Come creare un gateway di pagamento sicuro

Pubblicato: 2021-10-07

È meglio prevenire che curare. E questa affermazione è ancora più vera per i negozi online. La protezione del processo di pagamento è fondamentale per mantenere la fiducia dei clienti e mantenere il flusso di affari e di reddito.

Il tuo sistema di pagamento è bloccato? Scopri di più sugli attacchi e assicurati di essere protetto con la nostra checklist di sicurezza.

Che aspetto hanno gli attacchi ai gateway di pagamento?

Quando un criminale informatico prende di mira il tuo gateway di pagamento, il suo obiettivo è scoprire o rubare informazioni sulla carta di credito che può poi vendere online.

Gli attacchi ai gateway di pagamento possono assumere la forma di:

  • Attacchi di enumerazione, che testano la validità delle combinazioni di carte di credito per trovare quelle che funzionano. Sul tuo sito, potrebbero sembrare numerosi tentativi falliti di effettuare il check-out con un piccolo ordine.
  • Credenziali di amministratore rubate. I criminali utilizzano tecniche di phishing o altri metodi per accedere al tuo account amministratore e al gateway di pagamento con l'obiettivo di rubare i dati della carta di credito dei clienti.
  • Dispositivi POS clonati. I malintenzionati copiano i dispositivi del tuo punto vendita (che utilizzano le credenziali del tuo gateway di pagamento) per generare ordini falsi.

Perché preoccuparsi della sicurezza del gateway di pagamento?

Una volta che il tuo negozio è attivo e funzionante, potresti essere tentato di pensare di essere abbastanza sicuro, soprattutto se non sei ancora stato al centro degli hacker. Ma quando i criminali prendono di mira il tuo gateway di pagamento, potresti trovarti di fronte a conseguenze come:

  • Tempo necessario per risolvere e affrontare le violazioni, impedendoti di dedicare tempo a parti della tua attività che generano reddito.
  • Problemi con le prestazioni del sito web, a causa del traffico proveniente da attacchi di forza bruta.
  • Fiducia erosa con il provider del tuo gateway di pagamento, che potrebbe comportare commissioni più elevate o cancellazione del servizio.

Come bloccare il tuo sito

Si spera che non dovrai mai preoccuparti di attacchi reali. Ma vai sul sicuro e pensa, tempo e investimento a ciascuno di questi problemi per assicurarti che il tuo sito sia bloccato.

Usa CAPTCHA per gli account utente e il processo di pagamento

Assicurati che i bot non possano entrare nel tuo sistema aggiungendo un CAPTCHA alle tue pagine di registrazione e checkout. Sebbene sia un passaggio in più per i clienti, ne vale la pena per il modo semplice ed efficace in cui impedisce ai bot di attaccare il tuo sito.

Esistono diversi metodi che puoi utilizzare per semplificare il processo per i tuoi clienti legittimi, aggiungendo comunque sicurezza. Considera le funzionalità avanzate dell'estensione ReCaptcha per WooCommerce per trovare il giusto equilibrio tra facilità e sicurezza.

Investi in un hosting di qualità

Il tuo host è il tuo partner in termini di prestazioni e sicurezza. Un fornitore di qualità includerà funzionalità di sicurezza critiche come:

  • Un certificato SSL, che crittografa le informazioni sui clienti come i dati e gli indirizzi delle carte di credito.
  • Server conformi a PCI che seguono tutte le linee guida delle società di carte di credito.
  • Scansioni regolari del sito, backup e monitoraggio degli attacchi di forza bruta.

Ma non fare affidamento solo sul tuo host. Prendi in considerazione l'aggiunta di un firewall al tuo sito, che funge da barriera tra il tuo negozio e gli hacker, impedendo loro di entrare.

Inoltre, strumenti come Jetpack Security forniscono scansioni malware, avvisi sui tempi di inattività e backup fuori sede.

Usa un plugin antifrode

Proteggi direttamente il tuo gateway di pagamento con un software antifrode che monitora i tuoi ordini e controlla eventuali attività sospette.

Estensioni come WooCommerce Anti-Fraud cercheranno le transazioni che rientrano nei tipici schemi di attacco e metteranno in blocco gli ordini sospetti e gli utenti discutibili.

valutazioni del rischio per un sito Web che utilizza WooCommerce Anti-Fraud

Puoi bloccare attività come:

  • Molti piccoli ordini effettuati in rapida successione
  • Un afflusso improvviso di ordini da una posizione geografica al di fuori della zona tipica degli ordini
  • Ordini effettuati da una blocklist di indirizzi e-mail e indirizzi IP
  • Differenze sospette tra indirizzi di fatturazione e spedizione
  • Pagamenti effettuati da conti PayPal nuovi e non verificati
  • Utilizzo di server proxy e altre attività di mascheramento

Puoi impostare il livello di sensibilità per gli ordini da segnalare per trovare il giusto livello di rischio per il tuo negozio.

Assicurati che le password siano sicure

Conosciamo tutti le nozioni di base quando si tratta di sicurezza delle password: utilizzare una varietà di caratteri, non utilizzare un nome o una data personale e non riutilizzare le password nei siti Web. Ma puoi aggiungere ulteriore sicurezza:

  • Rendere le tue password di amministratore ancora più complicate con caratteri speciali, ecc.
  • Aggiunta del software di blocco della password, che limiterà il numero di tentativi di accesso non riusciti
  • Garantire che gli utenti dispongano solo delle autorizzazioni minime necessarie per eseguire il proprio lavoro o attività
  • Essere a conoscenza delle truffe di phishing e non condividere mai le informazioni sulla password con aziende o individui sospetti

Le password possono anche essere utilizzate per proteggere alcune parti del tuo sito. Utilizzare l'estensione Categorie protette da password per limitare l'accesso alle aree comunemente sfruttate. Gli acquirenti dovranno disporre di un account per verificare la propria identità, oppure dovranno accedere alla password direttamente da te attraverso canali sicuri.

impostazioni nell'estensione Categorie protette da password

Limita la memorizzazione delle informazioni sulla carta di pagamento

Una grande caratteristica di WooCommerce è che non è necessario memorizzare i dati della carta di credito: il tuo gateway di pagamento gestirà le informazioni di sicurezza più vulnerabili e importanti.

Suggerimento chiave: assicurati che il gateway di pagamento selezionato utilizzi la tokenizzazione per trasmettere i dati della carta di credito avanti e indietro. Per la massima sicurezza, considera WooCommerce Payments .

Ma se desideri consentire ai tuoi clienti di impostare abbonamenti o registrarsi per i preordini, il tuo sistema potrebbe memorizzare alcune informazioni sulle opzioni di pagamento, sul tuo sito o tramite il tuo gateway di pagamento. Limita il numero di volte in cui i clienti possono aggiornare i dati della loro carta di credito. Diversi aggiornamenti al giorno sono una bandiera rossa degli attacchi di forza bruta.

Disattivare in sicurezza i dispositivi POS

Quando i dispositivi POS hanno esaurito la loro utilità, assicurati di disattivarli in modo sicuro. Ciò significa cancellare tutta la memoria e le impostazioni per garantire che eventuali codici di accesso o password memorizzate vengano rimossi e non possano essere clonati o copiati. Significa anche restituire questi dispositivi alla società di origine in modo che possano essere smaltiti in sicurezza; non lasciare che raccolgano polvere nel retro del tuo negozio.

Con tutte le parti del sistema di pagamento completamente protette, saprai di aver fatto tutto il possibile per mantenere la tua risorsa aziendale più importante sana e salva. Tieni a bada gli aggressori e assicurati di spendere le tue energie per generare reddito e crescita, invece di affrontare le violazioni della sicurezza.