การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดในการชำระเงิน: แนวทางปฏิบัติที่ดีที่สุดสำหรับการเขียน RFP ที่เหมาะสม

คำแนะนำนี้จะสำรวจแนวทางปฏิบัติที่ดีที่สุดสำหรับการสอบถามเกี่ยวกับการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดในคำขอข้อเสนอโครงการ (RFP) สำหรับการชำระเงิน

Payments
Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด ตั้งแต่ธุรกิจสตาร์ทอัพไปจนถึงองค์กรใหญ่ระดับโลก

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. ข้อกำหนดด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดที่ควรระบุในแต่ละ RFP สำหรับการชำระเงินมีอะไรบ้าง
    1. การรับรองและการตรวจสอบในระดับอุตสาหกรรม
    2. การปฏิบัติตามข้อกำหนดของ PCI DSS
    3. การคุ้มครองข้อมูลและความเป็นส่วนตัว
    4. การป้องกันการฉ้อโกง
    5. การรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติ
    6. ความครอบคลุมการปฏิบัติตามข้อกำหนดทั่วโลก
    7. การควบคุมการรักษาความปลอดภัยของข้อมูลหลัก
    8. การชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอป
    9. การรายงานและความสามารถในการตรวจสอบ
  3. ฉันจะเขียนข้อกำหนด PCI DSS ลงใน RFP สำหรับการชำระเงินได้อย่างไร
    1. ระบุชัดเจนเกี่ยวกับระดับและการพิสูจน์
    2. ยืนกรานให้มีการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง
    3. ชี้แจงความรับผิดชอบร่วมกัน
  4. ฉันควรถามคำถามพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลและความเป็นส่วนตัวอะไรบ้าง
    1. ข้อมูลถูกจัดเก็บและประมวลผลที่ไหน
    2. ข้อมูลส่วนตัวได้รับการคุ้มครองอย่างไร
    3. คุณปฏิบัติตามกฎหมายความเป็นส่วนตัวใดบ้าง และมีสัญญาหรือเอกสารใดที่ยืนยันได้
    4. นโยบายการเก็บรักษาและการลบข้อมูลของคุณเป็นอย่างไร
    5. ใครคือผู้ประมวลผลช่วงของคุณ และพวกเขาได้รับการตรวจสอบอย่างไร
    6. ขั้นตอนการแจ้งการละเมิดเป็นอย่างไร
  5. ฉันจะประเมินการป้องกันการฉ้อโกงของผู้ให้บริการใน RFP ได้อย่างไร
    1. ระบบตรวจจับการฉ้อโกง
    2. การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม
    3. ตัวชี้วัดที่ติดตาม
    4. ความสามารถในการปรับแต่ง
    5. การปกป้องที่ครอบคลุมทุกวิธีการ
    6. การจัดการการโต้แย้งการชำระเงิน
  6. ผู้ให้บริการควรให้รายละเอียดการรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติอะไรบ้าง
    1. แผนรับมือกับเหตุการณ์
    2. การสื่อสารเกี่ยวกับการละเมิด
    3. แผนการกู้คืนจากภัยพิบัติและความต่อเนื่องทางธุรกิจ
    4. โครงสร้างพื้นฐานสำรอง
  7. ฉันจะถามเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดทั่วโลกใน RFP ได้อย่างไร
    1. PSD2 และการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม
    2. การปกป้องข้อมูลและ GDPR
    3. การคว่ำบาตรและการคัดกรอง OFAC
    4. กฎระเบียบระดับภูมิภาคและการแปลให้เหมาะกับแต่ละประเทศ
    5. การออกใบอนุญาตและการกำกับดูแลด้านกฎระเบียบ
  8. ฉันควรต้องการอะไรจากผู้ให้บริการเกี่ยวกับการเข้ารหัส การแปลงเป็นโทเค็น และการตรวจสอบสิทธิ์
    1. การเข้ารหัส
    2. การแปลงเป็นโทเค็น
    3. การตรวจสอบสิทธิ์และการควบคุมการเข้าถึง
    4. การตรวจสอบสิทธิ์ที่ลูกค้าต้องดำเนินการ
  9. ฉันจะระบุข้อกำหนดด้านการรักษาความปลอดภัยจากการชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอปไว้ใน RFP ได้อย่างไร
    1. SDK ที่สอดคล้องกับ PCI
    2. การรองรับกระเป๋าเงินและแพลตฟอร์ม
    3. การปกป้องอุปกรณ์และแอป
    4. การอัปเดตและการทดสอบ
  10. ควรขอความสามารถในการรายงานและการตรวจสอบอะไรบ้างใน RFP สำหรับการชำระเงิน
    1. การรายงานธุรกรรมและการรายงานทางการเงิน
    2. บันทึกการตรวจสอบกิจกรรมของระบบ
    3. การสนับสนุนการตรวจสอบการปฏิบัติตามข้อกำหนดภายนอก
    4. การตรวจสอบและการแจ้งเตือนแบบเรียลไทม์
    5. การเข้าถึงและการเก็บรักษาข้อมูล
  11. สัญญาณเตือนใดบ้างในคำตอบ RFP ของผู้ให้บริการที่บ่งชี้ถึงการรักษาความปลอดภัยที่ไม่รัดกุมหรือการปฏิบัติตามข้อกำหนดที่ไม่เพียงพอ
    1. ภาษาคลุมเครือ
    2. ขาดการตรวจสอบความถูกต้องจากหน่วยงานที่เป็นอิสระ
    3. แผนรับมือกับเหตุการณ์ที่ไม่ชัดเจน
    4. การโอนความรับผิดชอบ
    5. แนวทางปฏิบัติที่ล้าสมัย
    6. ความขัดแย้งหรือคำสัญญาเกินจริง
  12. Stripe Payments ช่วยได้อย่างไร

ในปี 2024 การละเมิด 35.5% เชื่อมโยงกับผู้ให้บริการบุคคลที่สาม และเมื่อคุณทำงานกับผู้ประมวลผลการชำระเงิน การละเมิดประเภทนี้จะยิ่งมีความเสี่ยงมากขึ้นไปอีก นั่นเป็นเหตุผลที่การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นสิ่งที่ไม่สามารถต่อรองได้ในคำขอการชำระเงินสำหรับข้อเสนอ (RFP) ใดๆ ก็ตาม RFP ของคุณควรกำหนดว่าผู้ประมวลผลการชำระเงินควรปกป้องข้อมูลที่ละเอียดอ่อนอย่างไร ควรตอบสนองต่อเหตุการณ์เร็วเพียงใด และช่วยให้คุณปฏิบัติตามข้อกำหนดด้านกฎระเบียบได้ดีเพียงใด คุณต้องถามให้ถูกคำถามตั้งแต่ต้นและเรียกร้องคำตอบพร้อมหลักฐาน ด้านล่างนี้ เราจะกล่าวถึงแนวทางปฏิบัติที่ดีที่สุดทั้งหมดสำหรับการสอบถามเกี่ยวกับการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดใน RFP สำหรับการชำระเงิน

เนื้อหาหลักในบทความ

  • ข้อกำหนดด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดที่ควรระบุในแต่ละ RFP สำหรับการชำระเงินมีอะไรบ้าง
  • ฉันจะเขียนข้อกำหนด PCI DSS ลงใน RFP สำหรับการชำระเงินได้อย่างไร
  • ฉันควรถามคำถามพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลและความเป็นส่วนตัวอะไรบ้าง
  • ฉันจะประเมินการป้องกันการฉ้อโกงของผู้ให้บริการใน RFP ได้อย่างไร
  • ผู้ให้บริการควรให้รายละเอียดการรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติอะไรบ้าง
  • ฉันจะถามเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดทั่วโลกใน RFP ได้อย่างไร
  • ฉันควรต้องการอะไรจากผู้ให้บริการเกี่ยวกับการเข้ารหัส การแปลงเป็นโทเค็น และการตรวจสอบสิทธิ์
  • ฉันจะระบุข้อกำหนดด้านการรักษาความปลอดภัยจากการชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอปไว้ใน RFP ได้อย่างไร
  • ควรขอความสามารถในการรายงานและการตรวจสอบอะไรบ้างใน RFP สำหรับการชำระเงิน
  • สัญญาณเตือนใดบ้างในคำตอบ RFP ของผู้ให้บริการที่บ่งชี้ถึงการรักษาความปลอดภัยที่ไม่รัดกุมหรือการปฏิบัติตามข้อกำหนดที่ไม่เพียงพอ
  • Stripe Payments ช่วยได้อย่างไร

ข้อกำหนดด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดที่ควรระบุในแต่ละ RFP สำหรับการชำระเงินมีอะไรบ้าง

เมื่อคุณจัดทำ RFP สำหรับการชำระเงิน ส่วนการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดคือส่วนที่คุณจะกำหนดความคาดหวังพื้นฐานที่ผู้ให้บริการที่จริงจังทุกรายควรปฏิบัติตาม RFP ของคุณควรบังคับให้ผู้ให้บริการแสดงให้เห็นถึงการรักษาความปลอดภัยที่เข้มงวดและผ่านการตรวจสอบจากหน่วยงานที่เป็นอิสระในทุกด้านเหล่านี้

นี่คือสิ่งที่ทำให้ผู้ให้บริการมีคุณสมบัติเหมาะสม

การรับรองและการตรวจสอบในระดับอุตสาหกรรม

ขอให้ผู้ให้บริการแสดงหลักฐานการรับรองและการตรวจสอบ: PCI DSS (มาตรฐานการรักษาความปลอดภัยของข้อมูลในอุตสาหกรรมบัตรชำระเงิน) สำหรับข้อมูลบัตร, ISO/IEC 27001 สำหรับการรักษาความปลอดภัยของข้อมูล และ SOC 2 ประเภท II สำหรับการควบคุมการปฏิบัติงาน การรับรองเหล่านี้ยืนยันว่าผู้ตรวจสอบภายนอกได้ตรวจสอบแนวทางปฏิบัติของผู้ให้บริการแล้ว

การปฏิบัติตามข้อกำหนดของ PCI DSS

กำหนดให้ผู้ให้บริการต้องเป็นไปตามข้อกำหนดของ PCI DSS ในระดับสูงสุดที่เกี่ยวข้องกับผู้ให้บริการ (ระดับ 1) ขอใบรับรองการปฏิบัติตามข้อกำหนด (AOC) ปัจจุบันจากผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA) เพื่อเป็นหลักฐานอย่างเป็นทางการ

การคุ้มครองข้อมูลและความเป็นส่วนตัว

สอบถามผู้ให้บริการว่าพวกเขาปกป้องข้อมูลลูกค้าทั้งหมดอย่างไร รวมถึงรายละเอียดส่วนบุคคล ที่อยู่การเรียกเก็บเงิน และรหัสประจำตัว สอบถามว่าข้อมูลเหล่านั้นถูกจัดเก็บไว้ที่ใดในทางภูมิศาสตร์ ข้อมูลมีการเข้ารหัสอย่างไร และมีการควบคุมการเข้าถึงอย่างไร ตรวจสอบให้แน่ใจว่าผู้ให้บริการจะลงนามในข้อตกลงการประมวลผลข้อมูลและรองรับกฎหมายความเป็นส่วนตัว เช่นGDPR และCCPA

การป้องกันการฉ้อโกง

ระบุคำถามเกี่ยวกับความสามารถการป้องกันการฉ้อโกง ผู้ให้บริการใช้แมชชีนเลิร์นนิง กลไกกฎ และการตรวจสอบสิทธิ์แบบ 3D Secure หรือไม่ พวกเขาหาสมดุลระหว่างการหยุดการฉ้อโกงกับการรักษาอัตราการอนุมัติให้อยู่ในระดับสูงได้อย่างไร คำตอบสำหรับ RFP ของผู้ให้บริการควรทำให้คุณมั่นใจว่าพวกเขาจะช่วยลดการดึงเงินคืนและการสูญเสียจากการฉ้อโกงโดยไม่ทำให้ลูกค้าที่ชอบด้วยกฎหมายต้องหงุดหงิด

การรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติ

ผู้ให้บริการทุกรายควรมีแผนสำหรับการละเมิดและการหยุดทำงาน ถามว่าพวกเขาตรวจพบและรับมือกับเหตุการณ์อย่างไร พวกเขาจะแจ้งให้คุณทราบเร็วแค่ไหนหากข้อมูลของคุณได้รับผลกระทบ และเป้าหมายการกู้คืนข้อมูลหลักเป็นอย่างไร (RTO หรือ RPO)

ความครอบคลุมการปฏิบัติตามข้อกำหนดทั่วโลก

หากคุณดำเนินธุรกิจระหว่างประเทศ ผู้ให้บริการของคุณจำเป็นต้องปฏิบัติตามกฎระเบียบท้องถิ่น เพื่อไม่ให้เกิดเหตุการณ์ไม่คาดฝัน สอบถามเกี่ยวกับ PSD2 และการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมในยุโรป การคัดกรองการคว่ำบาตรในสหรัฐอเมริกา และกฎการแปลข้อมูลในประเทศต่างๆ เช่น อินเดีย ผู้ให้บริการระดับโลกควรสามารถชี้ให้เห็นถึงระบบและใบอนุญาตที่ครอบคลุมข้อกำหนดเหล่านี้ได้

การควบคุมการรักษาความปลอดภัยของข้อมูลหลัก

ระบุข้อกำหนดเกี่ยวกับการเข้ารหัส การแปลงเป็นโทเค็น และการตรวจสอบสิทธิ์ ข้อมูลควรได้รับการเข้ารหัสระหว่างการส่งและขณะที่ไม่ได้ใช้งานด้วยมาตรฐานที่ทันสมัย ข้อมูลที่ละเอียดอ่อนควรได้รับการแปลงเป็นโทเค็นเพื่อไม่ให้คุณเข้าถึงข้อมูลโดยตรง และระบบของผู้ให้บริการควรบังคับใช้การตรวจสอบสิทธิ์ที่รัดกุมสำหรับผู้ใช้ภายใน

การชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอป

หากธุรกิจของคุณทำงานบนอุปกรณ์เคลื่อนที่ ให้ระบุข้อกำหนดเฉพาะสำหรับสภาพแวดล้อมนั้น สอบถามเกี่ยวกับการรักษาความปลอดภัยของชุดพัฒนาซอฟต์แวร์ (SDK) และถามว่าข้อมูลที่ละเอียดอ่อนจะข้ามเซิร์ฟเวอร์ของคุณเพื่อลดขอบเขต PCI หรือไม่ และพวกเขารองรับกระเป๋าเงินดิจิทัล เช่น Apple Pay และ Google Pay อย่างไร

การรายงานและความสามารถในการตรวจสอบ

ผู้ให้บริการควรจัดทำรายงานธุรกรรม การวิเคราะห์การฉ้อโกงและการโต้แย้งการชำระเงิน รวมถึงบันทึกการตรวจสอบระบบที่ติดตามการดำเนินการด้านการดูแลระบบ คุณควรมีสิทธิ์เข้าถึงข้อมูลของคุณมากพอที่จะสามารถดำเนินการตรวจสอบและปฏิบัติตามภาระผูกพันในการปฏิบัติตามข้อกำหนดของคุณเองได้

ฉันจะเขียนข้อกำหนด PCI DSS ลงใน RFP สำหรับการชำระเงินได้อย่างไร

PCI DSS เป็นกฎเกณฑ์สากลสำหรับข้อมูลบัตร ใน RFP ของคุณ การปฏิบัติตามข้อกำหนด PCI DSS ควรระบุราวกับเป็นข้อสัญญา คุณต้องขอการรับรองระดับ 1 พร้อมหลักฐานและตรวจสอบให้แน่ใจว่าพวกเขามุ่งมั่นที่จะปฏิบัติตามข้อกำหนดเมื่อมาตรฐานมีการพัฒนา

ต่อไปนี้คือวิธีตรวจสอบให้แน่ใจว่าภาษา RFP ไม่ทำให้เกิดความสับสนและไม่เปิดช่องให้ตีความต่างออกไป

ระบุชัดเจนเกี่ยวกับระดับและการพิสูจน์

ระบุอย่างชัดเจนว่าผู้ให้บริการต้องเป็นไปตามข้อกำหนดของผู้ให้บริการ PCI DSS ระดับ 1 ซึ่งเป็นเครื่องยืนยันอย่างดีว่าพวกเขาดำเนินการตามมาตรฐานในระดับที่เหมาะสม

ยืนกรานให้มีการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง

ข้อกำหนด PCI DSS ยังคงพัฒนาอย่างต่อเนื่อง ใน RFP คุณควรถามว่าผู้ให้บริการจะยังคงปฏิบัติตามข้อกำหนดอยู่เสมอได้อย่างไร โดยถามว่า "ยืนยันว่าคุณจะยังคงปฏิบัติตามข้อกำหนดของ PCI ตลอดอายุสัญญา และอธิบายว่าคุณจะปรับตัวให้เข้ากับ PCI DSS เวอร์ชันใหม่ได้อย่างไร" คำตอบควรกล่าวถึงการตรวจสอบประจำปี การสแกนรายไตรมาส และการตรวจสอบอย่างต่อเนื่อง

ชี้แจงความรับผิดชอบร่วมกัน

แม้จะมีผู้ให้บริการที่ปฏิบัติตามข้อกำหนดแล้ว แต่ภาระผูกพันของ PCI บางอย่างก็ยังตกอยู่กับคุณ คุณต้องระบุสิ่งนี้ใน RFP โดยถามว่า "ข้อกำหนด PCI DSS ใดที่ยังคงเป็นความรับผิดชอบของเรา และคุณจะสนับสนุนให้เราปฏิบัติตามข้อกำหนดเหล่านี้อย่างไร" มองหาผู้ให้บริการที่ช่วยลดภาระด้วยวิธีการต่างๆ เช่น การกรอกแบบสอบถามการประเมินตนเอง (SAQ) ของ PCI ล่วงหน้าหรือการให้คำแนะนำโดยละเอียด

ฉันควรถามคำถามพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลและความเป็นส่วนตัวอะไรบ้าง

ชื่อ ที่อยู่ อีเมล และ ID อุปกรณ์ล้วนเป็นข้อมูลที่ละเอียดอ่อนด้วยเช่นกัน ผู้ให้บริการที่เหมาะสมจะสามารถบอกคุณได้อย่างชัดเจนว่าข้อมูลของลูกค้าอยู่ที่ไหน ได้รับการปกป้องอย่างไร เก็บไว้นานแค่ไหน และจะเกิดอะไรขึ้นหากเกิดปัญหา

นี่คือคำถามที่คุ้มค่าที่จะถาม

ข้อมูลถูกจัดเก็บและประมวลผลที่ไหน

เขตอำนาจศาลมีความสำคัญ ขอให้ผู้ให้บริการระบุประเทศที่มีการจัดเก็บข้อมูลลูกค้า และถามว่าพวกเขาเสนอตัวเลือกการโฮสต์ระดับภูมิภาคหรือไม่ คำตอบที่โปร่งใสจะระบุชื่อสถานที่ อธิบายกรอบกฎหมายที่ใช้ และอธิบายวิธีจัดการการโอนข้ามพรมแดน

ข้อมูลส่วนตัวได้รับการคุ้มครองอย่างไร

การเข้ารหัส การควบคุมการเข้าถึง และการตรวจสอบควรมีการกล่าวถึงทันที สอบถามเกี่ยวกับวิธีการที่แน่นอน เช่น AES-256 สำหรับข้อมูลที่ไม่ได้ใช้งาน, TLS 1.2+ สำหรับข้อมูลที่อยู่ระหว่างการส่ง และการเข้าถึงตามบทบาทโดยใช้หลักสิทธิ์น้อยที่สุด เจาะลึกรายละเอียดเกี่ยวกับบันทึกการตรวจสอบว่าใครเข้าถึงบันทึกใด เมื่อใด และเพื่อวัตถุประสงค์อะไร คุณต้องขอหลักฐานยืนยันว่าทุกจุดที่มีการเข้าถึงข้อมูลถูกตรวจสอบทั้งหมด

คุณปฏิบัติตามกฎหมายความเป็นส่วนตัวใดบ้าง และมีสัญญาหรือเอกสารใดที่ยืนยันได้

ผู้ให้บริการควรระบุอย่างชัดเจนเกี่ยวกับ GDPR, CCPA และกฎหมายอื่นๆ ที่เกี่ยวข้อง RFP ควรกำหนดให้มีข้อตกลงการประมวลผลข้อมูลที่สอดคล้องกับ GDPR และหลักฐานเกี่ยวกับวิธีจัดการกับสิทธิ์ของเจ้าของข้อมูล เช่น การเข้าถึงและการลบ หากผู้ให้บริการมีใบรับรองหรือมีส่วนร่วมในกรอบการทำงานที่เป็นที่ยอมรับ ผู้ให้บริการก็ควรที่จะระบุไว้ในการประเมิน

นโยบายการเก็บรักษาและการลบข้อมูลของคุณเป็นอย่างไร

ถามว่าพวกเขาเก็บธุรกรรมและข้อมูลส่วนตัวไว้นานแค่ไหน และมีกระบวนการใดบ้างในการลบหรือทำให้เป็นข้อมูลไม่ระบุตัวตน มองหานโยบายที่มีโครงสร้าง เช่น กรอบเวลาเฉพาะสำหรับการเก็บรักษา การล้างข้อมูลอัตโนมัติ และความสามารถในการดำเนินการตามคำขอลบข้อมูลอย่างรวดเร็ว

ใครคือผู้ประมวลผลช่วงของคุณ และพวกเขาได้รับการตรวจสอบอย่างไร

หากผู้ให้บริการพึ่งพาผู้ให้บริการระบบคลาวด์หรือบุคคลที่สาม พวกเขาควรเปิดเผยว่าผู้ให้บริการเหล่านั้นคือใคร และแสดงให้เห็นว่าพาร์ทเนอร์เหล่านั้นมีมาตรฐานเดียวกัน คำตอบที่เหมาะสมจะอธิบายถึงการตรวจสอบข้อมูล ภาระผูกพันตามสัญญา และใบรับรองสำหรับผู้ประมวลผลข้อมูลย่อย

ขั้นตอนการแจ้งการละเมิดเป็นอย่างไร

ขอนโยบายเป็นลายลักษณ์อักษรสำหรับการรายงานเหตุการณ์ สอบถามเกี่ยวกับลำดับเวลา (คุณจะได้รับแจ้งเกี่ยวกับการละเมิดภายในกี่ชั่วโมง) และรายละเอียดที่จะแจ้งให้ทราบ คำตอบที่ดีที่สุดควรกล่าวถึงข้อมูลเฉพาะเกี่ยวกับช่องทางการสื่อสารและการรายงานหลังเหตุการณ์พร้อมขั้นตอนการแก้ไข

ฉันจะประเมินการป้องกันการฉ้อโกงของผู้ให้บริการใน RFP ได้อย่างไร

การฉ้อโกงทุกเปอร์เซ็นต์ที่เล็ดลอดออกมาอาจกัดกินรายรับและทำลายความไว้วางใจของลูกค้า การตรวจจับที่ผิดพลาดแต่ละครั้งที่บล็อกธุรกรรมที่ชอบด้วยกฎหมายอาจทำให้คุณเสียโอกาสในการขาย ผู้ให้บริการที่แข็งแกร่งที่สุดจะพูดถึงรายละเอียดเฉพาะต่างๆ เช่น โมเดลแมชชีนเลิร์นนิงที่ปรับแต่งจากจุดข้อมูลหลายพันล้านจุด แดชบอร์ดที่กำหนดค่าได้ อัตราการฉ้อโกงที่เป็นรูปธรรม และขั้นตอนการรับรองความถูกต้องในตัว พวกเขาเข้าใจว่าการป้องกันการฉ้อโกงกับการเปลี่ยนเป็นผู้ใช้ต้องมีความสมดุล และจะแสดงให้เห็นว่าพวกเขาจะช่วยคุณจัดการเรื่องนี้ได้

นี่คือสิ่งที่คุณต้องค้นหา

ระบบตรวจจับการฉ้อโกง

ขอให้ผู้ให้บริการอธิบายระบบการตรวจจับการฉ้อโกงโดยละเอียด มองหาแนวทางที่มีหลายชั้น เช่น แมชชีนเลิร์นนิงที่ได้รับการฝึกฝนจากชุดข้อมูลขนาดใหญ่ กฎที่กำหนดค่าได้ การตรวจสอบเอกลักษณ์ของอุปกรณ์ การตรวจสอบความถี่ และสัญญาณทางลักษณะ ผู้ให้บริการที่ดีที่สุดจะผสานการให้คะแนนอัตโนมัติเข้ากับตัวเลือกต่างๆ เพื่อดำเนินการตรวจสอบด้วยตนเองและส่งข้อมูลกลับอย่างต่อเนื่อง หากพวกเขากล่าวถึงข้อมูลกลุ่ม (สัญญาณที่รวบรวมจากธุรกิจหลายแห่ง) นั่นเป็นสัญญาณว่าโมเดลของพวกเขากำลังเรียนรู้จากขอบเขตที่กว้างเกินกว่าธุรกรรมของคุณ

การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม

การควบคุมการฉ้อโกงเชื่อมโยงโดยตรงกับการตรวจสอบสิทธิ์ คุณต้องกำหนดให้ผู้ให้บริการอธิบายว่าพวกเขาสนับสนุนวิธีการต่างๆ เช่น 3D Secure, รหัสผ่านแบบใช้ครั้งเดียว หรือการตรวจสอบข้อมูลไบโอเมตริกอย่างไร สำหรับธุรกิจที่ดำเนินงานในยุโรป นี่คือข้อกำหนด PSD2 แม้แต่นอกยุโรป การมีการตรวจสอบสิทธิ์ที่เข้มข้นขึ้นก็เป็นสิ่งสำคัญสำหรับธุรกรรมที่มีความเสี่ยงสูงหรือน่าสงสัย คุณต้องมองหาผู้ให้บริการที่สามารถใช้ขั้นตอนเหล่านี้ได้โดยไม่ต้องให้คุณสร้างเอง

ตัวชี้วัดที่ติดตาม

ขอข้อมูลเกี่ยวกับตัวชี้วัด เช่น อัตราการฉ้อโกง อัตราการดึงเงินคืน อัตราการตรวจพบที่ผิดพลาด และอัตราการอนุมัติ คุณกำลังมองหาผู้ให้บริการที่สามารถอธิบายข้อดีข้อเสียได้อย่างชัดเจน เช่น อัตราการอนุมัติที่สูงควบคู่ไปกับการฉ้อโกงต่ำและความยุ่งยากน้อยที่สุด หากพวกเขาเสนอการคุ้มครองการดึงเงินคืนหรือโปรแกรมโอนความรับผิด นั่นแสดงให้เห็นว่าพวกเขามั่นใจในระบบของตน แต่คุณยังต้องเข้าใจว่าพวกเขาได้รับผลลัพธ์อย่างไรด้วย

ความสามารถในการปรับแต่ง

แต่ละธุรกิจมีระดับการยอมรับความเสี่ยงที่แตกต่างกัน บางธุรกิจต้องให้การอัตราการเปลี่ยนเป็นลูกค้าอยู่ในระดับสูงสุด แม้ว่าจะหมายถึงการโต้แย้งการชำระเงินที่มากขึ้นก็ตาม ในขณะที่บางธุรกิจเลือกที่จะเพิ่มความยุ่งยากให้กับลูกค้าเพื่อลดการฉ้อโกง ลองสอบถามดูว่าคุณสามารถปรับแต่งกฎเกี่ยวกับการฉ้อโกง ปรับเกณฑ์ความเสี่ยง และกำหนดบัญชีที่อนุญาตหรือบัญชีดำสำหรับสถานการณ์บางอย่างได้หรือไม่ ผู้ให้บริการที่แข็งแกร่งจะเสนอแดชบอร์ดที่คุณสามารถเขียนกฎต่างๆ เช่น "ตั้งค่าสถานะธุรกรรมที่มีมูลค่ามากกว่า 5,000 ดอลลาร์สหรัฐจากลูกค้าใหม่" หรือ "ต้องใช้ 3D Secure สำหรับคำสั่งซื้อครั้งแรกทั้งหมดจากประเทศ X" ความยืดหยุ่นดังกล่าวเป็นสัญญาณของความเป็นมืออาชีพ

การปกป้องที่ครอบคลุมทุกวิธีการ

การฉ้อโกงเกิดขึ้นทุกที่ ไม่ว่าจะเป็นการชำระเงินแบบเรียลไทม์ กระเป๋าเงินดิจิทัล การซื้อตอนนี้ จ่ายทีหลัง และอื่นๆ อีกมากมาย RFP ของคุณควรถามว่าผู้ให้บริการตรวจสอบวิธีการเหล่านี้อย่างไร พวกเขาตรวจสอบบัญชีธนาคาร คัดกรองผู้รับการเบิกจ่ายจากราวชื่อที่ถูกคว่ำบาตร หรือตรวจจับการยึดบัญชีหรือไม่ ผู้ให้บริการที่พูดถึงแต่การฉ้อโกงบัตรเพียงอย่างเดียวอาจทำให้คุณตกอยู่ในความเสี่ยงจากช่องทางอื่น

การจัดการการโต้แย้งการชำระเงิน

การป้องกันการฉ้อโกงและการจัดการโต้แย้งการชำระเงินต้องดำเนินการควบคู่กัน ถามผู้ให้บริการว่าพวกเขารับมือกับการดึงเงินคืนอย่างไร พวกเขารวบรวมหลักฐานโดยอัตโนมัติ แจ้งเตือนการโต้แย้งการชำระเงิน หรือเสนอการวิเคราะห์สาเหตุที่แท้จริงหรือไม่ แม้แต่ระบบที่ดีที่สุดก็ไม่สามารถตรวจจับทุกอย่างได้ ดังนั้นความสามารถในการจำกัดผลกระทบเมื่อเกิดการฉ้อโกงจึงมีความสำคัญเช่นกัน

ผู้ให้บริการควรให้รายละเอียดการรับมือกับเหตุการณ์และการกู้คืนจากภัยพิบัติอะไรบ้าง

วิธีที่ผู้ให้บริการเตรียมพร้อมสำหรับการละเมิดและการหยุดทำงานบอกอะไรได้มากมายเกี่ยวกับความเป็นมืออาชีพของพวกเขา คำตอบที่เหมาะสมจะต้องระบุแผนการรับมือกับเหตุการณ์ที่ผ่านการทดสอบแล้ว การแจ้งเตือนการละเมิดที่รวดเร็ว วัตถุประสงค์ในการกู้คืนที่วัดผลได้ โครงสร้างพื้นฐานที่สร้างขึ้นเพื่อความยืดหยุ่น และโปรโตคอลการสื่อสารที่ช่วยให้คุณไม่พลาดข่าวสาร โดยลำดับเวลา ตัวชี้วัด และความถี่ในการทดสอบคือสัญญาณความพร้อมรับมือ

นี่คือสิ่งที่คุณจะต้องรู้

แผนรับมือกับเหตุการณ์

ขอให้ผู้ให้บริการจัดเตรียมคู่มือการจัดการกับเหตุการณ์ด้านความปลอดภัย คำตอบที่เหมาะสมจะอ้างอิงถึงแผนอย่างเป็นทางการที่ครอบคลุมการตรวจจับ การกักกัน การสืบสวน และการกู้คืน ผู้ให้บริการที่ดีที่สุดจะทดสอบแผนเหล่านี้ผ่านการซ้อมจริงเป็นประจำหรือการซ้อมแผนบนโต๊ะ และอัปเดตแผนหลังจากเกิดเหตุการณ์จริง คุณต้องมองหาพาร์ทเนอร์ที่ฝึกฝนให้ทีมพร้อมรับมือกับเหตุการณ์

การสื่อสารเกี่ยวกับการละเมิด

ขอรายละเอียดเฉพาะ: "คุณจะแจ้งให้เราทราบถึงการละเมิดที่ได้รับการยืนยันแล้วภายในกี่ชั่วโมง คุณจะให้รายละเอียดอะไรบ้าง" ผู้ให้บริการที่มีศักยภาพจะยืนยันกรอบเวลาที่ชัดเจน (เช่น 24 ถึง 72 ชั่วโมง) และอธิบายข้อมูลที่พวกเขาจะเปิดเผย ได้แก่ ขอบเขต ข้อมูลที่ได้รับผลกระทบ ขั้นตอนการแก้ไข และการอัปเดตอย่างต่อเนื่อง คุณต้องขอความชัดเจนเกี่ยวกับเส้นทางการแจ้งปัญหาและผู้ติดต่อด้วย เช่น ใครจะเป็นผู้โทรหาคุณ จะติดต่อบ่อยแค่ไหน และผ่านช่องทางใด พวกเขาจะให้ข้อมูลการวิเคราะห์สาเหตุที่แท้จริงหลังเหตุการณ์หรือไม่ คุณต้องมองหาผู้ให้บริการที่ปฏิบัติต่อคุณในฐานะพาร์ทเนอร์ในการกู้คืนจากความเสียหาย

แผนการกู้คืนจากภัยพิบัติและความต่อเนื่องทางธุรกิจ

สอบถามเกี่ยวกับเป้าหมายระยะเวลาการกู้คืน (RTO) และเป้าหมายจุดกู้คืน (RPO) ตัวชี้วัดเหล่านี้จะกำหนดว่าระบบกลับมาออนไลน์ได้เร็วเพียงใดและข้อมูลอาจสูญหายไปมากน้อยเพียงใด มองหาตัวเลขที่เป็นรูปธรรมและหลักฐานการมีระบบสำรองในหลายพื้นที่ทางภูมิศาสตร์ (เช่น ศูนย์ข้อมูลหลายแห่ง พื้นที่คลาวด์ที่พร้อมจะเข้ามาแทนที่หากศูนย์ใดศูนย์หนึ่งล้มเหลว) ผู้ให้บริการที่ไม่สามารถอธิบายรายละเอียดเหล่านี้ได้อาจไม่ได้ทดสอบแผนของตน

โครงสร้างพื้นฐานสำรอง

สอบถามเกี่ยวกับเครื่องกำเนิดไฟฟ้าสำรอง ผู้ให้บริการอินเทอร์เน็ตหลายราย การสลับไปใช้ระบบสำรองโดยอัตโนมัติ และการสำรองข้อมูลอย่างต่อเนื่อง ถามว่าพวกเขาทดสอบกระบวนการสลับไปใช้ระบบสำรองบ่อยแค่ไหน ผู้ให้บริการบางรายเผยแพร่รายงานหลังเกิดเหตุขัดข้องเพื่อแสดงให้เห็นถึงความรับผิดชอบ โดยความโปร่งใสในระดับนี้ถือเป็นสัญญาณของความมั่นใจ

ฉันจะถามเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดทั่วโลกใน RFP ได้อย่างไร

หากคุณดำเนินธุรกิจในหลายตลาด (หรือมีแผนที่จะทำเช่นนั้น) RFP ของคุณต้องแสดงให้เห็นว่าผู้ให้บริการสามารถทำให้คุณปฏิบัติตามข้อกำหนดได้จริงในทุกที่ที่คุณมีลูกค้าหรือไม่ ผู้ให้บริการที่แข็งแกร่งที่สุดจะถือว่าการปฏิบัติตามข้อกำหนดเป็นส่วนหนึ่งของผลิตภัณฑ์ของตน พวกเขาจะกล่าวถึงระบบอัตโนมัติเกี่ยวกับ PSD2, แนวทางปฏิบัติด้านความเป็นส่วนตัวที่เป็นรูปธรรม, การตรวจสอบการคว่ำบาตรที่ฝังอยู่ในการเบิกจ่าย และแคตตาล็อกใบอนุญาตที่ครอบคลุมตลาดที่คุณสนใจ

นี่คือสิ่งที่คุณจำเป็นต้องถามเพื่อพิจารณาว่ามีการปฏิบัติตามข้อกำหนดในระดับที่คุณต้องการหรือไม่

PSD2 และการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม

ข้อบังคับ PSD2 ของสหภาพยุโรปกำหนดให้ต้องมีการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมสำหรับการชำระเงินทางอิเล็กทรอนิกส์ส่วนใหญ่ คุณควรถามโดยตรงว่า "คุณจัดการกับข้อกำหนด PSD2 อย่างไร รวมถึงการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม และคุณจัดการกับการยกเว้นอย่างไร" ผู้ให้บริการที่น่าเชื่อถือจะยืนยันว่าพวกเขาใช้การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม (SCA) โดยอัตโนมัติเมื่อจำเป็น และจัดการการยกเว้น (การชำระเงินมูลค่าต่ำ การชำระเงินแก่ผู้รับผลประโยชน์ที่เชื่อถือได้ การชำระเงินตามแบบแผนล่วงหน้า) ให้เหมาะสมเพื่อลดอุปสรรคที่ไม่จำเป็น คุณจำเป็นต้องรู้รายละเอียดว่าผู้ให้บริการทำให้การจัดการการยกเว้นเหล่านี้เป็นไปโดยอัตโนมัติ แทนที่จะปล่อยให้คุณเขียนโค้ดด้วยตัวเองหรือไม่

การปกป้องข้อมูลและ GDPR

กฎหมายความเป็นส่วนตัวครอบคลุมทุกภูมิภาค RFP ของคุณควรกำหนดให้ผู้ให้บริการอธิบายว่าพวกเขาปฏิบัติตาม GDPR, CCPA และกฎระเบียบด้านการคุ้มครองข้อมูลอื่นๆ อย่างไร สอบถามว่าข้อมูลลูกค้าถูกจัดเก็บไว้ที่ใด มีตัวเลือกการโฮสต์ระดับภูมิภาคหรือไม่ และกลไกใดที่ใช้สำหรับการโอนข้ามพรมแดน (เช่น กรอบข้อตกลงความเป็นส่วนตัวของข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกา หรือข้อสัญญามาตรฐาน) กำหนดให้มีข้อตกลงการประมวลผลข้อมูลที่สอดคล้องกับ GDPR เพื่อเป็นส่วนหนึ่งของสัญญา มองหาผู้ให้บริการที่สามารถแสดงใบรับรอง การตรวจสอบ หรือการตรวจสอบความถูกต้องจากหน่วยงานที่เป็นอิสระเกี่ยวกับสถานะความเป็นส่วนตัวของตนได้

การคว่ำบาตรและการคัดกรอง OFAC

ในสหรัฐอเมริกาและประเทศอื่นๆ กำหนดให้ต้องปฏิบัติตามข้อกำหนดการคว่ำบาตร หากไม่ดำเนินการตรวจสอบการคว่ำบาตรอาจทำให้ธุรกิจของคุณต้องเสียค่าปรับและเสียชื่อเสียง คุณควรถามว่า "คุณดำเนินการคัดกรองการคว่ำบาตรใดบ้าง (OFAC, EU, UN, รายการอื่นๆ) คุณจะบล็อกหรือตั้งค่าสถานะธุรกรรมที่ถูกจำกัดอย่างไร อธิบายขั้นตอนการคัดกรองการคว่ำบาตรของคุณ รวมถึงรายการที่คุณตรวจสอบและความถี่ในการอัปเดต" คำตอบที่เหมาะสมจะอธิบายถึงการคัดกรองอัตโนมัติในระดับธุรกรรมและการเบิกจ่าย การอัปเดตรายการอย่างต่อเนื่อง และขั้นตอนในการจัดการรายการที่ตรงกัน

กฎระเบียบระดับภูมิภาคและการแปลให้เหมาะกับแต่ละประเทศ

ภูมิภาคต่างๆ มีกฎของตัวเอง และ RFP ของคุณควรทำให้แน่ใจว่าคุณจะได้รับความคุ้มครอง ถามผู้ให้บริการว่า "คุณรองรับภาระผูกพันในการปฏิบัติตามข้อกำหนดระดับภูมิภาคใดบ้างโดยตรง และคุณจะช่วยให้เราปฏิบัติตามภาระผูกพันเหล่านี้ได้อย่างไร" คำตอบที่ดีที่สุดจะแสดงให้เห็นว่าพวกเขาติดตามกฎระดับภูมิภาคอย่างจริงจัง

การออกใบอนุญาตและการกำกับดูแลด้านกฎระเบียบ

ตรวจสอบว่าผู้ขายมีใบอนุญาตหรือการจดทะเบียนที่เหมาะสมในตลาดหลักหรือไม่ สิ่งนี้จะเป็นตัวกำหนดว่าใครเป็นผู้รับผิดชอบด้านกฎระเบียบและการชำระเงินของคุณสามารถไหลได้โดยไม่หยุดชะงักหรือไม่ ขอให้ผู้ขายแสดงรายการใบอนุญาตด้านกฎระเบียบที่พวกเขาถือครองและภูมิภาคที่พวกเขาครอบคลุม

ฉันควรต้องการอะไรจากผู้ให้บริการเกี่ยวกับการเข้ารหัส การแปลงเป็นโทเค็น และการตรวจสอบสิทธิ์

หากผู้ให้บริการด้านการชำระเงินไม่สามารถอธิบายวิธีการเข้ารหัส การแปลงเป็นโทเค็น และล็อกการเข้าถึงได้ คุณก็ไม่จำเป็นต้องอ่านข้อเสนอของพวกเขาต่อ คุณควรดูข้อมูลเฉพาะ เช่น มาตรฐานการเข้ารหัสที่กล่าวถึง, ขั้นตอนการแปลงเป็นโทเค็นที่อธิบายไว้, การเข้าสู่ระบบครั้งเดียว (SSO) และการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่อธิบายไว้โดยละเอียด, คีย์อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ที่ถูกล็อกไว้ และลายเซ็น Webhook ที่กล่าวถึง

RFP ของคุณควรระบุคุณสมบัติต่อไปนี้อย่างชัดเจน

การเข้ารหัส

กำหนดให้มีการเข้ารหัสแบบต้นทางถึงปลายทางสำหรับข้อมูลการชำระเงิน ทั้งข้อมูลที่อยู่ระหว่างการส่งและข้อมูลที่ไม่ได้ใช้งาน ระบุให้ชัดเจนว่าต้องใช้ TLS 1.2+ หรือ TLS 1.3 สำหรับข้อมูลที่กำลังส่ง, AES-256 หรือมาตรฐานที่เทียบเท่าสำหรับข้อมูลที่ไม่ได้ใช้งาน ขอให้ผู้ให้บริการอธิบายวิธีจัดการคีย์ โดยถามว่าพวกเขาใช้โมดูลการรักษาความปลอดภัยของฮาร์ดแวร์ หมุนเวียนคีย์ตามกำหนดเวลาที่กำหนดไว้ และปกป้องคีย์ด้วยการแยกหน้าที่หรือไม่ การเข้ารหัสจะแข็งแกร่งเพียงใดนั้นขึ้นอยู่กับการจัดการคีย์ที่อยู่เบื้องหลัง

การแปลงเป็นโทเค็น

การแปลงเป็นโทเค็นจะลบหมายเลขบัตรที่เป็นข้อมูลดิบออกจากสภาพแวดล้อมของคุณและแทนที่ด้วยโทเค็นแบบสุ่มที่มีเพียงระบบของผู้ให้บริการเท่านั้นที่สามารถแก้ไขได้ กำหนดให้สิ่งนี้เป็นข้อกำหนด เช่น "ข้อมูลเจ้าของบัตรต้องมีการแปลงเป็นโทเค็น เพื่อไม่ให้ระบบของเราเห็นหรือจัดเก็บข้อมูลดิบ" ถามผู้ให้บริการว่าพวกเขารักษาความปลอดภัยของที่เก็บข้อมูลอย่างไรและสามารถนำโทเค็นกลับมาใช้ซ้ำสำหรับการเรียกเก็บเงินตามรอบบิล การชำระเงินตามรอบบิล หรือการคืนเงินได้หรือไม่

การตรวจสอบสิทธิ์และการควบคุมการเข้าถึง

ขอให้ผู้ให้บริการอธิบายวิธีรักษาความปลอดภัยในการเข้าถึงแพลตฟอร์มและ API ของตน การตรวจสอบสิทธิ์แบบหลายปัจจัยควรเป็นสิ่งจำเป็นสำหรับการเข้าถึงแดชบอร์ดในระดับผู้ดูแลระบบ การผสานการเข้าสู่ระบบครั้งเดียวกับผู้ให้บริการข้อมูลประจำตัวขององค์กรคุณจะได้รับการพิจารณาเป็นพิเศษ ขอรายละเอียดเกี่ยวกับการเข้าถึงตามบทบาทและเส้นทางการตรวจสอบ โดยถามว่า คุณสามารถกำหนดระดับการเข้าถึงที่แตกต่างกันให้กับสมาชิกแต่ละคนในทีมได้หรือไม่ และคุณสามารถติดตามว่าใครทำอะไรและเมื่อไหร่ได้หรือไม่ สำหรับ API ให้มองหาการควบคุมที่รับรองว่ามีเพียงระบบที่ได้รับอนุญาตเท่านั้นที่สื่อสารกัน เช่น คีย์ที่กำหนดขอบเขต โทเค็นชั่วคราว และการลงนาม Webhook

การตรวจสอบสิทธิ์ที่ลูกค้าต้องดำเนินการ

การป้องกันการฉ้อโกงมักจะเชื่อมโยงกับการตรวจสอบสิทธิ์ ผู้ให้บริการควรอธิบายว่าพวกเขารองรับ 3D Secure, การตรวจสอบสิทธิ์ด้วยไบโอเมตริกในกระเป๋าเงินดิจิทัล และการตรวจสอบสิทธิ์ที่เข้มข้นขึ้นในรูปแบบอื่นๆ อย่างไรเมื่อธุรกรรมดูมีความเสี่ยงหรือเมื่อกฎระเบียบกำหนด

ฉันจะระบุข้อกำหนดด้านการรักษาความปลอดภัยจากการชำระเงินผ่านอุปกรณ์เคลื่อนที่และการชำระเงินในแอปไว้ใน RFP ได้อย่างไร

RFP ควรแสดงให้เห็นว่าการผสานกับระบบอุปกรณ์เคลื่อนที่ของผู้ให้บริการปกป้องข้อมูลบัตรอย่างเข้มงวดเทียบเท่ากับสภาพแวดล้อมบนเว็บหรือระบบบันทึกการขาย รวมถึงข้อมูลเฉพาะเกี่ยวกับวิธีการไหลของข้อมูลบัตรใน SDK, การรับรองว่าข้อมูลที่ละเอียดอ่อนจะไม่ส่งไปที่แอป, การรองรับกระเป๋าเงินในตัว และหลักฐานของการทดสอบการรักษาความปลอดภัยเชิงรุก การชำระเงินผ่านอุปกรณ์เคลื่อนที่จะมีความปลอดภัยเทียบเท่ากับการชำระเงินในช่องทางอื่นๆ ก็ต่อเมื่อผู้ให้บริการออกแบบการผสานการทำงานโดยคำนึงถึงประเด็นดังกล่าว

นี่คือจุดที่ควรเน้นในการตั้งคำถามใน RFP ของคุณ

SDK ที่สอดคล้องกับ PCI

สอบถามผู้ให้บริการว่า SDK สำหรับ iOS และ Android ได้รับการตรวจสอบการปฏิบัติตามข้อกำหนด PCI DSS หรือไม่ SDK ที่แข็งแกร่งจะไม่ปล่อยให้มีการส่งข้อมูลดิบของบัตรไปที่แอปของคุณ โดยจะเข้ารหัสข้อมูลบนอุปกรณ์และส่งตรงไปยังเซิร์ฟเวอร์ที่ปลอดภัยของผู้ให้บริการ โดยส่งคืนเฉพาะโทเค็นเท่านั้น

การรองรับกระเป๋าเงินและแพลตฟอร์ม

กระเป๋าเงินดิจิทัล (เช่น Apple Pay, Google Pay, Samsung Pay) ถือเป็นวิธีการชำระเงินที่ปลอดภัยที่สุดที่มีอยู่ คุณต้องกำหนดให้ผู้ให้บริการรองรับวิธีการเหล่านี้โดยตรง และให้อธิบายว่าโทเค็นที่สร้างขึ้นบนอุปกรณ์จะไหลผ่านระบบอย่างไร ผู้ให้บริการที่ดีจะเน้นย้ำว่าหมายเลขบัตรจริงจะไม่เล็ดลอดออกจากอุปกรณ์ของลูกค้า และการตรวจสอบสิทธิ์ด้วยไบโอเมตริกจะดำเนินการโดยตัวกระเป๋าเงินเอง

การปกป้องอุปกรณ์และแอป

ถามว่า SDK จัดการกับสภาพแวดล้อมที่ถูกบุกรุกอย่างไร SDK ตรวจจับอุปกรณ์ที่ถูกเจลเบรคหรือถูกปลดล็อกสิทธิ์ระดับสูง ป้องกันไม่ให้มีการบันทึกข้อมูลที่ละเอียดอ่อน และปกป้องคีย์ที่จัดเก็บไว้ในโทรศัพท์หรือไม่ คำตอบที่เหมาะสมจะอธิบายถึงมาตรการป้องกัน เช่น การปักใบรับรอง การจัดเก็บแบบจำกัด และการตรวจสอบรันไทม์ที่บล็อกการชำระเงินในสภาวะที่ไม่ปลอดภัย

การอัปเดตและการทดสอบ

ระบบนิเวศของอุปกรณ์เคลื่อนที่สามารถพัฒนาได้อย่างรวดเร็ว คุณต้องกำหนดให้ผู้ให้บริการอธิบายความถี่ในการอัปเดต SDK สำหรับแพตช์การรักษาความปลอดภัยและวิธีทดสอบช่องโหว่ มองหารอบเวลาการทดสอบการเจาะระบบอย่างสม่ำเสมอและความมุ่งมั่นที่จะเผยแพร่การอัปเดตเมื่อ iOS หรือ Android เวอร์ชันใหม่เปิดตัว

ควรขอความสามารถในการรายงานและการตรวจสอบอะไรบ้างใน RFP สำหรับการชำระเงิน

เครื่องมือการรายงานและการตรวจสอบเป็นวิธีที่ทีมการเงิน การรักษาความปลอดภัย และการปฏิบัติตามข้อกำหนดพิสูจน์ว่าการควบคุมได้ผล รวมถึงกระทบยอดเงิน และตอบสนองเมื่อหน่วยงานกำกับดูแลถามคำถามยากๆ ผู้ให้บริการที่ให้ความสำคัญกับการรายงานอย่างจริงจังจะอธิบายแดชบอร์ด, API, รายงานที่ปรับแต่งได้, เส้นทางการตรวจสอบ, ใบรับรองการปฏิบัติตามข้อกำหนด และการแจ้งเตือนในข้อกำหนดที่เป็นรูปธรรมพร้อมข้อมูลเฉพาะเกี่ยวกับระยะเวลาการเก็บรักษาข้อมูล รูปแบบ และการผสานการทำงาน โดย RFP ควรแสดงให้เห็นว่าผู้ให้บริการทำให้คุณสามารถมองเห็นสิ่งต่างๆ ได้อย่างแท้จริงหรือปล่อยให้คุณปะติดปะต่อสิ่งต่างๆ ด้วยตัวคุณเอง

นี่คือคุณสมบัติที่คุณควรสอบถามข้อมูลเพิ่มเติม

การรายงานธุรกรรมและการรายงานทางการเงิน

ถามว่ามีการรายงานอะไรบ้างสำหรับธุรกรรม การชำระเงิน การคืนเงิน การโต้แย้งการชำระเงิน และค่าธรรมเนียม มองหาแดชบอร์ดเรียลไทม์และ API ที่ทำให้คุณดึงข้อมูลที่ละเอียดเข้าสู่ระบบของคุณเอง สอบถามเกี่ยวกับรูปแบบและถามว่าคุณสามารถปรับแต่งรายงานตามตัวกรอง เช่น ช่วงวันที่ ภูมิศาสตร์ หรือวิธีการชำระเงินได้หรือไม่ หากทีมการเงินไม่สามารถกระทบยอดการเบิกจ่ายกับเงินฝากธนาคารได้อย่างง่ายดาย กระบวนการต่างๆ ในขั้นตอนท้ายๆ ก็อาจยากขึ้น

บันทึกการตรวจสอบกิจกรรมของระบบ

แพลตฟอร์มที่มีความเป็นมืออาชีพจะติดตามทุกการดำเนินการที่ละเอียดอ่อน เช่น การเข้าสู่ระบบ, การเปลี่ยนแปลงสิทธิ์, การสร้างคีย์ API, การคืนเงินที่ออกให้ และการตั้งค่าที่อัปเดต ระบุข้อกำหนดที่กำหนดให้ผู้ให้บริการต้องจัดเตรียมบันทึกการตรวจสอบโดยละเอียดสำหรับทั้งเหตุการณ์ของระบบและกิจกรรมผู้ใช้ ถามผู้ให้บริการว่าจะเก็บบันทึกไว้นานเพียงใดและบันทึกไม่สามารถเปลี่ยนแปลงได้ใช่หรือไม่ ความสามารถในการติดตามอย่างแม่นยำว่าใครทำอะไรและเมื่อใดนั้นเป็นสิ่งที่ไม่อาจต่อรองได้เมื่อคุณกำลังเผชิญกับการตรวจสอบภายในหรือกำลังสืบหากิจกรรมที่น่าสงสัย

การสนับสนุนการตรวจสอบการปฏิบัติตามข้อกำหนดภายนอก

ผู้ตรวจสอบของคุณเองอาจขอหลักฐานว่าผู้ให้บริการด้านการชำระเงินกำลังดำเนินการตามที่อ้างไว้ ขอให้ผู้ให้บริการอธิบายเอกสารที่พวกเขาจัดเตรียมไว้ให้ (เช่น SOC 1, SOC 2, ใบรับรอง ISO, การรับรอง PCI DSS) และวิธีการแชร์รายงานเหล่านั้น ผู้ให้บริการบางรายอาจเสนอเอกสารเหล่านี้ภายใต้ NDA ในขณะที่บางรายอาจมีพอร์ทัลลูกค้า

การตรวจสอบและการแจ้งเตือนแบบเรียลไทม์

สอบถามว่าผู้ให้บริการมีการแจ้งเตือนหรือ Webhook ที่กำหนดค่าได้ซึ่งจะแจ้งให้คุณทราบถึงความผิดปกติแบบเรียลไทม์หรือไม่ เช่น การดึงเงินคืนที่เพิ่มขึ้น กลุ่มการปฏิเสธการชำระเงินที่ผิดปกติ หรืออัตราความผิดพลาดของ API ที่มีแนวโน้มเพิ่มขึ้น ทีมไม่สามารถตอบสนองได้อย่างรวดเร็วหากไม่มีระบบแจ้งเตือนล่วงหน้า และ RFP ของคุณควรระบุให้ชัดเจนว่าการมองเห็นข้อมูลแบบเรียลไทม์เป็นสิ่งจำเป็น

การเข้าถึงและการเก็บรักษาข้อมูล

ประวัติการทำธุรกรรมและเส้นทางการตรวจสอบมักจะต้องถูกเก็บไว้เป็นเวลาหลายปีเพื่อให้เป็นไปตามหน่วยงานกำกับดูแลทางการเงิน ถามผู้ให้บริการว่า "รายงานและบันทึกการตรวจสอบจะถูกเก็บไว้นานแค่ไหน เราสามารถการส่งออกและเก็บถาวรรายงานและบันทึกดังกล่าวเพื่อปฏิบัติตามข้อกำหนดของเราเองได้หรือไม่" คำตอบที่เหมาะสมจะระบุชัดเจนว่าข้อมูลจะได้รับการเก็บรักษาไว้เป็นเวลาหลายปี โดยมีวิธีง่ายๆ การส่งออกหรือซิงค์ข้อมูลไปยังคลังสินค้าของคุณเอง

สัญญาณเตือนใดบ้างในคำตอบ RFP ของผู้ให้บริการที่บ่งชี้ถึงการรักษาความปลอดภัยที่ไม่รัดกุมหรือการปฏิบัติตามข้อกำหนดที่ไม่เพียงพอ

RFP ให้ความสำคัญกับการระบุสิ่งที่ขาดหายไปพอๆ กับการประเมินสิ่งที่เขียน ผู้ให้บริการที่แข็งแกร่งจะให้คำตอบที่ชัดเจนโดยมีข้อมูลเฉพาะและหลักฐานรองรับ หากข้อมูลไม่ครบถ้วน ข้อนี้ก็เป็นเหตุผลให้คุณชะลอการตัดสินใจและสอบถามรายละเอียดเพิ่มเติมก่อนที่จะไปต่อ

ต่อไปนี้คือสัญญาณเตือนหลักที่ควรระวังเมื่อประเมิน RFP

ภาษาคลุมเครือ

หากคำตอบอาศัยวลีต่างๆ เช่น "การรักษาความปลอดภัยที่ล้ำสมัย" โดยไม่ระบุชื่อมาตรฐาน โปรโตคอล หรือใบรับรองที่แท้จริง นั่นเป็นสัญญาณว่าผู้ให้บริการไม่สามารถหรือไม่ยอมให้รายละเอียด ผู้ให้บริการที่จริงจังจะอ้างอิงถึง PCI DSS, SOC 2, ISO 27001, วิธีการเข้ารหัสเฉพาะ และกระบวนการที่เป็นรูปธรรม

ขาดการตรวจสอบความถูกต้องจากหน่วยงานที่เป็นอิสระ

ผู้ให้บริการที่ประมวลผลการชำระเงินควรมีการตรวจสอบจากภายนอก หากพวกเขาไม่มีใบรับรอง PCI DSS หรือไม่สามารถจัดทำรายงาน SOC หรือ ISO ได้ ให้มองหาผู้ให้บริการรายอื่นแทน

แผนรับมือกับเหตุการณ์ที่ไม่ชัดเจน

RFP ควรแสดงกรอบเวลาที่เป็นรูปธรรมและแผนที่ผ่านการทดสอบแล้วสำหรับการแจ้งเตือนการละเมิดและแผนการกู้คืนที่บันทึกไว้ หากผู้ให้บริการเลี่ยงการตอบคำถามโดยให้คำตอบว่า "เราจะแจ้งให้ลูกค้าทราบตามความเหมาะสม" คุณก็รับประกันไม่ได้ว่าจะได้รับการสื่อสารอย่างทันท่วงทีเมื่อถึงเวลาสำคัญที่สุด

การโอนความรับผิดชอบ

ระวังคำตอบที่ส่งภาระผูกพันที่สำคัญกลับมาสู่ทีมของคุณ (เช่น "เรามอบเครื่องมือให้ แต่การปฏิบัติตามข้อกำหนดเป็นหน้าที่ของผู้ค้า") คุณจะมีความรับผิดชอบอยู่เสมอ แต่ผู้ให้บริการที่แข็งแกร่งจะแบ่งเบาภาระและให้การสนับสนุนอย่างชัดเจน

แนวทางปฏิบัติที่ล้าสมัย

การอ้างอิงถึงมาตรฐานที่ไม่เข้มงวดหรือล้าสมัย (เช่น MD5 สำหรับการแฮชรหัสผ่านหรือ PCI เวอร์ชันเก่ากว่า) ถือเป็นสัญญาณว่าระบบรักษาความปลอดภัยยังไม่ทันสมัย ​​คุณควรคาดหวังการเข้ารหัสที่ทันสมัย, ​​MFA สำหรับการเข้าถึงระดับผู้ดูแลระบบ และการสอดคล้องตาม PCI DSS ในปัจจุบัน

ความขัดแย้งหรือคำสัญญาเกินจริง

ความไม่สอดคล้องกันระหว่างคำตอบ (เช่น การอ้างว่าข้อมูลไม่ได้ถูกจัดเก็บไว้เลย แต่กลับกล่าวว่าข้อมูลถูกเข้ารหัสไว้ในขณะที่ไม่ได้ใช้งาน) บ่งบอกถึงความฉาบฉวยหรือการสื่อสารภายในที่ไม่ดี การรับประกันว่า "ปลอดการฉ้อโกง" หรือ "ระยะเวลาให้บริการ 100%" โดยไม่มีหลักฐานก็น่าสงสัยไม่แพ้กัน

Stripe Payments ช่วยได้อย่างไร

Stripe Payments มอบโซลูชันการชำระเงินระดับโลกแบบครบวงจรที่ช่วยให้ธุรกิจใดๆ ตั้งแต่สตาร์ทอัพที่กำลังเติบโตไปจนถึงองค์กรระดับโลกรับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกได้

Stripe Payments สามารถช่วยคุณทำสิ่งต่อไปนี้

  • เพิ่มประสิทธิภาพให้ประสบการณ์การชำระเงินของคุณ: สร้างประสบการณ์ที่ราบรื่นให้กับลูกค้าและประหยัดเวลาในการทำงานวิศวกรรมได้หลายพันชั่วโมงด้วย UI การชำระเงินที่สร้างไว้ให้แล้ว, สิทธิ์เข้าถึงวิธีการชำระเงินมากกว่า 125 วิธี และ Link ซึ่งเป็นกระเป๋าเงินที่สร้างโดย Stripe
  • ขยายไปสู่ตลาดใหม่ๆ ได้เร็วขึ้น: เข้าถึงลูกค้าทั่วโลกและลดความซับซ้อนและค่าใช้จ่ายในการจัดการหลายสกุลเงินด้วยตัวเลือกการชำระเงินข้ามพรมแดนที่มีให้บริการใน 195 ประเทศและกว่า 135 สกุลเงิน
  • รวมการชำระเงินที่จุดขายและทางออนไลน์ไว้ด้วยกัน: สร้างประสบการณ์การค้าแบบแพลตฟอร์มรวมในช่องทางออนไลน์และที่จุดขายเพื่อปรับแต่งการโต้ตอบ ตอบแทนความภักดี และเพิ่มรายได้
  • ปรับปรุงประสิทธิภาพการชำระเงิน: เพิ่มรายรับด้วยเครื่องมือการชำระเงินที่กำหนดเองได้และปรับแต่งได้ง่ายๆ ซึ่งรวมถึงระบบป้องกันการฉ้อโกงแบบไม่ต้องเขียนโค้ดและความสามารถขั้นสูงเพื่อเพิ่มอัตราการอนุมัติ
  • เดินหน้าได้เร็วขึ้นด้วยแพลตฟอร์มที่ยืดหยุ่นและเชื่อถือได้เพื่อการเติบโต: สร้างบนแพลตฟอร์มที่ออกแบบมาเพื่อขยับขยายไปพร้อมกับคุณ โดยมีระยะเวลาให้บริการที่แทบจะไม่หยุดทำงานเลยในระยะเวลาที่ผ่านมา และมีความน่าเชื่อถือระดับแนวหน้าของวงการ

ดูเพิ่มเติมว่า Stripe Payments ช่วยให้คุณสามารถรับการชำระเงินออนไลน์และการชำระเงินที่จุดขายได้อย่างไร หรือเริ่มใช้งานเลยวันนี้

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Payments

Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด

Stripe Docs เกี่ยวกับ Payments

ค้นหาคู่มือเกี่ยวกับการเชื่อมต่อ Payments API ของ Stripe