随着网上购物和数字支付的日益普及,电商网站已成为日本人日常生活中不可或缺的一部分。然而,信用卡欺诈、个人信息泄露和网络攻击等安全风险也在逐年增加。由于资源有限,许多电商商家都在努力寻找如何处理这些问题的解决方案。
在本文中,我们将介绍日本电商商家的基本安全措施,以及应对欺诈性支付和信息泄露的一些方法。
本文内容
- 电商为何需要安全措施?
- 影响电商商家的常见安全事件
- 电商网站安全指南
- 电商网站的基本安全措施
- 如何应对电商中的安全威胁
- 日本电商如何提高安全性?
- Stripe Radar 如何提供帮助
电商为何需要安全措施?
随着电商市场的扩大,欺诈和网络攻击的手段也越来越复杂精密。信用卡信息攻击造成的损失日益严重。因此,必须加强安全措施。
防止信用卡欺诈造成损失的措施
据日本消费者信用协会 (JCA) 的数据显示,2024 年信用卡欺诈损失达到 555 亿日元,创历史新高。这一数额在短短五年内增长了一倍多。这表明,欺诈行为的增长与电商市场的发展成正比。
这些损失中的大部分(即 90% 以上)是由电商网站上的信用卡信息盗用造成的。这种盗用行为是通过钓鱼邮件、虚假购物网站和黑客入侵电商运营系统进行的。如果不采取基本的防范措施,就不可能减少这些损失。信用卡安全指南也要求电商企业采取具体措施。
保护客户的个人数据
电商网站会处理大量信用卡信息。此外,它们还处理个人信息,如姓名、地址、电话号码和电子邮件地址。个人信息一旦泄露,造成的损害并不局限于单个人。通常情况下,大量客户数据泄露,会造成重大的经济损失并对企业声誉造成打击。
因信用卡信息被盗而成为欺诈受害者的持卡人可能会收到意想不到的扣款,也可能因信息泄露而感到焦虑和不满。这可能会导致他们对电商网站失去信任。为了恢复信任,企业应在客户支持和调查上投入时间和资源。然而,数据泄露会损害整个企业的信誉和盈利能力。
网络攻击的持续风险
电商网站是网络攻击的理想目标。这是因为它们可以随时被访问,而且包含大量交易数据。经济产业省 (METI) 的一份报告强调,未经授权的访问、网络钓鱼和支付系统入侵呈上升趋势。近年来,攻击方法变得越来越复杂。它们已扩展到包括被称为“信用卡枚举攻击”的自动欺诈方法和使用人工智能(AI)的网络钓鱼欺诈。
影响电商商家的常见安全事件
电商网站可能会发生许多不同类型的安全事件。以下是一些常见的例子及其风险:
系统关闭
当电商网站因服务器或系统故障而关闭或不可用时,就会发生这种情况。网站一旦关闭,就会失去销售额和客户的信任。此外,恢复工作还可能导致人力和财务成本。
IPA 提供了《建设和运营电商网站的安全指南》,建议通过定期备份数据、引入冗余、实施访问控制和利用日志等方式为这些情况做好准备。
根据 IPA 和个人信息保护委员会 (PPC) 的一项调查,因电商网站关闭而造成的平均销售损失估计为 5700万日元。应对此类事件的平均成本估计为 2.4 亿日元。
网站更改
如果病毒或恶意软件侵入管理员终端或服务器,就会对系统或数据造成破坏。电商商家应安装杀毒软件,定期更新操作系统和软件,并建立黑客检测系统。
据国家警察厅 (NPA) 报道,已经有多起关于 “网络盗刷”犯罪的报告。这涉及在合法的电商网站中嵌入非法程序,以获取客户的银行卡信息。
未经授权的访问
当第三方未经授权进入管理界面或数据库查看、更改或删除数据时,就会出现这种情况。上述安全指南包括多因子身份验证、漏洞评估、访问控制和登录异常检测等关键应对措施。
使用开源软件 (OSS) 构建的电商网站可能面临特别大的风险。根据 IPA 的数据,97% 受影响的电商网站都是自主开发的,其中许多使用的是OSS系统。OSS系统虽然方便,但其漏洞也更容易被发现。例如,如果没有及时或正确地应用补丁,OSS系统很容易成为未经授权访问的目标。
勒索软件
这种网络攻击涉及欺诈行为者对系统或数据进行加密,并要求以金钱作为恢复系统或数据的条件。商家可以通过定期备份、单独存储、限制管理员权限和恢复培训来降低这种攻击的风险。
根据日本网络安全协会 (JNSA) 的报告显示,勒索软件攻击造成的经济损失从 1 千万日元到数亿日元不等。其中包括中小型企业,有些案例报告的损失超过 1 亿日元。
电商网站安全指南
信息技术促进局 (IPA) 发布的《电商网站建设与运营安全指南》为安全创建和运营电商网站提供了具体的安全准则。该指南主要面向中小型企业和独立商户。
主要指导方针有:
- 预防安全事件。
- 纠正设计和操作漏洞。
- 为非专业人员提供支持。
- 明确相关各方对内部和外包系统的责任。
安全指南不仅仅是一本技术手册。它们通过强调安全措施作为管理决策的重要性,将实际工作与决策制定相结合。此外,指南还提供了已经发生或可能发生的安全事件的原因、影响和风险的具体实例。
|
原因 |
影响和风险 |
|---|---|
|
内容管理系统 (CMS) 存在漏洞,导致网站被篡改 |
个人信息(包括信用卡信息)可能被泄露 |
|
泄露管理屏幕 ID 和密码 |
第三方可以查看或删除客户的机密数据 |
|
委托承包商评估系统配置和漏洞,而不对内部员工进行培训 |
当事故发生时,可能不容易找到原因,从而延长事故及其影响的时间 |
|
开发环境和测试页面公开可访问 |
潜在的欺诈行为者可以查看漏洞,使系统容易受到入侵 |
|
忽略更新和安全套接字层 (SSL) 设置 |
“中间人攻击”和通信拦截的风险增加 |
在所有的安全事件中,主要原因是责任归属不明确,以及缺乏对保护对象的清晰界定。该指导原则基于参与事件防范的各方主体,将安全措施划分为三个类别,并明确阐述了各方的职责。
电商网站经营者应:
- 决定网站创建、构建和运营政策
- 明确外包和供应商的选择、合同和管理
- 制定客户信息保护政策
开发和构建供应商应:
- 设计和实施无漏洞系统
- 进行验证和测试
- 更新和管理软件
运营和维护供应商应:
- 定期对服务器和软件进行漏洞支持
- 建立日志管理和监测系统
- 建立事故响应系统
电商网站的基本安全措施
对许多商家来说,更新和加强安全措施似乎很复杂。不过,重要的是要从可以立即完成的简单步骤开始,比如加强密码强度和审查共享设置。然后,商家可以逐步建立强大的安全系统。以下是一些电商商家应该考虑的具体措施:
集成应用三域安全 (3D Secure) 2.0 进行身份验证
3D Secure 2.0 是一个可加强信用卡支付身份验证的系统。一次性密码和生物身份验证可以防止使用冒充策略的未经授权支付。
与传统密码方法相比,该系统还能改善客户体验,同时兼顾安全性和便利性。这使得它越来越受到信用卡公司和支付服务提供者的青睐。尚未集成 3D Secure 的电商网站面临着拒付和拒绝交易的风险。因此,电商商家应尽早考虑采用。
遵守支付卡行业数据安全标准 (PCI DSS)
PCI DSS 是一项针对处理信用卡信息的商家的国际安全标准。该标准提供了详细的规范,如信息加密、访问控制和日志管理等。企业内部处理银行卡信息时必须严格遵守。
然而,在公司内部管理所有这些要求可能是一个很大的负担,因此许多商家使用符合 PCI DSS 要求的支付代理来减轻这一负担,同时还能满足要求。
实施信用卡欺诈检测
欺诈性交易最初并不总是显而易见的。商家往往是在交易完成后才发现。因此,建立一个能实时检测和应对欺诈交易迹象的系统非常重要,尤其是在交易进行或结算之前。以下是一些应将交易标记为可疑的特征:
- 从有欺诈历史的地区进入
- 来自同一 IP 地址的连续银行卡输入
- 客户信息和持卡人姓名不匹配
- 短时间内多次购买高价值物品
使用一个系统,在交易被归类为风险交易时自动阻止或保留交易以供审查,可以防患于未然。
如何应对电商中的安全威胁
实施安全措施有助于减少安全事件的发生。然而,欺诈案件的增加意味着大多数商家都有可能遭遇某种安全漏洞。即使商家采取了应对措施,也可能发生这种情况。以下是应对特定安全事件的几种方法:
病毒感染或勒索软件
停止使用受感染的计算机或服务器,并断开其与网络的连接。之后,将事件报告给受影响的商家合作伙伴和客户,以及任何相关的政府机构。例如,在日本,病毒和勒索软件感染必须向 IPA 报告。然后,继续进行调查和恢复工作。定期备份数据可以将此类事件造成的损失降到最低。
数据泄露
数据泄露包括未经授权的网络访问、员工实施的非法活动(即内部不当行为)、发错的电子邮件以及意外发布到网络上。如果发生这种情况,请确认泄漏数据的类型和数量,以及加密和访问限制等安全措施的状态。
如果发生未经授权的访问,请立即断开设备与网络的连接并暂停服务。这一点很重要,因为存在个人信息或机密信息泄露的风险。如果信用卡或账户信息泄露,请联系信用卡公司并暂停账户。
如果是内部不当行为,应限制访问内部系统并保存证据,如个人电脑。如果电子邮件发送给了错误的收款人,应联系他们并请求他们删除邮件。如果信息被错误地发布在公司网站上,应立即删除或限制访问权限,使组织外部无法查看。
采取这些措施后,请务必根据需要报告和通知相关方:
- 如果泄漏的信息(如账户信息)可能被滥用,应提醒受影响的个人和商家,防止造成二次伤害。
- 如果个人信息泄露,请向 PPC 报告。
- 如果信息泄漏的原因属于犯罪性质,如未经授权的访问或内部不当行为,则应向警方报告详情。
- 如果信息泄漏的原因是计算机病毒或未经授权的访问,则应向 IPA 报告办公室报告该事件。
然后,调查泄漏信息的范围、原因和危害。然后,开展恢复工作,防止再次发生。
系统关闭
如果发生系统关闭,可能很难立即查明原因。潜在原因包括一般设备故障和安全漏洞,如网络攻击和软件漏洞。如果原因不明,商家应将其作为安全问题来应对。
如果出现系统故障、故障、关机或即将发生故障的迹象,请联系系统管理员或信息安全官。根据情况,负责方可在必要时切换或关闭服务器。
之后,联系商家合作伙伴,并向相关政府机构报告事件。如果存在病毒或未经授权的访问,则向 IPA 报告办公室报告。调查事件原因,并进行修复和防止再次发生。
日本电商企业如何提高安全性?
电商安全措施对于保护日常运营非常重要。无论商家规模大小,银行卡欺诈和数据泄露始终是商家必须努力应对的风险。
近年来,采用和集成 3D Secure 等各种措施来加强身份验证(即了解您的客户 [KYC] 程序)变得越来越容易。商家还可以遵循行业标准(如 PCI DSS),并引入欺诈检测服务。保持警惕并提前采取主动措施非常重要。商家没有遇到安全问题并不意味着就可以掉以轻心。企业主都应加强电商网站的安全措施,以确保电商业务的可靠性、可信度和连续性。
Stripe Radar 如何提供帮助
Stripe Radar 使用人工智能模型来检测和预防欺诈,这些模型是根据 Stripe 全球网络的数据训练而成的。它基于最新的欺诈趋势不断更新这些模型,随着欺诈的发展保护您的商家。
Stripe 还提供 Radar 风控团队版,该版本允许用户添加特定于其业务的自定义欺诈场景识别规则,并支持获得高级欺诈洞察。
Radar 可以帮助您的企业:
- 预防欺诈损失: Stripe 每年处理超过 1 万亿美元的支付。这种独特的规模使 Radar 能够准确检测和预防欺诈,为您节省资金。
- 提高收入: Radar 的人工智能模型接受了实际争议数据、客户信息、浏览数据等的训练。这使 Radar 能够识别高风险交易并减少误报,从而增加您的收入。
- 节省时间: Radar 内置在 Stripe 中,无需编写任何代码即可设置。您还可以在一个平台上监控欺诈表现、编写规则等,提高效率。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。