ในปี 2024 การละเมิด 35.5% เชื่อมโยงกับผู้ให้บริการบุคคลที่สาม และเมื่อคุณทำงานกับผู้ประมวลผลการชำระเงิน การละเมิดประเภทนี้จะยิ่งมีความเสี่ยงมากขึ้นไปอีก นั่นเป็นเหตุผลที่การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นสิ่งที่ไม่สามารถต่อรองได้ในคำขอการชำระเงินสำหรับข้อเสนอ (RFP) ใดๆ ก็ตาม RFP ของคุณควรกำหนดว่าผู้ประมวลผลการชำระเงินควรปกป้องข้อมูลที่ละเอียดอ่อนอย่างไร ควรตอบสนองต่อเหตุการณ์เร็วเพียงใด และช่วยให้คุณปฏิบัติตามข้อกำหนดด้านกฎระเบียบได้ดีเพียงใด คุณต้องถามให้ถูกคำถามตั้งแต่ต้นและเรียกร้องคำตอบพร้อมหลักฐาน ด้านล่างนี้ เราจะกล่าวถึงแนวทางปฏิบัติที่ดีที่สุดทั้งหมดสำหรับการสอบถามเกี่ยวกับการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดใน RFP สำหรับการชำระเงิน
เนื้อหาหลักในบทความ
- ข้อกำหนดด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดที่ควรระบุในแต่ละ RFP สำหรับการชำระเงินมีอะไรบ้าง
- ฉันจะเขียนข้อกำหนด PCI DSS ลงใน RFP สำหรับการชำระเงินได้อย่างไร
- ฉันควรถามคำถามพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลและความเป็นส่วนตัวอะไรบ้าง
- ฉันจะประเมินการป้องกันการฉ้อโกงของผู้ให้บริการใน RFP ได้อย่างไร
- ผู้ให้บริการควรให้รายละเอียดการรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติอะไรบ้าง
- ฉันจะถามเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดทั่วโลกใน RFP ได้อย่างไร
- ฉันควรต้องการอะไรจากผู้ให้บริการเกี่ยวกับการเข้ารหัส การแปลงเป็นโทเค็น และการตรวจสอบสิทธิ์
- ฉันจะระบุข้อกำหนดด้านการรักษาความปลอดภัยจากการชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอปไว้ใน RFP ได้อย่างไร
- ควรขอความสามารถในการรายงานและการตรวจสอบอะไรบ้างใน RFP สำหรับการชำระเงิน
- สัญญาณเตือนใดบ้างในคำตอบ RFP ของผู้ให้บริการที่บ่งชี้ถึงการรักษาความปลอดภัยที่ไม่รัดกุมหรือการปฏิบัติตามข้อกำหนดที่ไม่เพียงพอ
- Stripe Payments ช่วยได้อย่างไร
ข้อกำหนดด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดที่ควรระบุในแต่ละ RFP สำหรับการชำระเงินมีอะไรบ้าง
เมื่อคุณจัดทำ RFP สำหรับการชำระเงิน ส่วนการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดคือส่วนที่คุณจะกำหนดความคาดหวังพื้นฐานที่ผู้ให้บริการที่จริงจังทุกรายควรปฏิบัติตาม RFP ของคุณควรบังคับให้ผู้ให้บริการแสดงให้เห็นถึงการรักษาความปลอดภัยที่เข้มงวดและผ่านการตรวจสอบจากหน่วยงานที่เป็นอิสระในทุกด้านเหล่านี้
นี่คือสิ่งที่ทำให้ผู้ให้บริการมีคุณสมบัติเหมาะสม
การรับรองและการตรวจสอบในระดับอุตสาหกรรม
ขอให้ผู้ให้บริการแสดงหลักฐานการรับรองและการตรวจสอบ: PCI DSS (มาตรฐานการรักษาความปลอดภัยของข้อมูลในอุตสาหกรรมบัตรชำระเงิน) สำหรับข้อมูลบัตร, ISO/IEC 27001 สำหรับการรักษาความปลอดภัยของข้อมูล และ SOC 2 ประเภท II สำหรับการควบคุมการปฏิบัติงาน การรับรองเหล่านี้ยืนยันว่าผู้ตรวจสอบภายนอกได้ตรวจสอบแนวทางปฏิบัติของผู้ให้บริการแล้ว
การปฏิบัติตามข้อกำหนดของ PCI DSS
กำหนดให้ผู้ให้บริการต้องเป็นไปตามข้อกำหนดของ PCI DSS ในระดับสูงสุดที่เกี่ยวข้องกับผู้ให้บริการ (ระดับ 1) ขอใบรับรองการปฏิบัติตามข้อกำหนด (AOC) ปัจจุบันจากผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA) เพื่อเป็นหลักฐานอย่างเป็นทางการ
การคุ้มครองข้อมูลและความเป็นส่วนตัว
สอบถามผู้ให้บริการว่าพวกเขาปกป้องข้อมูลลูกค้าทั้งหมดอย่างไร รวมถึงรายละเอียดส่วนบุคคล ที่อยู่การเรียกเก็บเงิน และรหัสประจำตัว สอบถามว่าข้อมูลเหล่านั้นถูกจัดเก็บไว้ที่ใดในทางภูมิศาสตร์ ข้อมูลมีการเข้ารหัสอย่างไร และมีการควบคุมการเข้าถึงอย่างไร ตรวจสอบให้แน่ใจว่าผู้ให้บริการจะลงนามในข้อตกลงการประมวลผลข้อมูลและรองรับกฎหมายความเป็นส่วนตัว เช่นGDPR และCCPA
การป้องกันการฉ้อโกง
ระบุคำถามเกี่ยวกับความสามารถการป้องกันการฉ้อโกง ผู้ให้บริการใช้แมชชีนเลิร์นนิง กลไกกฎ และการตรวจสอบสิทธิ์แบบ 3D Secure หรือไม่ พวกเขาหาสมดุลระหว่างการหยุดการฉ้อโกงกับการรักษาอัตราการอนุมัติให้อยู่ในระดับสูงได้อย่างไร คำตอบสำหรับ RFP ของผู้ให้บริการควรทำให้คุณมั่นใจว่าพวกเขาจะช่วยลดการดึงเงินคืนและการสูญเสียจากการฉ้อโกงโดยไม่ทำให้ลูกค้าที่ชอบด้วยกฎหมายต้องหงุดหงิด
การรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติ
ผู้ให้บริการทุกรายควรมีแผนสำหรับการละเมิดและการหยุดทำงาน ถามว่าพวกเขาตรวจพบและรับมือกับเหตุการณ์อย่างไร พวกเขาจะแจ้งให้คุณทราบเร็วแค่ไหนหากข้อมูลของคุณได้รับผลกระทบ และเป้าหมายการกู้คืนข้อมูลหลักเป็นอย่างไร (RTO หรือ RPO)
ความครอบคลุมการปฏิบัติตามข้อกำหนดทั่วโลก
หากคุณดำเนินธุรกิจระหว่างประเทศ ผู้ให้บริการของคุณจำเป็นต้องปฏิบัติตามกฎระเบียบท้องถิ่น เพื่อไม่ให้เกิดเหตุการณ์ไม่คาดฝัน สอบถามเกี่ยวกับ PSD2 และการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมในยุโรป การคัดกรองการคว่ำบาตรในสหรัฐอเมริกา และกฎการแปลข้อมูลในประเทศต่างๆ เช่น อินเดีย ผู้ให้บริการระดับโลกควรสามารถชี้ให้เห็นถึงระบบและใบอนุญาตที่ครอบคลุมข้อกำหนดเหล่านี้ได้
การควบคุมการรักษาความปลอดภัยของข้อมูลหลัก
ระบุข้อกำหนดเกี่ยวกับการเข้ารหัส การแปลงเป็นโทเค็น และการตรวจสอบสิทธิ์ ข้อมูลควรได้รับการเข้ารหัสระหว่างการส่งและขณะที่ไม่ได้ใช้งานด้วยมาตรฐานที่ทันสมัย ข้อมูลที่ละเอียดอ่อนควรได้รับการแปลงเป็นโทเค็นเพื่อไม่ให้คุณเข้าถึงข้อมูลโดยตรง และระบบของผู้ให้บริการควรบังคับใช้การตรวจสอบสิทธิ์ที่รัดกุมสำหรับผู้ใช้ภายใน
การชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอป
หากธุรกิจของคุณทำงานบนอุปกรณ์เคลื่อนที่ ให้ระบุข้อกำหนดเฉพาะสำหรับสภาพแวดล้อมนั้น สอบถามเกี่ยวกับการรักษาความปลอดภัยของชุดพัฒนาซอฟต์แวร์ (SDK) และถามว่าข้อมูลที่ละเอียดอ่อนจะข้ามเซิร์ฟเวอร์ของคุณเพื่อลดขอบเขต PCI หรือไม่ และพวกเขารองรับกระเป๋าเงินดิจิทัล เช่น Apple Pay และ Google Pay อย่างไร
การรายงานและความสามารถในการตรวจสอบ
ผู้ให้บริการควรจัดทำรายงานธุรกรรม การวิเคราะห์การฉ้อโกงและการโต้แย้งการชำระเงิน รวมถึงบันทึกการตรวจสอบระบบที่ติดตามการดำเนินการด้านการดูแลระบบ คุณควรมีสิทธิ์เข้าถึงข้อมูลของคุณมากพอที่จะสามารถดำเนินการตรวจสอบและปฏิบัติตามภาระผูกพันในการปฏิบัติตามข้อกำหนดของคุณเองได้
ฉันจะเขียนข้อกำหนด PCI DSS ลงใน RFP สำหรับการชำระเงินได้อย่างไร
PCI DSS เป็นกฎเกณฑ์สากลสำหรับข้อมูลบัตร ใน RFP ของคุณ การปฏิบัติตามข้อกำหนด PCI DSS ควรระบุราวกับเป็นข้อสัญญา คุณต้องขอการรับรองระดับ 1 พร้อมหลักฐานและตรวจสอบให้แน่ใจว่าพวกเขามุ่งมั่นที่จะปฏิบัติตามข้อกำหนดเมื่อมาตรฐานมีการพัฒนา
ต่อไปนี้คือวิธีตรวจสอบให้แน่ใจว่าภาษา RFP ไม่ทำให้เกิดความสับสนและไม่เปิดช่องให้ตีความต่างออกไป
ระบุชัดเจนเกี่ยวกับระดับและการพิสูจน์
ระบุอย่างชัดเจนว่าผู้ให้บริการต้องเป็นไปตามข้อกำหนดของผู้ให้บริการ PCI DSS ระดับ 1 ซึ่งเป็นเครื่องยืนยันอย่างดีว่าพวกเขาดำเนินการตามมาตรฐานในระดับที่เหมาะสม
ยืนกรานให้มีการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง
ข้อกำหนด PCI DSS ยังคงพัฒนาอย่างต่อเนื่อง ใน RFP คุณควรถามว่าผู้ให้บริการจะยังคงปฏิบัติตามข้อกำหนดอยู่เสมอได้อย่างไร โดยถามว่า "ยืนยันว่าคุณจะยังคงปฏิบัติตามข้อกำหนดของ PCI ตลอดอายุสัญญา และอธิบายว่าคุณจะปรับตัวให้เข้ากับ PCI DSS เวอร์ชันใหม่ได้อย่างไร" คำตอบควรกล่าวถึงการตรวจสอบประจำปี การสแกนรายไตรมาส และการตรวจสอบอย่างต่อเนื่อง
ชี้แจงความรับผิดชอบร่วมกัน
แม้จะมีผู้ให้บริการที่ปฏิบัติตามข้อกำหนดแล้ว แต่ภาระผูกพันของ PCI บางอย่างก็ยังตกอยู่กับคุณ คุณต้องระบุสิ่งนี้ใน RFP โดยถามว่า "ข้อกำหนด PCI DSS ใดที่ยังคงเป็นความรับผิดชอบของเรา และคุณจะสนับสนุนให้เราปฏิบัติตามข้อกำหนดเหล่านี้อย่างไร" มองหาผู้ให้บริการที่ช่วยลดภาระด้วยวิธีการต่างๆ เช่น การกรอกแบบสอบถามการประเมินตนเอง (SAQ) ของ PCI ล่วงหน้าหรือการให้คำแนะนำโดยละเอียด
ฉันควรถามคำถามพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลและความเป็นส่วนตัวอะไรบ้าง
ชื่อ ที่อยู่ อีเมล และ ID อุปกรณ์ล้วนเป็นข้อมูลที่ละเอียดอ่อนด้วยเช่นกัน ผู้ให้บริการที่เหมาะสมจะสามารถบอกคุณได้อย่างชัดเจนว่าข้อมูลของลูกค้าอยู่ที่ไหน ได้รับการปกป้องอย่างไร เก็บไว้นานแค่ไหน และจะเกิดอะไรขึ้นหากเกิดปัญหา
นี่คือคำถามที่คุ้มค่าที่จะถาม
ข้อมูลถูกจัดเก็บและประมวลผลที่ไหน
เขตอำนาจศาลมีความสำคัญ ขอให้ผู้ให้บริการระบุประเทศที่มีการจัดเก็บข้อมูลลูกค้า และถามว่าพวกเขาเสนอตัวเลือกการโฮสต์ระดับภูมิภาคหรือไม่ คำตอบที่โปร่งใสจะระบุชื่อสถานที่ อธิบายกรอบกฎหมายที่ใช้ และอธิบายวิธีจัดการการโอนข้ามพรมแดน
ข้อมูลส่วนตัวได้รับการคุ้มครองอย่างไร
การเข้ารหัส การควบคุมการเข้าถึง และการตรวจสอบควรมีการกล่าวถึงทันที สอบถามเกี่ยวกับวิธีการที่แน่นอน เช่น AES-256 สำหรับข้อมูลที่ไม่ได้ใช้งาน, TLS 1.2+ สำหรับข้อมูลที่อยู่ระหว่างการส่ง และการเข้าถึงตามบทบาทโดยใช้หลักสิทธิ์น้อยที่สุด เจาะลึกรายละเอียดเกี่ยวกับบันทึกการตรวจสอบว่าใครเข้าถึงบันทึกใด เมื่อใด และเพื่อวัตถุประสงค์อะไร คุณต้องขอหลักฐานยืนยันว่าทุกจุดที่มีการเข้าถึงข้อมูลถูกตรวจสอบทั้งหมด
คุณปฏิบัติตามกฎหมายความเป็นส่วนตัวใดบ้าง และมีสัญญาหรือเอกสารใดที่ยืนยันได้
ผู้ให้บริการควรระบุอย่างชัดเจนเกี่ยวกับ GDPR, CCPA และกฎหมายอื่นๆ ที่เกี่ยวข้อง RFP ควรกำหนดให้มีข้อตกลงการประมวลผลข้อมูลที่สอดคล้องกับ GDPR และหลักฐานเกี่ยวกับวิธีจัดการกับสิทธิ์ของเจ้าของข้อมูล เช่น การเข้าถึงและการลบ หากผู้ให้บริการมีใบรับรองหรือมีส่วนร่วมในกรอบการทำงานที่เป็นที่ยอมรับ ผู้ให้บริการก็ควรที่จะระบุไว้ในการประเมิน
นโยบายการเก็บรักษาและการลบข้อมูลของคุณเป็นอย่างไร
ถามว่าพวกเขาเก็บธุรกรรมและข้อมูลส่วนตัวไว้นานแค่ไหน และมีกระบวนการใดบ้างในการลบหรือทำให้เป็นข้อมูลไม่ระบุตัวตน มองหานโยบายที่มีโครงสร้าง เช่น กรอบเวลาเฉพาะสำหรับการเก็บรักษา การล้างข้อมูลอัตโนมัติ และความสามารถในการดำเนินการตามคำขอลบข้อมูลอย่างรวดเร็ว
ใครคือผู้ประมวลผลช่วงของคุณ และพวกเขาได้รับการตรวจสอบอย่างไร
หากผู้ให้บริการพึ่งพาผู้ให้บริการระบบคลาวด์หรือบุคคลที่สาม พวกเขาควรเปิดเผยว่าผู้ให้บริการเหล่านั้นคือใคร และแสดงให้เห็นว่าพาร์ทเนอร์เหล่านั้นมีมาตรฐานเดียวกัน คำตอบที่เหมาะสมจะอธิบายถึงการตรวจสอบข้อมูล ภาระผูกพันตามสัญญา และใบรับรองสำหรับผู้ประมวลผลข้อมูลย่อย
ขั้นตอนการแจ้งการละเมิดเป็นอย่างไร
ขอนโยบายเป็นลายลักษณ์อักษรสำหรับการรายงานเหตุการณ์ สอบถามเกี่ยวกับลำดับเวลา (คุณจะได้รับแจ้งเกี่ยวกับการละเมิดภายในกี่ชั่วโมง) และรายละเอียดที่จะแจ้งให้ทราบ คำตอบที่ดีที่สุดควรกล่าวถึงข้อมูลเฉพาะเกี่ยวกับช่องทางการสื่อสารและการรายงานหลังเหตุการณ์พร้อมขั้นตอนการแก้ไข
ฉันจะประเมินการป้องกันการฉ้อโกงของผู้ให้บริการใน RFP ได้อย่างไร
การฉ้อโกงทุกเปอร์เซ็นต์ที่เล็ดลอดออกมาอาจกัดกินรายรับและทำลายความไว้วางใจของลูกค้า การตรวจจับที่ผิดพลาดแต่ละครั้งที่บล็อกธุรกรรมที่ชอบด้วยกฎหมายอาจทำให้คุณเสียโอกาสในการขาย ผู้ให้บริการที่แข็งแกร่งที่สุดจะพูดถึงรายละเอียดเฉพาะต่างๆ เช่น โมเดลแมชชีนเลิร์นนิงที่ปรับแต่งจากจุดข้อมูลหลายพันล้านจุด แดชบอร์ดที่กำหนดค่าได้ อัตราการฉ้อโกงที่เป็นรูปธรรม และขั้นตอนการรับรองความถูกต้องในตัว พวกเขาเข้าใจว่าการป้องกันการฉ้อโกงกับการเปลี่ยนเป็นผู้ใช้ต้องมีความสมดุล และจะแสดงให้เห็นว่าพวกเขาจะช่วยคุณจัดการเรื่องนี้ได้
นี่คือสิ่งที่คุณต้องค้นหา
ระบบตรวจจับการฉ้อโกง
ขอให้ผู้ให้บริการอธิบายระบบการตรวจจับการฉ้อโกงโดยละเอียด มองหาแนวทางที่มีหลายชั้น เช่น แมชชีนเลิร์นนิงที่ได้รับการฝึกฝนจากชุดข้อมูลขนาดใหญ่ กฎที่กำหนดค่าได้ การตรวจสอบเอกลักษณ์ของอุปกรณ์ การตรวจสอบความถี่ และสัญญาณทางลักษณะ ผู้ให้บริการที่ดีที่สุดจะผสานการให้คะแนนอัตโนมัติเข้ากับตัวเลือกต่างๆ เพื่อดำเนินการตรวจสอบด้วยตนเองและส่งข้อมูลกลับอย่างต่อเนื่อง หากพวกเขากล่าวถึงข้อมูลกลุ่ม (สัญญาณที่รวบรวมจากธุรกิจหลายแห่ง) นั่นเป็นสัญญาณว่าโมเดลของพวกเขากำลังเรียนรู้จากขอบเขตที่กว้างเกินกว่าธุรกรรมของคุณ
การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม
การควบคุมการฉ้อโกงเชื่อมโยงโดยตรงกับการตรวจสอบสิทธิ์ คุณต้องกำหนดให้ผู้ให้บริการอธิบายว่าพวกเขาสนับสนุนวิธีการต่างๆ เช่น 3D Secure, รหัสผ่านแบบใช้ครั้งเดียว หรือการตรวจสอบข้อมูลไบโอเมตริกอย่างไร สำหรับธุรกิจที่ดำเนินงานในยุโรป นี่คือข้อกำหนด PSD2 แม้แต่นอกยุโรป การมีการตรวจสอบสิทธิ์ที่เข้มข้นขึ้นก็เป็นสิ่งสำคัญสำหรับธุรกรรมที่มีความเสี่ยงสูงหรือน่าสงสัย คุณต้องมองหาผู้ให้บริการที่สามารถใช้ขั้นตอนเหล่านี้ได้โดยไม่ต้องให้คุณสร้างเอง
ตัวชี้วัดที่ติดตาม
ขอข้อมูลเกี่ยวกับตัวชี้วัด เช่น อัตราการฉ้อโกง อัตราการดึงเงินคืน อัตราการตรวจพบที่ผิดพลาด และอัตราการอนุมัติ คุณกำลังมองหาผู้ให้บริการที่สามารถอธิบายข้อดีข้อเสียได้อย่างชัดเจน เช่น อัตราการอนุมัติที่สูงควบคู่ไปกับการฉ้อโกงต่ำและความยุ่งยากน้อยที่สุด หากพวกเขาเสนอการคุ้มครองการดึงเงินคืนหรือโปรแกรมโอนความรับผิด นั่นแสดงให้เห็นว่าพวกเขามั่นใจในระบบของตน แต่คุณยังต้องเข้าใจว่าพวกเขาได้รับผลลัพธ์อย่างไรด้วย
ความสามารถในการปรับแต่ง
แต่ละธุรกิจมีระดับการยอมรับความเสี่ยงที่แตกต่างกัน บางธุรกิจต้องให้การอัตราการเปลี่ยนเป็นลูกค้าอยู่ในระดับสูงสุด แม้ว่าจะหมายถึงการโต้แย้งการชำระเงินที่มากขึ้นก็ตาม ในขณะที่บางธุรกิจเลือกที่จะเพิ่มความยุ่งยากให้กับลูกค้าเพื่อลดการฉ้อโกง ลองสอบถามดูว่าคุณสามารถปรับแต่งกฎเกี่ยวกับการฉ้อโกง ปรับเกณฑ์ความเสี่ยง และกำหนดบัญชีที่อนุญาตหรือบัญชีดำสำหรับสถานการณ์บางอย่างได้หรือไม่ ผู้ให้บริการที่แข็งแกร่งจะเสนอแดชบอร์ดที่คุณสามารถเขียนกฎต่างๆ เช่น "ตั้งค่าสถานะธุรกรรมที่มีมูลค่ามากกว่า 5,000 ดอลลาร์สหรัฐจากลูกค้าใหม่" หรือ "ต้องใช้ 3D Secure สำหรับคำสั่งซื้อครั้งแรกทั้งหมดจากประเทศ X" ความยืดหยุ่นดังกล่าวเป็นสัญญาณของความเป็นมืออาชีพ
การปกป้องที่ครอบคลุมทุกวิธีการ
การฉ้อโกงเกิดขึ้นทุกที่ ไม่ว่าจะเป็นการชำระเงินแบบเรียลไทม์ กระเป๋าเงินดิจิทัล การซื้อตอนนี้ จ่ายทีหลัง และอื่นๆ อีกมากมาย RFP ของคุณควรถามว่าผู้ให้บริการตรวจสอบวิธีการเหล่านี้อย่างไร พวกเขาตรวจสอบบัญชีธนาคาร คัดกรองผู้รับการเบิกจ่ายจากราวชื่อที่ถูกคว่ำบาตร หรือตรวจจับการยึดบัญชีหรือไม่ ผู้ให้บริการที่พูดถึงแต่การฉ้อโกงบัตรเพียงอย่างเดียวอาจทำให้คุณตกอยู่ในความเสี่ยงจากช่องทางอื่น
การจัดการการโต้แย้งการชำระเงิน
การป้องกันการฉ้อโกงและการจัดการโต้แย้งการชำระเงินต้องดำเนินการควบคู่กัน ถามผู้ให้บริการว่าพวกเขารับมือกับการดึงเงินคืนอย่างไร พวกเขารวบรวมหลักฐานโดยอัตโนมัติ แจ้งเตือนการโต้แย้งการชำระเงิน หรือเสนอการวิเคราะห์สาเหตุที่แท้จริงหรือไม่ แม้แต่ระบบที่ดีที่สุดก็ไม่สามารถตรวจจับทุกอย่างได้ ดังนั้นความสามารถในการจำกัดผลกระทบเมื่อเกิดการฉ้อโกงจึงมีความสำคัญเช่นกัน
ผู้ให้บริการควรให้รายละเอียดการรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติอะไรบ้าง
วิธีที่ผู้ให้บริการเตรียมพร้อมสำหรับการละเมิดและการหยุดทำงานบอกอะไรได้มากมายเกี่ยวกับความเป็นมืออาชีพของพวกเขา คำตอบที่เหมาะสมจะต้องระบุแผนการรับมือกับเหตุการณ์ที่ผ่านการทดสอบแล้ว การแจ้งเตือนการละเมิดที่รวดเร็ว วัตถุประสงค์ในการกู้คืนที่วัดผลได้ โครงสร้างพื้นฐานที่สร้างขึ้นเพื่อความยืดหยุ่น และโปรโตคอลการสื่อสารที่ช่วยให้คุณไม่พลาดข่าวสาร โดยลำดับเวลา ตัวชี้วัด และความถี่ในการทดสอบคือสัญญาณความพร้อมรับมือ
นี่คือสิ่งที่คุณจะต้องรู้
แผนรับมือกับเหตุการณ์
ขอให้ผู้ให้บริการจัดเตรียมคู่มือการจัดการกับเหตุการณ์ด้านความปลอดภัย คำตอบที่เหมาะสมจะอ้างอิงถึงแผนอย่างเป็นทางการที่ครอบคลุมการตรวจจับ การกักกัน การสืบสวน และการกู้คืน ผู้ให้บริการที่ดีที่สุดจะทดสอบแผนเหล่านี้ผ่านการซ้อมจริงเป็นประจำหรือการซ้อมแผนบนโต๊ะ และอัปเดตแผนหลังจากเกิดเหตุการณ์จริง คุณต้องมองหาพาร์ทเนอร์ที่ฝึกฝนให้ทีมพร้อมรับมือกับเหตุการณ์
การสื่อสารเกี่ยวกับการละเมิด
ขอรายละเอียดเฉพาะ: "คุณจะแจ้งให้เราทราบถึงการละเมิดที่ได้รับการยืนยันแล้วภายในกี่ชั่วโมง คุณจะให้รายละเอียดอะไรบ้าง" ผู้ให้บริการที่มีศักยภาพจะยืนยันกรอบเวลาที่ชัดเจน (เช่น 24 ถึง 72 ชั่วโมง) และอธิบายข้อมูลที่พวกเขาจะเปิดเผย ได้แก่ ขอบเขต ข้อมูลที่ได้รับผลกระทบ ขั้นตอนการแก้ไข และการอัปเดตอย่างต่อเนื่อง คุณต้องขอความชัดเจนเกี่ยวกับเส้นทางการแจ้งปัญหาและผู้ติดต่อด้วย เช่น ใครจะเป็นผู้โทรหาคุณ จะติดต่อบ่อยแค่ไหน และผ่านช่องทางใด พวกเขาจะให้ข้อมูลการวิเคราะห์สาเหตุที่แท้จริงหลังเหตุการณ์หรือไม่ คุณต้องมองหาผู้ให้บริการที่ปฏิบัติต่อคุณในฐานะพาร์ทเนอร์ในการกู้คืนจากความเสียหาย
แผนการกู้คืนจากภัยพิบัติและความต่อเนื่องทางธุรกิจ
สอบถามเกี่ยวกับเป้าหมายระยะเวลาการกู้คืน (RTO) และเป้าหมายจุดกู้คืน (RPO) ตัวชี้วัดเหล่านี้จะกำหนดว่าระบบกลับมาออนไลน์ได้เร็วเพียงใดและข้อมูลอาจสูญหายไปมากน้อยเพียงใด มองหาตัวเลขที่เป็นรูปธรรมและหลักฐานการมีระบบสำรองในหลายพื้นที่ทางภูมิศาสตร์ (เช่น ศูนย์ข้อมูลหลายแห่ง พื้นที่คลาวด์ที่พร้อมจะเข้ามาแทนที่หากศูนย์ใดศูนย์หนึ่งล้มเหลว) ผู้ให้บริการที่ไม่สามารถอธิบายรายละเอียดเหล่านี้ได้อาจไม่ได้ทดสอบแผนของตน
โครงสร้างพื้นฐานสำรอง
สอบถามเกี่ยวกับเครื่องกำเนิดไฟฟ้าสำรอง ผู้ให้บริการอินเทอร์เน็ตหลายราย การสลับไปใช้ระบบสำรองโดยอัตโนมัติ และการสำรองข้อมูลอย่างต่อเนื่อง ถามว่าพวกเขาทดสอบกระบวนการสลับไปใช้ระบบสำรองบ่อยแค่ไหน ผู้ให้บริการบางรายเผยแพร่รายงานหลังเกิดเหตุขัดข้องเพื่อแสดงให้เห็นถึงความรับผิดชอบ โดยความโปร่งใสในระดับนี้ถือเป็นสัญญาณของความมั่นใจ
ฉันจะถามเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดทั่วโลกใน RFP ได้อย่างไร
หากคุณดำเนินธุรกิจในหลายตลาด (หรือมีแผนที่จะทำเช่นนั้น) RFP ของคุณต้องแสดงให้เห็นว่าผู้ให้บริการสามารถทำให้คุณปฏิบัติตามข้อกำหนดได้จริงในทุกที่ที่คุณมีลูกค้าหรือไม่ ผู้ให้บริการที่แข็งแกร่งที่สุดจะถือว่าการปฏิบัติตามข้อกำหนดเป็นส่วนหนึ่งของผลิตภัณฑ์ของตน พวกเขาจะกล่าวถึงระบบอัตโนมัติเกี่ยวกับ PSD2, แนวทางปฏิบัติด้านความเป็นส่วนตัวที่เป็นรูปธรรม, การตรวจสอบการคว่ำบาตรที่ฝังอยู่ในการเบิกจ่าย และแคตตาล็อกใบอนุญาตที่ครอบคลุมตลาดที่คุณสนใจ
นี่คือสิ่งที่คุณจำเป็นต้องถามเพื่อพิจารณาว่ามีการปฏิบัติตามข้อกำหนดในระดับที่คุณต้องการหรือไม่
PSD2 และการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม
ข้อบังคับ PSD2 ของสหภาพยุโรปกำหนดให้ต้องมีการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมสำหรับการชำระเงินทางอิเล็กทรอนิกส์ส่วนใหญ่ คุณควรถามโดยตรงว่า "คุณจัดการกับข้อกำหนด PSD2 อย่างไร รวมถึงการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม และคุณจัดการกับการยกเว้นอย่างไร" ผู้ให้บริการที่น่าเชื่อถือจะยืนยันว่าพวกเขาใช้การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม (SCA) โดยอัตโนมัติเมื่อจำเป็น และจัดการการยกเว้น (การชำระเงินมูลค่าต่ำ การชำระเงินแก่ผู้รับผลประโยชน์ที่เชื่อถือได้ การชำระเงินตามแบบแผนล่วงหน้า) ให้เหมาะสมเพื่อลดอุปสรรคที่ไม่จำเป็น คุณจำเป็นต้องรู้รายละเอียดว่าผู้ให้บริการทำให้การจัดการการยกเว้นเหล่านี้เป็นไปโดยอัตโนมัติ แทนที่จะปล่อยให้คุณเขียนโค้ดด้วยตัวเองหรือไม่
การปกป้องข้อมูลและ GDPR
กฎหมายความเป็นส่วนตัวครอบคลุมทุกภูมิภาค RFP ของคุณควรกำหนดให้ผู้ให้บริการอธิบายว่าพวกเขาปฏิบัติตาม GDPR, CCPA และกฎระเบียบด้านการคุ้มครองข้อมูลอื่นๆ อย่างไร สอบถามว่าข้อมูลลูกค้าถูกจัดเก็บไว้ที่ใด มีตัวเลือกการโฮสต์ระดับภูมิภาคหรือไม่ และกลไกใดที่ใช้สำหรับการโอนข้ามพรมแดน (เช่น กรอบข้อตกลงความเป็นส่วนตัวของข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกา หรือข้อสัญญามาตรฐาน) กำหนดให้มีข้อตกลงการประมวลผลข้อมูลที่สอดคล้องกับ GDPR เพื่อเป็นส่วนหนึ่งของสัญญา มองหาผู้ให้บริการที่สามารถแสดงใบรับรอง การตรวจสอบ หรือการตรวจสอบความถูกต้องจากหน่วยงานที่เป็นอิสระเกี่ยวกับสถานะความเป็นส่วนตัวของตนได้
การคว่ำบาตรและการคัดกรอง OFAC
ในสหรัฐอเมริกาและประเทศอื่นๆ กำหนดให้ต้องปฏิบัติตามข้อกำหนดการคว่ำบาตร หากไม่ดำเนินการตรวจสอบการคว่ำบาตรอาจทำให้ธุรกิจของคุณต้องเสียค่าปรับและเสียชื่อเสียง คุณควรถามว่า "คุณดำเนินการคัดกรองการคว่ำบาตรใดบ้าง (OFAC, EU, UN, รายการอื่นๆ) คุณจะบล็อกหรือตั้งค่าสถานะธุรกรรมที่ถูกจำกัดอย่างไร อธิบายขั้นตอนการคัดกรองการคว่ำบาตรของคุณ รวมถึงรายการที่คุณตรวจสอบและความถี่ในการอัปเดต" คำตอบที่เหมาะสมจะอธิบายถึงการคัดกรองอัตโนมัติในระดับธุรกรรมและการเบิกจ่าย การอัปเดตรายการอย่างต่อเนื่อง และขั้นตอนในการจัดการรายการที่ตรงกัน
กฎระเบียบระดับภูมิภาคและการแปลให้เหมาะกับแต่ละประเทศ
ภูมิภาคต่างๆ มีกฎของตัวเอง และ RFP ของคุณควรทำให้แน่ใจว่าคุณจะได้รับความคุ้มครอง ถามผู้ให้บริการว่า "คุณรองรับภาระผูกพันในการปฏิบัติตามข้อกำหนดระดับภูมิภาคใดบ้างโดยตรง และคุณจะช่วยให้เราปฏิบัติตามภาระผูกพันเหล่านี้ได้อย่างไร" คำตอบที่ดีที่สุดจะแสดงให้เห็นว่าพวกเขาติดตามกฎระดับภูมิภาคอย่างจริงจัง
การออกใบอนุญาตและการกำกับดูแลด้านกฎระเบียบ
ตรวจสอบว่าผู้ขายมีใบอนุญาตหรือการจดทะเบียนที่เหมาะสมในตลาดหลักหรือไม่ สิ่งนี้จะเป็นตัวกำหนดว่าใครเป็นผู้รับผิดชอบด้านกฎระเบียบและการชำระเงินของคุณสามารถไหลได้โดยไม่หยุดชะงักหรือไม่ ขอให้ผู้ขายแสดงรายการใบอนุญาตด้านกฎระเบียบที่พวกเขาถือครองและภูมิภาคที่พวกเขาครอบคลุม
ฉันควรต้องการอะไรจากผู้ให้บริการเกี่ยวกับการเข้ารหัส การแปลงเป็นโทเค็น และการตรวจสอบสิทธิ์
หากผู้ให้บริการด้านการชำระเงินไม่สามารถอธิบายวิธีการเข้ารหัส การแปลงเป็นโทเค็น และล็อกการเข้าถึงได้ คุณก็ไม่จำเป็นต้องอ่านข้อเสนอของพวกเขาต่อ คุณควรดูข้อมูลเฉพาะ เช่น มาตรฐานการเข้ารหัสที่กล่าวถึง, ขั้นตอนการแปลงเป็นโทเค็นที่อธิบายไว้, การเข้าสู่ระบบครั้งเดียว (SSO) และการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่อธิบายไว้โดยละเอียด, คีย์อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ที่ถูกล็อกไว้ และลายเซ็น Webhook ที่กล่าวถึง
RFP ของคุณควรระบุคุณสมบัติต่อไปนี้อย่างชัดเจน
การเข้ารหัส
กำหนดให้มีการเข้ารหัสแบบต้นทางถึงปลายทางสำหรับข้อมูลการชำระเงิน ทั้งข้อมูลที่อยู่ระหว่างการส่งและข้อมูลที่ไม่ได้ใช้งาน ระบุให้ชัดเจนว่าต้องใช้ TLS 1.2+ หรือ TLS 1.3 สำหรับข้อมูลที่กำลังส่ง, AES-256 หรือมาตรฐานที่เทียบเท่าสำหรับข้อมูลที่ไม่ได้ใช้งาน ขอให้ผู้ให้บริการอธิบายวิธีจัดการคีย์ โดยถามว่าพวกเขาใช้โมดูลการรักษาความปลอดภัยของฮาร์ดแวร์ หมุนเวียนคีย์ตามกำหนดเวลาที่กำหนดไว้ และปกป้องคีย์ด้วยการแยกหน้าที่หรือไม่ การเข้ารหัสจะแข็งแกร่งเพียงใดนั้นขึ้นอยู่กับการจัดการคีย์ที่อยู่เบื้องหลัง
การแปลงเป็นโทเค็น
การแปลงเป็นโทเค็นจะลบหมายเลขบัตรที่เป็นข้อมูลดิบออกจากสภาพแวดล้อมของคุณและแทนที่ด้วยโทเค็นแบบสุ่มที่มีเพียงระบบของผู้ให้บริการเท่านั้นที่สามารถแก้ไขได้ กำหนดให้สิ่งนี้เป็นข้อกำหนด เช่น "ข้อมูลเจ้าของบัตรต้องมีการแปลงเป็นโทเค็น เพื่อไม่ให้ระบบของเราเห็นหรือจัดเก็บข้อมูลดิบ" ถามผู้ให้บริการว่าพวกเขารักษาความปลอดภัยของที่เก็บข้อมูลอย่างไรและสามารถนำโทเค็นกลับมาใช้ซ้ำสำหรับการเรียกเก็บเงินตามรอบบิล การชำระเงินตามรอบบิล หรือการคืนเงินได้หรือไม่
การตรวจสอบสิทธิ์และการควบคุมการเข้าถึง
ขอให้ผู้ให้บริการอธิบายวิธีรักษาความปลอดภัยในการเข้าถึงแพลตฟอร์มและ API ของตน การตรวจสอบสิทธิ์แบบหลายปัจจัยควรเป็นสิ่งจำเป็นสำหรับการเข้าถึงแดชบอร์ดในระดับผู้ดูแลระบบ การผสานการเข้าสู่ระบบครั้งเดียวกับผู้ให้บริการข้อมูลประจำตัวขององค์กรคุณจะได้รับการพิจารณาเป็นพิเศษ ขอรายละเอียดเกี่ยวกับการเข้าถึงตามบทบาทและเส้นทางการตรวจสอบ โดยถามว่า คุณสามารถกำหนดระดับการเข้าถึงที่แตกต่างกันให้กับสมาชิกแต่ละคนในทีมได้หรือไม่ และคุณสามารถติดตามว่าใครทำอะไรและเมื่อไหร่ได้หรือไม่ สำหรับ API ให้มองหาการควบคุมที่รับรองว่ามีเพียงระบบที่ได้รับอนุญาตเท่านั้นที่สื่อสารกัน เช่น คีย์ที่กำหนดขอบเขต โทเค็นชั่วคราว และการลงนาม Webhook
การตรวจสอบสิทธิ์ที่ลูกค้าต้องดำเนินการ
การป้องกันการฉ้อโกงมักจะเชื่อมโยงกับการตรวจสอบสิทธิ์ ผู้ให้บริการควรอธิบายว่าพวกเขารองรับ 3D Secure, การตรวจสอบสิทธิ์ด้วยไบโอเมตริกในกระเป๋าเงินดิจิทัล และการตรวจสอบสิทธิ์ที่เข้มข้นขึ้นในรูปแบบอื่นๆ อย่างไรเมื่อธุรกรรมดูมีความเสี่ยงหรือเมื่อกฎระเบียบกำหนด
ฉันจะระบุข้อกำหนดด้านการรักษาความปลอดภัยจากการชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอปไว้ใน RFP ได้อย่างไร
RFP ควรแสดงให้เห็นว่าการผสานกับระบบอุปกรณ์เคลื่อนที่ของผู้ให้บริการปกป้องข้อมูลบัตรอย่างเข้มงวดเทียบเท่ากับสภาพแวดล้อมบนเว็บหรือระบบบันทึกการขาย รวมถึงข้อมูลเฉพาะเกี่ยวกับวิธีการไหลของข้อมูลบัตรใน SDK, การรับรองว่าข้อมูลที่ละเอียดอ่อนจะไม่ส่งไปที่แอป, การรองรับกระเป๋าเงินในตัว และหลักฐานของการทดสอบการรักษาความปลอดภัยเชิงรุก การชำระเงินผ่านอุปกรณ์เคลื่อนที่จะมีความปลอดภัยเทียบเท่ากับการชำระเงินในช่องทางอื่นๆ ก็ต่อเมื่อผู้ให้บริการออกแบบการผสานการทำงานโดยคำนึงถึงประเด็นดังกล่าว
นี่คือจุดที่ควรเน้นในการตั้งคำถามใน RFP ของคุณ
SDK ที่สอดคล้องกับ PCI
สอบถามผู้ให้บริการว่า SDK สำหรับ iOS และ Android ได้รับการตรวจสอบการปฏิบัติตามข้อกำหนด PCI DSS หรือไม่ SDK ที่แข็งแกร่งจะไม่ปล่อยให้มีการส่งข้อมูลดิบของบัตรไปที่แอปของคุณ โดยจะเข้ารหัสข้อมูลบนอุปกรณ์และส่งตรงไปยังเซิร์ฟเวอร์ที่ปลอดภัยของผู้ให้บริการ โดยส่งคืนเฉพาะโทเค็นเท่านั้น
การรองรับกระเป๋าเงินและแพลตฟอร์ม
กระเป๋าเงินดิจิทัล (เช่น Apple Pay, Google Pay, Samsung Pay) ถือเป็นวิธีการชำระเงินที่ปลอดภัยที่สุดที่มีอยู่ คุณต้องกำหนดให้ผู้ให้บริการรองรับวิธีการเหล่านี้โดยตรง และให้อธิบายว่าโทเค็นที่สร้างขึ้นบนอุปกรณ์จะไหลผ่านระบบอย่างไร ผู้ให้บริการที่ดีจะเน้นย้ำว่าหมายเลขบัตรจริงจะไม่เล็ดลอดออกจากอุปกรณ์ของลูกค้า และการตรวจสอบสิทธิ์ด้วยไบโอเมตริกจะดำเนินการโดยตัวกระเป๋าเงินเอง
การปกป้องอุปกรณ์และแอป
ถามว่า SDK จัดการกับสภาพแวดล้อมที่ถูกบุกรุกอย่างไร SDK ตรวจจับอุปกรณ์ที่ถูกเจลเบรคหรือถูกปลดล็อกสิทธิ์ระดับสูง ป้องกันไม่ให้มีการบันทึกข้อมูลที่ละเอียดอ่อน และปกป้องคีย์ที่จัดเก็บไว้ในโทรศัพท์หรือไม่ คำตอบที่เหมาะสมจะอธิบายถึงมาตรการป้องกัน เช่น การปักใบรับรอง การจัดเก็บแบบจำกัด และการตรวจสอบรันไทม์ที่บล็อกการชำระเงินในสภาวะที่ไม่ปลอดภัย
การอัปเดตและการทดสอบ
ระบบนิเวศของอุปกรณ์เคลื่อนที่สามารถพัฒนาได้อย่างรวดเร็ว คุณต้องกำหนดให้ผู้ให้บริการอธิบายความถี่ในการอัปเดต SDK สำหรับแพตช์การรักษาความปลอดภัยและวิธีทดสอบช่องโหว่ มองหารอบเวลาการทดสอบการเจาะระบบอย่างสม่ำเสมอและความมุ่งมั่นที่จะเผยแพร่การอัปเดตเมื่อ iOS หรือ Android เวอร์ชันใหม่เปิดตัว
ควรขอความสามารถในการรายงานและการตรวจสอบอะไรบ้างใน RFP สำหรับการชำระเงิน
เครื่องมือการรายงานและการตรวจสอบเป็นวิธีที่ทีมการเงิน การรักษาความปลอดภัย และการปฏิบัติตามข้อกำหนดพิสูจน์ว่าการควบคุมได้ผล รวมถึงกระทบยอดเงิน และตอบสนองเมื่อหน่วยงานกำกับดูแลถามคำถามยากๆ ผู้ให้บริการที่ให้ความสำคัญกับการรายงานอย่างจริงจังจะอธิบายแดชบอร์ด, API, รายงานที่ปรับแต่งได้, เส้นทางการตรวจสอบ, ใบรับรองการปฏิบัติตามข้อกำหนด และการแจ้งเตือนในข้อกำหนดที่เป็นรูปธรรมพร้อมข้อมูลเฉพาะเกี่ยวกับระยะเวลาการเก็บรักษาข้อมูล รูปแบบ และการผสานการทำงาน โดย RFP ควรแสดงให้เห็นว่าผู้ให้บริการทำให้คุณสามารถมองเห็นสิ่งต่างๆ ได้อย่างแท้จริงหรือปล่อยให้คุณปะติดปะต่อสิ่งต่างๆ ด้วยตัวคุณเอง
นี่คือคุณสมบัติที่คุณควรสอบถามข้อมูลเพิ่มเติม
การรายงานธุรกรรมและการรายงานทางการเงิน
ถามว่ามีการรายงานอะไรบ้างสำหรับธุรกรรม การชำระเงิน การคืนเงิน การโต้แย้งการชำระเงิน และค่าธรรมเนียม มองหาแดชบอร์ดเรียลไทม์และ API ที่ทำให้คุณดึงข้อมูลที่ละเอียดเข้าสู่ระบบของคุณเอง สอบถามเกี่ยวกับรูปแบบและถามว่าคุณสามารถปรับแต่งรายงานตามตัวกรอง เช่น ช่วงวันที่ ภูมิศาสตร์ หรือวิธีการชำระเงินได้หรือไม่ หากทีมการเงินไม่สามารถกระทบยอดการเบิกจ่ายกับเงินฝากธนาคารได้อย่างง่ายดาย กระบวนการต่างๆ ในขั้นตอนท้ายๆ ก็อาจยากขึ้น
บันทึกการตรวจสอบกิจกรรมของระบบ
แพลตฟอร์มที่มีความเป็นมืออาชีพจะติดตามทุกการดำเนินการที่ละเอียดอ่อน เช่น การเข้าสู่ระบบ, การเปลี่ยนแปลงสิทธิ์, การสร้างคีย์ API, การคืนเงินที่ออกให้ และการตั้งค่าที่อัปเดต ระบุข้อกำหนดที่กำหนดให้ผู้ให้บริการต้องจัดเตรียมบันทึกการตรวจสอบโดยละเอียดสำหรับทั้งเหตุการณ์ของระบบและกิจกรรมผู้ใช้ ถามผู้ให้บริการว่าจะเก็บบันทึกไว้นานเพียงใดและบันทึกไม่สามารถเปลี่ยนแปลงได้ใช่หรือไม่ ความสามารถในการติดตามอย่างแม่นยำว่าใครทำอะไรและเมื่อใดนั้นเป็นสิ่งที่ไม่อาจต่อรองได้เมื่อคุณกำลังเผชิญกับการตรวจสอบภายในหรือกำลังสืบหากิจกรรมที่น่าสงสัย
การสนับสนุนการตรวจสอบการปฏิบัติตามข้อกำหนดภายนอก
ผู้ตรวจสอบของคุณเองอาจขอหลักฐานว่าผู้ให้บริการด้านการชำระเงินกำลังดำเนินการตามที่อ้างไว้ ขอให้ผู้ให้บริการอธิบายเอกสารที่พวกเขาจัดเตรียมไว้ให้ (เช่น SOC 1, SOC 2, ใบรับรอง ISO, การรับรอง PCI DSS) และวิธีการแชร์รายงานเหล่านั้น ผู้ให้บริการบางรายอาจเสนอเอกสารเหล่านี้ภายใต้ NDA ในขณะที่บางรายอาจมีพอร์ทัลลูกค้า
การตรวจสอบและการแจ้งเตือนแบบเรียลไทม์
สอบถามว่าผู้ให้บริการมีการแจ้งเตือนหรือ Webhook ที่กำหนดค่าได้ซึ่งจะแจ้งให้คุณทราบถึงความผิดปกติแบบเรียลไทม์หรือไม่ เช่น การดึงเงินคืนที่เพิ่มขึ้น กลุ่มการปฏิเสธการชำระเงินที่ผิดปกติ หรืออัตราความผิดพลาดของ API ที่มีแนวโน้มเพิ่มขึ้น ทีมไม่สามารถตอบสนองได้อย่างรวดเร็วหากไม่มีระบบแจ้งเตือนล่วงหน้า และ RFP ของคุณควรระบุให้ชัดเจนว่าการมองเห็นข้อมูลแบบเรียลไทม์เป็นสิ่งจำเป็น
การเข้าถึงและการเก็บรักษาข้อมูล
ประวัติการทำธุรกรรมและเส้นทางการตรวจสอบมักจะต้องถูกเก็บไว้เป็นเวลาหลายปีเพื่อให้เป็นไปตามหน่วยงานกำกับดูแลทางการเงิน ถามผู้ให้บริการว่า "รายงานและบันทึกการตรวจสอบจะถูกเก็บไว้นานแค่ไหน เราสามารถการส่งออกและเก็บถาวรรายงานและบันทึกดังกล่าวเพื่อปฏิบัติตามข้อกำหนดของเราเองได้หรือไม่" คำตอบที่เหมาะสมจะระบุชัดเจนว่าข้อมูลจะได้รับการเก็บรักษาไว้เป็นเวลาหลายปี โดยมีวิธีง่ายๆ การส่งออกหรือซิงค์ข้อมูลไปยังคลังสินค้าของคุณเอง
สัญญาณเตือนใดบ้างในคำตอบ RFP ของผู้ให้บริการที่บ่งชี้ถึงการรักษาความปลอดภัยที่ไม่รัดกุมหรือการปฏิบัติตามข้อกำหนดที่ไม่เพียงพอ
RFP ให้ความสำคัญกับการระบุสิ่งที่ขาดหายไปพอๆ กับการประเมินสิ่งที่เขียน ผู้ให้บริการที่แข็งแกร่งจะให้คำตอบที่ชัดเจนโดยมีข้อมูลเฉพาะและหลักฐานรองรับ หากข้อมูลไม่ครบถ้วน ข้อนี้ก็เป็นเหตุผลให้คุณชะลอการตัดสินใจและสอบถามรายละเอียดเพิ่มเติมก่อนที่จะไปต่อ
ต่อไปนี้คือสัญญาณเตือนหลักที่ควรระวังเมื่อประเมิน RFP
ภาษาคลุมเครือ
หากคำตอบอาศัยวลีต่างๆ เช่น "การรักษาความปลอดภัยที่ล้ำสมัย" โดยไม่ระบุชื่อมาตรฐาน โปรโตคอล หรือใบรับรองที่แท้จริง นั่นเป็นสัญญาณว่าผู้ให้บริการไม่สามารถหรือไม่ยอมให้รายละเอียด ผู้ให้บริการที่จริงจังจะอ้างอิงถึง PCI DSS, SOC 2, ISO 27001, วิธีการเข้ารหัสเฉพาะ และกระบวนการที่เป็นรูปธรรม
ขาดการตรวจสอบความถูกต้องจากหน่วยงานที่เป็นอิสระ
ผู้ให้บริการที่ประมวลผลการชำระเงินควรมีการตรวจสอบจากภายนอก หากพวกเขาไม่มีใบรับรอง PCI DSS หรือไม่สามารถจัดทำรายงาน SOC หรือ ISO ได้ ให้มองหาผู้ให้บริการรายอื่นแทน
แผนรับมือกับเหตุการณ์ที่ไม่ชัดเจน
RFP ควรแสดงกรอบเวลาที่เป็นรูปธรรมและแผนที่ผ่านการทดสอบแล้วสำหรับการแจ้งเตือนการละเมิดและแผนการกู้คืนที่บันทึกไว้ หากผู้ให้บริการเลี่ยงการตอบคำถามโดยให้คำตอบว่า "เราจะแจ้งให้ลูกค้าทราบตามความเหมาะสม" คุณก็รับประกันไม่ได้ว่าจะได้รับการสื่อสารอย่างทันท่วงทีเมื่อถึงเวลาสำคัญที่สุด
การโอนความรับผิดชอบ
ระวังคำตอบที่ส่งภาระผูกพันที่สำคัญกลับมาสู่ทีมของคุณ (เช่น "เรามอบเครื่องมือให้ แต่การปฏิบัติตามข้อกำหนดเป็นหน้าที่ของผู้ค้า") คุณจะมีความรับผิดชอบอยู่เสมอ แต่ผู้ให้บริการที่แข็งแกร่งจะแบ่งเบาภาระและให้การสนับสนุนอย่างชัดเจน
แนวทางปฏิบัติที่ล้าสมัย
การอ้างอิงถึงมาตรฐานที่ไม่เข้มงวดหรือล้าสมัย (เช่น MD5 สำหรับการแฮชรหัสผ่านหรือ PCI เวอร์ชันเก่ากว่า) ถือเป็นสัญญาณว่าระบบรักษาความปลอดภัยยังไม่ทันสมัย คุณควรคาดหวังการเข้ารหัสที่ทันสมัย, MFA สำหรับการเข้าถึงระดับผู้ดูแลระบบ และการสอดคล้องตาม PCI DSS ในปัจจุบัน
ความขัดแย้งหรือคำสัญญาเกินจริง
ความไม่สอดคล้องกันระหว่างคำตอบ (เช่น การอ้างว่าข้อมูลไม่ได้ถูกจัดเก็บไว้เลย แต่กลับกล่าวว่าข้อมูลถูกเข้ารหัสไว้ในขณะที่ไม่ได้ใช้งาน) บ่งบอกถึงความฉาบฉวยหรือการสื่อสารภายในที่ไม่ดี การรับประกันว่า "ปลอดการฉ้อโกง" หรือ "ระยะเวลาให้บริการ 100%" โดยไม่มีหลักฐานก็น่าสงสัยไม่แพ้กัน
Stripe Payments ช่วยได้อย่างไร
Stripe Payments มอบโซลูชันการชำระเงินระดับโลกแบบครบวงจรที่ช่วยให้ธุรกิจใดๆ ตั้งแต่สตาร์ทอัพที่กำลังเติบโตไปจนถึงองค์กรระดับโลกรับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกได้
Stripe Payments สามารถช่วยคุณทำสิ่งต่อไปนี้
- เพิ่มประสิทธิภาพให้ประสบการณ์การชำระเงินของคุณ: สร้างประสบการณ์ที่ราบรื่นให้กับลูกค้าและประหยัดเวลาในการทำงานวิศวกรรมได้หลายพันชั่วโมงด้วย UI การชำระเงินที่สร้างไว้ให้แล้ว, สิทธิ์เข้าถึงวิธีการชำระเงินมากกว่า 125 วิธี และ Link ซึ่งเป็นกระเป๋าเงินที่สร้างโดย Stripe
- ขยายไปสู่ตลาดใหม่ๆ ได้เร็วขึ้น: เข้าถึงลูกค้าทั่วโลกและลดความซับซ้อนและค่าใช้จ่ายในการจัดการหลายสกุลเงินด้วยตัวเลือกการชำระเงินข้ามพรมแดนที่มีให้บริการใน 195 ประเทศและกว่า 135 สกุลเงิน
- รวมการชำระเงินที่จุดขายและทางออนไลน์ไว้ด้วยกัน: สร้างประสบการณ์การค้าแบบแพลตฟอร์มรวมในช่องทางออนไลน์และที่จุดขายเพื่อปรับแต่งการโต้ตอบ ตอบแทนความภักดี และเพิ่มรายได้
- ปรับปรุงประสิทธิภาพการชำระเงิน: เพิ่มรายรับด้วยเครื่องมือการชำระเงินที่กำหนดเองได้และปรับแต่งได้ง่ายๆ ซึ่งรวมถึงระบบป้องกันการฉ้อโกงแบบไม่ต้องเขียนโค้ดและความสามารถขั้นสูงเพื่อเพิ่มอัตราการอนุมัติ
- เดินหน้าได้เร็วขึ้นด้วยแพลตฟอร์มที่ยืดหยุ่นและเชื่อถือได้เพื่อการเติบโต: สร้างบนแพลตฟอร์มที่ออกแบบมาเพื่อขยับขยายไปพร้อมกับคุณ โดยมีระยะเวลาให้บริการที่แทบจะไม่หยุดทำงานเลยในระยะเวลาที่ผ่านมา และมีความน่าเชื่อถือระดับแนวหน้าของวงการ
ดูเพิ่มเติมว่า Stripe Payments ช่วยให้คุณสามารถรับการชำระเงินออนไลน์และการชำระเงินที่จุดขายได้อย่างไร หรือเริ่มใช้งานเลยวันนี้