logboekbeheer. Als je intern met kaartgegevens werkt, moet je je hier strikt aan houden.
Het kan echter best lastig zijn om al deze vereisten intern te regelen, dus veel ondernemingen gebruiken betalingsagenten die voldoen aan PCI DSS om deze last te verminderen en toch aan de vereisten te voldoen.
Implementeer detectie van creditcardfraude
Frauduleuze transacties zijn niet altijd meteen duidelijk. Vaak ontdekken ondernemingen ze pas nadat de aankopen zijn gedaan. Daarom is het belangrijk om een systeem te hebben dat signalen van frauduleuze transacties in realtime detecteert en erop reageert, vooral voordat transacties worden gedaan of afgehandeld. Hier zijn een paar kenmerken die transacties als verdacht moeten markeren:
- Toegang vanuit gebieden met een geschiedenis van fraude
- Opeenvolgende kaartinvoer vanaf hetzelfde IP-adres (Internet Protocol)
- Klantgegevens en naam van de kaarthouder komen niet overeen.
- Meerdere dure aankopen in korte tijd
Door een systeem te gebruiken dat transacties automatisch blokkeert of vasthoudt voor controle wanneer ze als risicovol worden aangemerkt, kan schade worden voorkomen voordat deze zich voordoet.
Hoe te reageren op een beveiligingsrisico in e-commerce
Door beveiligingsmaatregelen te nemen, kun je het aantal beveiligingsincidenten verminderen. Maar omdat er steeds meer fraude is, is de kans groot dat de meeste ondernemingen wel eens te maken krijgen met een beveiligingslek. Dit kan zelfs gebeuren als de onderneming maatregelen heeft genomen. Hier zijn een paar manieren om te reageren op specifieke beveiligingsincidenten:
Virusinfectie of ransomware
Stop met het gebruik van de geïnfecteerde computer of server en haal 'm uit het netwerk. Laat daarna de getroffen zakenpartners en klanten, en ook relevante overheidsinstanties, weten wat er is gebeurd. In Japan moet je bijvoorbeeld virus- en ransomware-infecties melden bij de IPA. Ga daarna verder met je onderzoek en herstelwerkzaamheden. Door regelmatig back-ups te maken, kun je de schade van dit soort incidenten beperken.
Datalekken
Gegevenslekken zijn bijvoorbeeld als iemand zonder toestemming in je netwerk komt, als een medewerker iets illegaals doet (zoals intern wangedrag), als e-mails verkeerd worden verstuurd of als er per ongeluk iets online komt. Als dit gebeurt, kijk dan even wat voor soort gegevens er zijn gelekt en hoeveel, en check ook even hoe het zit met beveiliging, zoals encryptie en toegangsbeperkingen.
In geval van ongeoorloofde toegang moet je het apparaat onmiddellijk van het netwerk loskoppelen en de diensten opschorten. Dit is belangrijk omdat er een risico bestaat dat persoonlijke of vertrouwelijke informatie wordt gelekt. Als creditcard- of accountgegevens zijn gelekt, neem dan contact op met de creditcardmaatschappij en laat de account(s) opschorten.
Bij intern wangedrag moet je de toegang tot interne systemen beperken en bewijsmateriaal, zoals pc's, veiligstellen. Als er e-mails naar de verkeerde ontvangers zijn gestuurd, neem dan contact met hen op en vraag hen de e-mails te verwijderen. Als er per ongeluk informatie op de website van het bedrijf is gepubliceerd, verwijder deze dan meteen of beperk de toegang zodat deze niet van buiten de organisatie kan worden bekeken.
Nadat je deze maatregelen hebt genomen, moet je dit melden aan de relevante partijen:
- Als gelekte info, zoals accountgegevens, misbruikt kan worden, waarschuw dan de betrokken personen en ondernemingen om verdere schade te voorkomen.
- Als er persoonlijke info uitlekt, meld dit dan aan de PPC.
- Als de oorzaak van het lekken van informatie crimineel van aard is, zoals ongeoorloofde toegang of intern wangedrag, meld de details dan aan de politie.
- Als het lekken van informatie komt door een computervirus of ongeoorloofde toegang, meld het dan bij het IPA-meldpunt.
Onderzoek vervolgens de omvang, oorzaak en schade van de gelekte informatie. Ga daarna verder met herstelmaatregelen om herhaling te voorkomen.
Systeem afsluiten
Als het systeem uitvalt, kan het lastig zijn om meteen te weten wat de oorzaak is. Mogelijke oorzaken zijn bijvoorbeeld algemene apparatuurstoringen en beveiligingsproblemen, zoals cyberaanvallen en softwarefouten. Als je niet weet wat de oorzaak is, moet je de onderneming behandelen alsof het een beveiligingsprobleem is.
Als er systeemstoringen, defecten, uitschakelingen of tekenen zijn dat dit kan gebeuren, neem dan contact op met de systeembeheerder of de functionaris voor informatiebeveiliging. Afhankelijk van de situatie kan de verantwoordelijke partij de servers indien nodig omschakelen of uitschakelen.
Neem daarna contact op met je zakenpartners en meld het incident aan de relevante overheidsinstanties. Als er sprake is van een virus of ongeoorloofde toegang, meld dit dan aan het IPA-meldpunt. Onderzoek de oorzaak van het incident en ga verder met herstel en het voorkomen van herhaling.
Hoe kunnen e-commerce-ondernemingen in Japan hun beveiliging verbeteren?
Beveiligingsmaatregelen voor e-commerce zijn belangrijk om de dagelijkse activiteiten te beschermen. Hoe groot of klein je onderneming ook is, kaartfraude en datalekken zijn altijd een risico dat je moet aanpakken.
De afgelopen jaren is het gemakkelijker geworden om verschillende maatregelen te nemen en te integreren, zoals 3D Secure, om de identiteitsverificatie te versterken (d.w.z. ken-je-klant-procedures [KYC]). Ondernemingen kunnen ook branchestandaarden volgen, zoals PCI DSS, en diensten voor detectie van fraude introduceren. Het is belangrijk om waakzaam te blijven en van tevoren proactieve maatregelen te nemen. Het is niet omdat een onderneming geen beveiligingsproblemen heeft gehad dat ze zelfgenoegzaam moet worden. Eigenaars van ondernemingen moeten de beveiligingsmaatregelen voor hun e-commercesites verbeteren om de betrouwbaarheid, betrouwbaarheid en continuïteit van hun business-to-business te garanderen.
Hoe Stripe Radar kan helpen
Stripe Radar gebruikt AI-modellen om fraude op te sporen en te voorkomen, getraind op basis van gegevens uit het wereldwijde netwerk van Stripe. Het werkt deze modellen steeds bij op basis van de nieuwste fraudetrends, zodat je onderneming beschermd blijft terwijl fraude zich ontwikkelt.
Stripe biedt ook Radar for Fraud Teams, waarmee gebruikers regels op maat kunnen toevoegen voor specifieke fraude scenario's voor hun bedrijf en toegang krijgen tot geavanceerde fraude- inzichten.
Radar kan je onderneming helpen:
- Verlies door fraude voorkomen: Stripe verwerkt jaarlijks meer dan $ 1 biljoen aan betalingen. Dankzij deze groei kan Radar fraude nauwkeurig detecteren en voorkomen, waardoor je geld bespaart.
- Verhoog je inkomsten: De AI-modellen van Radar zijn getraind op basis van actuele chargebacks aanvragen, klant informatie, browsegegevens en meer. Zo kan Radar risicovolle transacties identificeren en het aantal vals-positieven verminderen, waardoor je inkomsten stijgen.
- Bespaar tijd: Radar is ingebouwd in Stripe en vereist nul regels code om in te stellen. Je kunt ook je fraude prestaties monitoren, regels schrijven en meer op één platform, wat de efficiëntie verhoogt.
Meer informatie over Stripe Radar of aan de slag vandaag.
De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.