เนื่องจากการช้อปปิ้งออนไลน์และการชำระเงินดิจิทัลได้รับความนิยมเพิ่มขึ้น เว็บไซต์อีคอมเมิร์ซจึงกลายเป็นส่วนสำคัญในชีวิตประจำวันของชาวญี่ปุ่น อย่างไรก็ตาม ความเสี่ยงด้านความปลอดภัย เช่น การฉ้อโกงบัตรเครดิต การรั่วไหลของข้อมูลส่วนตัว และการโจมตีทางไซเบอร์ กลับเพิ่มขึ้นทุกปี ธุรกิจอีคอมเมิร์ซหลายแห่งประสบปัญหาในการจัดการกับปัญหาเหล่านี้เนื่องจากทรัพยากรที่มีอยู่อย่างจำกัด
ในบทความนี้ เราจะอธิบายมาตรการรักษาความปลอดภัยขั้นพื้นฐานสำหรับธุรกิจอีคอมเมิร์ซในญี่ปุ่น และวิธีการบางอย่างในการตอบสนองต่อการชำระเงินที่เป็นการฉ้อโกงและการรั่วไหลของข้อมูล
เนื้อหาหลักในบทความ
- เหตุใดมาตรการรักษาความปลอดภัยจึงจำเป็นในอีคอมเมิร์ซ
- เหตุการณ์ด้านความปลอดภัยทั่วไปที่ส่งผลกระทบต่อธุรกิจอีคอมเมิร์ซ
- แนวทางการรักษาความปลอดภัยสำหรับเว็บไซต์อีคอมเมิร์ซ
- มาตรการรักษาความปลอดภัยขั้นพื้นฐานสำหรับเว็บไซต์อีคอมเมิร์ซ
- วิธีตอบสนองต่อภัยคุกคามด้านความปลอดภัยในอีคอมเมิร์ซ
- ธุรกิจอีคอมเมิร์ซในญี่ปุ่นจะปรับปรุงการรักษาความปลอดภัยได้อย่างไร
- Stripe Radar สามารถช่วยได้อย่างไร
เหตุใดมาตรการรักษาความปลอดภัยจึงจำเป็นในอีคอมเมิร์ซ
เมื่อตลาดอีคอมเมิร์ซเติบโต วิธีการการฉ้อโกงและการโจมตีทางไซเบอร์ก็ซับซ้อนมากขึ้น ความเสียหายที่เกิดจากการโจมตีข้อมูลบัตรเครดิตก็รุนแรงขึ้นทุกปี ดังนั้นมาตรการรักษาความปลอดภัยจึงต้องเข้มงวดยิ่งขึ้น
มาตรการป้องกันความเสียหายจากการฉ้อโกงบัตรเครดิต
ข้อมูลจากสมาคมสินเชื่อผู้บริโภคแห่งประเทศญี่ปุ่น (JCA) ระบุว่าความเสียหายจากการฉ้อโกงบัตรเครดิตในปี 2024 สูงถึง 55.5 พันล้านเยน ซึ่งสูงสุดเป็นประวัติการณ์ โดยเพิ่มขึ้นมากกว่า 2 เท่าภายในเวลาเพียง 5 ปี ซึ่งแสดงให้เห็นว่าการฉ้อโกงกำลังเพิ่มขึ้นตามสัดส่วนการเติบโตของตลาดอีคอมเมิร์ซ
การสูญเสียส่วนใหญ่ (กล่าวคือมากกว่า 90%) เกิดจากการขโมยหมายเลขบัตรเครดิตบนเว็บไซต์อีคอมเมิร์ซ การขโมยนี้ดำเนินการผ่านอีเมลฟิชชิ่ง เว็บไซต์ช้อปปิ้งปลอม และการแฮ็กระบบปฏิบัติการอีคอมเมิร์ซ หากไม่มีมาตรการรับมือขั้นพื้นฐาน การสูญเสียเหล่านี้ก็ไม่น่าจะลดลง นอกจากนี้ แนวทางการรักษาความปลอดภัยของบัตรเครดิตยังกำหนดให้ธุรกิจอีคอมเมิร์ซต้องดำเนินมาตรการเฉพาะอีกด้วย
การปกป้องข้อมูลส่วนตัวของลูกค้า
เว็บไซต์อีคอมเมิร์ซจัดการข้อมูลบัตรเครดิตจำนวนมาก นอกจากนี้ยังจัดการข้อมูลส่วนตัว เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ และที่อยู่อีเมล เมื่อข้อมูลส่วนตัวรั่วไหล ความเสียหายไม่ได้จำกัดอยู่แค่บุคคลใดบุคคลหนึ่ง แต่โดยปกติแล้วข้อมูลลูกค้าจำนวนมากจะรั่วไหล ซึ่งส่งผลให้เกิดความเสียหายทางการเงินอย่างรุนแรงและกระทบต่อชื่อเสียงของธุรกิจ
เจ้าของบัตรที่ตกเป็นเหยื่อของการฉ้อโกงเนื่องจากถูกขโมยหมายเลขบัตรอาจถูกเรียกเก็บเงินอย่างไม่คาดคิด และอาจรู้สึกวิตกกังวลและไม่พอใจกับการรั่วไหลของข้อมูล ซึ่งอาจทำให้พวกเขาสูญเสียความไว้วางใจในเว็บไซต์อีคอมเมิร์ซ เพื่อสร้างความไว้วางใจขึ้นมาใหม่ ธุรกิจควรใช้เวลาและทรัพยากรในการสนับสนุนลูกค้าและการสืบสวน อย่างไรก็ตาม การรั่วไหลของข้อมูลอาจทำลายความน่าเชื่อถือและความสามารถในการทำกำไรของธุรกิจโดยรวม
ความเสี่ยงต่อเนื่องของการโจมตีทางไซเบอร์
เว็บไซต์อีคอมเมิร์ซเป็นเป้าหมายที่น่าสนใจสำหรับการโจมตีทางไซเบอร์ เนื่องจากสามารถเข้าถึงได้ตลอดเวลาและมีข้อมูลธุรกรรมจำนวนมาก รายงานจากกระทรวงเศรษฐกิจ การค้า และอุตสาหกรรม (METI) เน้นย้ำว่าการเข้าถึงโดยไม่ได้รับอนุญาต การฟิชชิ่ง และการแฮ็กระบบการชำระเงินกำลังเพิ่มสูงขึ้น ในช่วงไม่กี่ปีที่ผ่านมา วิธีการโจมตีมีความซับซ้อนมากขึ้นเรื่อยๆ โดยได้ขยายขอบเขตไปสู่วิธีการฉ้อโกงอัตโนมัติที่เรียกว่า "การโจมตีแบบเครดิตมาสเตอร์" และการหลอกลวงแบบฟิชชิ่งโดยใช้ปัญญาประดิษฐ์ (AI)
เหตุการณ์ด้านความปลอดภัยที่พบบ่อยซึ่งส่งผลกระทบต่อธุรกิจอีคอมเมิร์ซ
เหตุการณ์ด้านความปลอดภัยหลายประเภทอาจเกิดขึ้นได้บนเว็บไซต์อีคอมเมิร์ซ ตัวอย่างที่พบบ่อยและความเสี่ยงจากเหตุการณ์เหล่านั้นมีดังต่อไปนี้
ระบบหยุดทำงาน
เหตุการณ์นี้จะเกิดขึ้นเมื่อเว็บไซต์อีคอมเมิร์ซหยุดทำงานและไม่สามารถใช้งานได้เนื่องจากเซิร์ฟเวอร์หรือระบบล้มเหลว เมื่อเว็บไซต์หยุดทำงาน ธุรกิจอาจสูญเสียยอดขายและความไว้วางใจจากลูกค้า นอกจากนี้ ความพยายามในการกู้คืนอาจก่อให้เกิดค่าใช้จ่ายทั้งด้านแรงงานและการเงินด้วยเช่นกัน
สำนักงานส่งเสริมเทคโนโลยีสารสนเทศ (IPA) ได้กำหนดแนวทางการรักษาความปลอดภัยสำหรับการสร้างและการดำเนินงานเว็บไซต์อีคอมเมิร์ซ โดยแนะนำให้เตรียมพร้อมสำหรับสถานการณ์เหล่านี้ด้วยการสำรองข้อมูลเป็นประจำ การนำระบบสำรองมาใช้ การใช้การควบคุมการเข้าถึง และการใช้บันทึก
จากแบบสำรวจที่จัดทำโดย IPA และคณะกรรมการคุ้มครองข้อมูลส่วนตัว (PPC) คาดว่าการสูญเสียยอดขายโดยเฉลี่ยเนื่องจากเว็บไซต์อีคอมเมิร์ซหยุดทำงานอยู่ที่ 57 ล้านเยน โดยคาดว่าค่าใช้จ่ายเฉลี่ยในการรับมือกับเหตุการณ์ประเภทนี้อยู่ที่ 240 ล้านเยน
การเปลี่ยนแปลงเว็บไซต์
หากไวรัสหรือมัลแวร์แทรกซึมเข้าสู่เทอร์มินัลหรือเซิร์ฟเวอร์ของผู้ดูแลระบบ ไวรัสหรือมัลแวร์เหล่านั้นอาจสร้างความเสียหายต่อระบบหรือข้อมูลได้ ธุรกิจอีคอมเมิร์ซควรติดตั้งซอฟต์แวร์ป้องกันไวรัส อัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำ และสร้างระบบตรวจจับการแฮ็ก
สำนักงานตำรวจแห่งชาติ (NPA) เปิดเผยว่าได้รับรายงานเกี่ยวกับอาชญากรรมที่เรียกว่า "การสกิมมิ่งเว็บ" เข้ามาหลายครั้ง อาชญากรรมรูปแบบนี้จะฝังโปรแกรมที่ผิดกฎหมายลงในเว็บไซต์อีคอมเมิร์ซที่ถูกต้องตามกฎหมายเพื่อดึงข้อมูลบัตรของลูกค้า
การเข้าถึงที่ไม่ได้รับอนุญาต
เหตุการณ์นี้เกิดขึ้นเมื่อบุคคลที่สามเข้าถึงหน้าจอการดูแลระบบหรือฐานข้อมูลโดยไม่ได้รับอนุญาตเพื่อดู แก้ไข หรือลบข้อมูล แนวทางการรักษาความปลอดภัยที่กล่าวถึงข้างต้นระบุถึงมาตรการรับมือที่สำคัญ เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย การประเมินช่องโหว่ การควบคุมการเข้าถึง และการตรวจจับความผิดปกติของการเข้าสู่ระบบ
เว็บไซต์อีคอมเมิร์ซที่สร้างขึ้นโดยใช้ซอฟต์แวร์โอเพนซอร์ส (OSS) อาจมีความเสี่ยงเป็นพิเศษ จากข้อมูลของ IPA 97% ของเว็บไซต์อีคอมเมิร์ซที่ได้รับผลกระทบถูกสร้างขึ้นภายในองค์กร โดยหลายแห่งใช้ระบบ OSS แม้ว่าระบบ OSS จะสะดวก แต่ช่องโหว่ก็ง่ายต่อการค้นพบเช่นกัน ตัวอย่างเช่น หากนำแพตช์ไปใช้ไม่ทันท่วงทีหรือไม่ถูกต้อง ระบบ OSS อาจกลายเป็นเป้าหมายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างง่ายดาย
แรนซัมแวร์
การโจมตีทางไซเบอร์นี้เกี่ยวข้องกับผู้ฉ้อโกงที่เข้ารหัสระบบหรือข้อมูลและเรียกร้องเงินเพื่อแลกกับการกู้คืนระบบและข้อมูล ธุรกิจสามารถลดความเสี่ยงของการโจมตีประเภทนี้ได้ผ่านการสำรองข้อมูลเป็นประจำ ที่เก็บข้อมูลแยก การจำกัดสิทธิ์ของผู้ดูแลระบบ และการฝึกอบรมการกู้คืน
ตามรายงานของสมาคมการรักษาความปลอดภัยเครือข่ายญี่ปุ่น (JNSA) การโจมตีด้วยแรนซัมแวร์ก่อให้เกิดความสูญเสียทางการเงินตั้งแต่ 10 ล้านเยนไปจนถึงหลายร้อยล้านเยน ซึ่งรวมถึงวิสาหกิจขนาดกลางและขนาดเล็ก โดยบางกรณีรายงานความสูญเสียเกิน 100 ล้านเยน
แนวทางการรักษาความปลอดภัยสำหรับเว็บไซต์อีคอมเมิร์ซ
แนวทางการรักษาความปลอดภัยสำหรับการสร้างและการดำเนินงานเว็บไซต์อีคอมเมิร์ซที่เผยแพร่โดย IPA ให้แนวทางการรักษาความปลอดภัยเฉพาะสำหรับการสร้างและดำเนินงานเว็บไซต์อีคอมเมิร์ซอย่างปลอดภัย แนวทางเหล่านี้ส่วนใหญ่มีไว้สำหรับวิสาหกิจขนาดกลางและขนาดย่อมและผู้ให้บริการอิสระ
แนวทางหลักมีดังนี้
- ป้องกันเหตุการณ์ด้านความปลอดภัย
- อุดช่องโหว่ในการออกแบบและการดำเนินงาน
- ให้การสนับสนุนพนักงานที่ไม่ใช่ผู้เชี่ยวชาญ
- ชี้แจงความรับผิดชอบระหว่างผู้ที่เกี่ยวข้องทั้งในระบบภายในและภายนอก
แนวทางการรักษาความปลอดภัยไม่ได้เป็นเพียงแค่คู่มือทางเทคนิค แต่ยังรวมการทำงานจริงเข้ากับกระบวนการตัดสินใจโดยเน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยในฐานะการตัดสินใจเชิงการบริหารจัดการ นอกจากนี้ แนวทางยังให้ตัวอย่างสาเหตุ ผลกระทบ และความเสี่ยงของเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นหรืออาจเกิดขึ้นได้
สาเหตุ |
ผลกระทบและความเสี่ยง |
---|---|
มีช่องโหว่ของระบบจัดการเนื้อหา (CMS) ที่นำไปสู่การแทรกแซงเว็บไซต์ |
ข้อมูลส่วนตัว รวมถึงข้อมูลบัตรเครดิต อาจรั่วไหลได้ |
การทำให้ ID และรหัสผ่านหน้าจอการดูแลระบบรั่วไหล |
บุคคลที่สามสามารถดูหรือลบข้อมูลที่เป็นความลับของลูกค้าได้ |
การมอบหมายให้ผู้รับเหมาเป็นผู้ประเมินการกำหนดค่าระบบและช่องโหว่โดยไม่ได้ให้ความรู้แก่พนักงานภายในองค์กร |
เมื่อเกิดเหตุการณ์ อาจไม่สามารถระบุสาเหตุได้ง่ายๆ และทำให้เหตุการณ์และผลกระทบยืดเยื้อ |
การเปิดให้สาธารณะเข้าถึงสภาพแวดล้อมการพัฒนาและหน้าทดสอบ |
ผู้ที่อาจเป็นผู้ฉ้อโกงสามารถมองเห็นช่องโหว่ จึงทำให้ระบบเสี่ยงต่อการถูกบุกรุก |
การละเลยการอัปเดตและการตั้งค่า Secure Sockets Layer (SSL) |
ความเสี่ยงของ "การโจมตีแบบมีคนกลาง" และการดักจับการสื่อสารเพิ่มขึ้น |
สาเหตุหลักในทุกกรณีของเหตุการณ์ด้านความปลอดภัยคือความไม่ชัดเจนว่าใครเป็นผู้รับผิดชอบและสิ่งใดที่ต้องได้รับการปกป้อง แนวทางดังกล่าวแบ่งมาตรการรักษาความปลอดภัยออกเป็น 3 หมวดหมู่ตามฝ่ายที่เกี่ยวข้องในการป้องกันเหตุการณ์ นอกจากนี้ยังชี้แจงและอธิบายบทบาทของแต่ละฝ่ายอีกด้วย
ผู้ให้บริการเว็บไซต์อีคอมเมิร์ซควรทำสิ่งต่อไปนี้
- ตัดสินใจเกี่ยวกับการสร้างเว็บไซต์ รวมถึงนโยบายการสร้างและการดำเนินงาน
- ชี้แจงเรื่องการว่าจ้างบุคคลภายนอกและการเลือกผู้ให้บริการ สัญญา และการจัดการ
- กำหนดนโยบายการคุ้มครองข้อมูลลูกค้า
ผู้ให้บริการด้านการพัฒนาและการสร้างควรทำสิ่งต่อไปนี้
- ออกแบบและใช้ระบบที่ปราศจากช่องโหว่
- ดำเนินการตรวจสอบและทดสอบ
- อัปเดตและจัดการซอฟต์แวร์
ผู้ให้บริการด้านการดำเนินงานและการบำรุงรักษาควรทำสิ่งต่อไปนี้
- ให้การสนับสนุนด้านช่องโหว่อย่างสม่ำเสมอสำหรับเซิร์ฟเวอร์และซอฟต์แวร์
- สร้างระบบการจัดการและตรวจสอบบันทึก
- สร้างระบบการตอบสนองในกรณีที่เกิดอุบัติเหตุ
มาตรการรักษาความปลอดภัยขั้นพื้นฐานสำหรับเว็บไซต์อีคอมเมิร์ซ
สำหรับหลายธุรกิจ การอัปเดตและเสริมสร้างมาตรการรักษาความปลอดภัยอาจดูซับซ้อน อย่างไรก็ตาม สิ่งสำคัญคือต้องเริ่มต้นด้วยขั้นตอนง่ายๆ ที่สามารถทำได้ทันที เช่น การใช้รหัสผ่านที่รัดกุมและการตรวจสอบการตั้งค่าการแชร์ จากนั้นธุรกิจต่างๆ จะค่อยๆ สร้างระบบรักษาความปลอดภัยที่แข็งแกร่งได้ ต่อไปนี้คือมาตรการเฉพาะบางประการที่ธุรกิจอีคอมเมิร์ซควรพิจารณา:
ผสานรวม Three-Domain Secure (3D Secure) 2.0 สำหรับการยืนยันตัวตน
3D Secure 2.0 เป็นระบบที่เพิ่มประสิทธิภาพการยืนยันตัวตนสำหรับการชำระเงินด้วยบัตรเครดิต รหัสผ่านแบบใช้ครั้งเดียวและการรับรองความถูกต้องด้วยไบโอเมตริกสามารถป้องกันการชำระเงินโดยไม่ได้รับอนุญาตที่ใช้กลวิธีแอบอ้างเป็นบุคคลอื่นได้
ระบบนี้ยังมอบประสบการณ์ลูกค้าที่ดีขึ้นเมื่อเทียบกับวิธีการใช้รหัสผ่านแบบเดิม พร้อมทั้งสร้างสมดุลระหว่างความปลอดภัยและความสะดวกสบาย จึงทำให้ระบบนี้ได้รับความนิยมมากขึ้นเรื่อยๆ ในหมู่บริษัทบัตรเครดิตและผู้ให้บริการชำระเงิน เว็บไซต์อีคอมเมิร์ซที่ยังไม่ได้ผสานรวม 3D Secure มีความเสี่ยงที่จะเกิดการดึงเงินคืนและการปฏิเสธธุรกรรม ดังนั้นธุรกิจอีคอมเมิร์ซควรพิจารณาที่จะนำระบบดังกล่าวมาใช้ตั้งแต่เนิ่นๆ
การปฏิบัติตามมาตรฐานการรักษาความปลอดภัยข้อมูลสำหรับอุตสาหกรรมบัตรชำระเงิน (PCI DSS)
PCI DSS เป็นมาตรฐานการรักษาความปลอดภัยระดับสากลสำหรับธุรกิจที่จัดการข้อมูลบัตรเครดิต มาตรฐานนี้ให้ข้อกำหนดโดยละเอียด เช่น การเข้ารหัสข้อมูล การควบคุมการเข้าถึง และการจัดการบันทึก โดยจำเป็นต้องปฏิบัติตามข้อกำหนดอย่างเคร่งครัดเมื่อจัดการข้อมูลบัตรภายในองค์กร
อย่างไรก็ตาม การจัดการข้อกำหนดทั้งหมดเหล่านี้ภายในองค์กรอาจเป็นภาระที่สำคัญ ดังนั้นธุรกิจหลายแห่งจึงใช้ตัวแทนการชำระเงินที่สอดคล้องกับ PCI DSS เพื่อลดภาระนี้ในขณะที่ยังคงปฏิบัติตามตามข้อกำหนดได้
ใช้การตรวจจับการฉ้อโกงบัตรเครดิต
ธุรกรรมที่เป็นการฉ้อโกงมักไม่ปรากฏให้เห็นชัดเจนในตอนแรก บ่อยครั้งที่ธุรกิจตรวจพบธุรกรรมเหล่านั้นหลังจากการซื้อเสร็จสิ้น ดังนั้นการมีระบบที่ตรวจจับและตอบสนองต่อสัญญาณของธุรกรรมที่เป็นการฉ้อโกงได้แบบเรียลไทม์จึงเป็นสิ่งสำคัญ โดยเฉพาะอย่างยิ่งก่อนการทำธุรกรรมหรือการชำระเงิน ต่อไปนี้คือคุณสมบัติบางประการที่ควรระบุว่าธุรกรรมน่าสงสัย
- การเข้าถึงจากพื้นที่ที่มีประวัติการฉ้อโกง
- การกรอกข้อมูลบัตรติดต่อกันหลายครั้งจากที่อยู่อินเทอร์เน็ตโปรโตคอล (IP) เดียวกัน
- ข้อมูลลูกค้าและชื่อเจ้าของบัตรไม่ตรงกัน
- การซื้อสินค้าหรือบริการมูลค่าสูงหลายครั้งในช่วงเวลาสั้นๆ
การใช้ระบบที่บล็อกหรือระงับธุรกรรมโดยอัตโนมัติเพื่อตรวจสอบเมื่อมีการจัดประเภทธุรกรรมว่ามีความเสี่ยงสามารถป้องกันความเสียหายก่อนที่จะเกิดขึ้นได้
วิธีตอบสนองต่อภัยคุกคามด้านความปลอดภัยในอีคอมเมิร์ซ
การใช้มาตรการรักษาความปลอดภัยสามารถช่วยลดการเกิดเหตุการณ์ด้านความปลอดภัยได้ อย่างไรก็ตาม จำนวนกรณีการฉ้อโกงที่เพิ่มขึ้นหมายความว่าธุรกิจส่วนใหญ่มีแนวโน้มที่จะประสบปัญหาการละเมิดความปลอดภัยในรูปแบบใดรูปแบบหนึ่ง ซึ่งอาจเกิดขึ้นได้แม้ว่าธุรกิจนั้นจะมีมาตรการรับมืออยู่แล้วก็ตาม ต่อไปนี้เป็นวิธีบางส่วนในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยแต่ละรูปแบบ
การติดไวรัสหรือแรนซัมแวร์
หยุดใช้คอมพิวเตอร์หรือเซิร์ฟเวอร์ที่ติดไวรัส และยกเลิกการเชื่อมต่อจากเครือข่าย หลังจากนั้น ให้รายงานเหตุการณ์ต่อพาร์ทเนอร์ธุรกิจและลูกค้าที่ได้รับผลกระทบ ตลอดจนหน่วยงานภาครัฐที่เกี่ยวข้อง ตัวอย่างเช่น ในญี่ปุ่น คุณต้องรายงานการติดไวรัสและแรนซัมแวร์ต่อ IPA จากนั้นดำเนินการตรวจสอบและกู้คืน การสำรองข้อมูลเป็นประจำสามารถลดความเสียหายจากเหตุการณ์ประเภทนี้ได้
การรั่วไหลของข้อมูล
การรั่วไหลของข้อมูลประกอบด้วยการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต กิจกรรมผิดกฎหมายที่กระทำโดยพนักงาน (เช่น การประพฤติมิชอบภายใน) การส่งอีเมลถึงผู้รับผิดราย และการเผยแพร่บนเว็บโดยไม่ได้ตั้งใจ หากเกิดเหตุการณ์เช่นนี้ ให้ยืนยันประเภทและจำนวนข้อมูลที่รั่วไหล ตลอดจนสถานะของมาตรการรักษาความปลอดภัย เช่น การเข้ารหัสและการจำกัดการเข้าถึง
ในกรณีที่มีการเข้าถึงโดยไม่ได้รับอนุญาต ให้ยกเลิกการเชื่อมต่ออุปกรณ์จากเครือข่ายทันทีและระงับบริการ ขั้นตอนนี้สำคัญมากเนื่องจากมีความเสี่ยงที่ข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับจะรั่วไหล หากข้อมูลบัตรเครดิตหรือบัญชีรั่วไหล โปรดติดต่อบริษัทบัตรเครดิตและระงับบัญชี
ในกรณีของการประพฤติมิชอบภายใน ให้จำกัดการเข้าถึงระบบภายในและเก็บรักษาหลักฐาน เช่น คอมพิวเตอร์ส่วนตัว หากส่งอีเมลถึงผู้รับผิดราย ให้ติดต่อพวกเขาและขอให้ลบอีเมลดังกล่าว หากมีการเผยแพร่ข้อมูลบนเว็บไซต์ของบริษัทโดยไม่ได้ตั้งใจ ให้ลบข้อมูลทันที หรือจำกัดการเข้าถึงเพื่อไม่ให้สามารถดูได้จากภายนอกองค์กร
หลังจากใช้มาตรการเหล่านี้แล้ว ให้รายงานและแจ้งให้ผู้ที่เกี่ยวข้องทราบตามความจำเป็นดังนี้
- หากข้อมูลที่รั่วไหล เช่น ข้อมูลบัญชี อาจถูกนำไปใช้ในทางที่ผิด ให้แจ้งเตือนบุคคลและธุรกิจที่ได้รับผลกระทบเพื่อป้องกันไม่ให้เกิดความเสียหายที่ตามมา
- หากข้อมูลส่วนตัวรั่วไหล ให้รายงานเรื่องนี้ต่อ PPC
- หากสาเหตุของการรั่วไหลของข้อมูลมีลักษณะเป็นอาชญากรรม เช่น การเข้าถึงโดยไม่ได้รับอนุญาตหรือการประพฤติมิชอบภายใน ให้รายงานรายละเอียดต่อตำรวจ
- หากสาเหตุของการรั่วไหลของข้อมูลเกิดจากไวรัสคอมพิวเตอร์หรือการเข้าถึงโดยไม่ได้รับอนุญาต ให้รายงานเหตุการณ์ต่อสำนักงานที่ขึ้นตรงต่อ IPA
จากนั้นให้ตรวจสอบขอบเขต สาเหตุ และความเสียหายของข้อมูลที่รั่วไหล แล้วดำเนินการกู้คืนเพื่อป้องกันการเกิดซ้ำ
ระบบหยุดทำงาน
หากระบบหยุดทำงาน อาจเป็นเรื่องยากที่จะระบุสาเหตุได้ในทันที สาเหตุที่เป็นไปได้ ได้แก่ ความล้มเหลวของอุปกรณ์ทั่วไปและการละเมิดความปลอดภัย เช่น การโจมตีทางไซเบอร์และข้อบกพร่องของซอฟต์แวร์ หากไม่ทราบสาเหตุ ธุรกิจควรตอบสนองราวกับว่าเหตุการณ์นั้นเป็นปัญหาด้านความปลอดภัย
หากระบบทำงานผิดปกติ ล้มเหลว หยุดทำงาน หรือมีสัญญาณว่าอาจเกิดเหตุการณ์ดังกล่าว โปรดติดต่อผู้ดูแลระบบหรือเจ้าหน้าที่รักษาความปลอดภัยข้อมูล โดยฝ่ายที่รับผิดชอบสามารถสลับหรือปิดเซิร์ฟเวอร์ได้ตามความจำเป็นตามสถานการณ์
หลังจากนั้น ให้ติดต่อพาร์ทเนอร์ธุรกิจและรายงานเหตุการณ์ต่อหน่วยงานภาครัฐที่เกี่ยวข้อง หากมีไวรัสหรือการเข้าถึงโดยไม่ได้รับอนุญาต ให้รายงานต่อสำนักงานที่ขึ้นตรงต่อ IPA, ตรวจสอบสาเหตุของเหตุการณ์ และดำเนินการกู้คืนและป้องกันการเกิดซ้ำ
ธุรกิจอีคอมเมิร์ซในญี่ปุ่นจะปรับปรุงการรักษาความปลอดภัยได้อย่างไร
มาตรการรักษาความปลอดภัยอีคอมเมิร์ซมีความสำคัญต่อการปกป้องการดำเนินงานในแต่ละวัน ไม่ว่าธุรกิจจะมีขนาดเท่าใด การฉ้อโกงบัตรและการรั่วไหลของข้อมูลยังคงเป็นความเสี่ยงที่ธุรกิจต้องต่อสู้อยู่เสมอ
ในช่วงไม่กี่ปีที่ผ่านมา การบูรณาการและการนำมาตรการต่างๆ เช่น 3D Secure มาใช้เพื่อเสริมสร้างการยืนยันตัวตน (เช่น ขั้นตอน Know Your Customer [KYC]) กลายเป็นเรื่องง่ายขึ้น ธุรกิจยังสามารถปฏิบัติตามมาตรฐานอุตสาหกรรม เช่น PCI DSS และนำบริการตรวจจับการฉ้อโกงมาใช้ได้ด้วย สิ่งสำคัญคือต้องระมัดระวังและใช้มาตรการเชิงรุกล่วงหน้า แม้ว่าธุรกิจจะไม่เคยประสบปัญหาด้านความปลอดภัย แต่ก็ไม่ได้หมายความว่าธุรกิจนั้นควรนิ่งนอนใจ เจ้าของธุรกิจควรปรับปรุงมาตรการรักษาความปลอดภัยสำหรับเว็บไซต์อีคอมเมิร์ซของตน เพื่อให้มั่นใจถึงความน่าเชื่อถือ ความน่าไว้วางใจ และความต่อเนื่องของธุรกิจอีคอมเมิร์ซ
Stripe Radar สามารถช่วยได้อย่างไร
Stripe Radar ใช้โมเดล AI ในการตรวจจับและป้องกันการฉ้อโกง โดยฝึกด้วยข้อมูลจากเครือข่ายทั่วโลกของ Stripe ซึ่งโมเดลเหล่านี้จะได้รับการอัปเดตอย่างต่อเนื่องตามแนวโน้มการฉ้อโกงล่าสุด เพื่อปกป้องธุรกิจของคุณเมื่อการฉ้อโกงพัฒนา
Stripe ยังมี Radar for Fraud Teams ซึ่งช่วยให้ผู้ใช้เพิ่มกฎที่กำหนดเองเพื่อจัดการกับสถานการณ์การฉ้อโกงเฉพาะสำหรับธุรกิจของตนและเข้าถึงข้อมูลเชิงลึกเกี่ยวกับการฉ้อโกงที่ล้ำสมัย
Radar สามารถช่วยธุรกิจของคุณได้ดังนี้
- ป้องกันการสูญเสียจากการฉ้อโกง: Stripe ประมวลผลการชำระเงินมากกว่า 1 ล้านล้านดอลลาร์ต่อปี ขนาดนี้ช่วยให้ Radar ตรวจจับและป้องกันการฉ้อโกงได้อย่างแม่นยำ ช่วยประหยัดเงินให้คุณ
- เพิ่มรายรับ: โมเดล AI ของ Radar ได้รับการฝึกฝนจากข้อมูลข้อโต้แย้งจริง ข้อมูลลูกค้า ข้อมูลการเรียกดู และอื่นๆ ซึ่งทำให้ Radar สามารถระบุธุรกรรมที่มีความเสี่ยงและลดผลลัพธ์บวกปลอม ส่งผลให้รายได้ของคุณเพิ่มขึ้น
- ประหยัดเวลา: Radar ถูกสร้างขึ้นใน Stripe และไม่ต้องใช้โค้ดในการตั้งค่า คุณยังสามารถตรวจสอบประสิทธิภาพการจัดการการฉ้อโกง เขียนกฎ และอื่นๆ อีกมากมายได้ในแพลตฟอร์มเดียว ซึ่งจะช่วยเพิ่มประสิทธิภาพ
อ่านเพิ่มเติมเกี่ยวกับ Stripe Radar หรือเริ่มใช้งานวันนี้
เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ