Мобильные платежи и безопасность: как избежать рисков

 

Электронная коммерция активно применяет мобильные приложения для платежей. Это гораздо удобнее и безопаснее, чем оплата наличными. Технологии, делающие акцент на удобстве пользователей, всегда будут привлекать к себе внимание клиентов.

Безопасные мобильные платежи значительно улучшат качество обслуживания клиентов вашего бизнеса, оптимизируют процессы и сократят затраты.

Несомненно, мобильные платежи будут продолжать эволюционировать. У них есть все предпосылки полностью заменить пластиковые карты.

Мобильный платёж – это денежная операция, осуществляемая посредством мобильного девайса, чаще всего смартфона.

 

Преимущества мобильных платежей

  • Мобильные платежи улучшают взаимоотношения с вашими клиентами

Простота – залог успеха! Шаги сведены к минимуму, клиентам не приходится запоминать свои карты или отвечать на вопросы, связанные с проверкой безопасности. Транзакция совершается буквально в одно касание. Согласно Statista, мобильные платежи стремительно набирают популярность.

mobile payments

 

  • Мобильные платежи помогают развитию вашей маркетинговой стратегии

Благодаря мобильным платежам вы можете получить доступ к информации о личных предпочтениях ваших клиентов или истории их покупок. У вас появляется возможность легко сегментировать клиентов в маркетинговых целях, чтобы обращать их внимание на определенные типы товаров во время (или после) совершения покупки.

mobile payment 3

 

  • Мобильные платежи просты и безопасны

Мобильные платежи на самом деле более безопасны, чем другие способы оплаты. Поскольку данные для мобильного платежа зашифрованы, риск их кражи значительно снижается. Клиент чувствует себя при этом увереннее, что в итоге влияет и на его доверие к вам.

 

Платежные системы и сервисы

mobile payments and security

По мнению многих экспертов, мобильные способы оплаты, предлагаемые крупными провайдерами, более безопасны, чем физические карты и наличные деньги. При оплате кредитной картой сохраняется риск, что реквизиты могут быть скопированы мошенниками. Системы электронных платежей используют такие методы защиты, как шифрование и токенизация, чтобы маскировать номера учетных записей платежных карт при совершении оплаты.

  • Android Pay

Никогда не передает информацию о кредитных или дебетовых картах пользователей. Фактически, даже не хранит номера кредитных карт на устройстве. Вместо этого система использует токены – разовый набор цифр, не представляющий интереса для злоумышленников. Приложение, в свою очередь, привязывается к устройству, на котором оно было зарегистрировано и запущено впервые, что делает мобильный платеж еще более безопасным.

  • Apple Pay

Использует аналогичный процесс. Когда клиент вводит данные в Apple Pay, система шифрует данные и отправляет их на серверы Apple. Данные перенаправляются в банк, который генерирует номер учетной записи устройства и отправляет ее обратно в Apple.

Apple не расшифровывает номер учетной записи устройства и отправляет его в Secure Element на телефоне клиента. Таким образом, данные номера учетной записи устройства или платежной карты не сохраняются в Apple.

  • Samsung Pay

Прибегает сразу к нескольким способам обеспечения безопасности. Избегает кибератак, используя помимо токенизации инфраструктуру безопасности KNOX и аутентификацию отпечатков пальцев.

 

Риски мобильных платежей

mobile payments and security

Несмотря на предпринимаемые меры, мобильные платежи не защищены полностью от вторжений хакеров и похищения личных данных. Почему же так происходит? Дело в том, что большая часть рисков, связанных с мобильными платежами, заключается в том, как они используются клиентами.

В 2015 году некоммерческая организация ISACA опросила 900 экспертов по кибербезопасности для выявления наиболее актуальных угроз безопасности мобильных приложений для платежей.

security 5

Кроме кражи финансов, респонденты отметили еще 3 наиболее важные проблемы, угрожающие безопасности мобильных платежей:

  • использование мобильных платежей на общедоступном Wi-Fi;
  • кража мобильных устройств;
  • фишинг электронной почты.

Кроме того, всегда существует риск, что клоны приложений, преднамеренно содержащие вирус, могут быть по ошибке загружены вместо аутентичных приложений для оплаты. Телефоны устаревших моделей также более уязвимы для мошенничества, поскольку их легче взломать.

Чешская компания Avast недавно провела глобальный опрос, в котором приняли участие более 40 000 человек из 12 стран. В рамках исследования людям предлагалось сравнить в мобильном приложении подлинность официального банковского интерфейса с подделкой, созданной злоумышленниками.

Результаты оказались любопытными:

mobile payments 4

 

Способы обеспечения безопасности мобильных платежей

  • Бесконтактная мобильная оплата на основе технологии NFC

Сама по себе технология NFC не нова. Ранее она использовалась при разработке пропусков, проездных билетов и посадочных талонов на самолёт. Теперь она с успехом интегрирована в мобильные девайсы.

Технология NFC предельно проста. Мобильное устройство просто подносится к платёжному терминалу, и обмен данных происходит буквально за одно мгновение. Может использоваться как встроенный мобильный чип (Secure Element), так и обычная SIM-карта.

Преимущества NFC:

  • все ценные данные (токены, ключи ограниченного действия) хранятся на Secure Element;
  • никто не имеет доступ к платежной системе.

 

  • Cloud Based Payments

Технология облачных платежей Cloud Based Payments является альтернативой хранения платежных реквизитов карты на защищенном модуле мобильного устройства.

Вся информация хранится на удалённом сервере, в то время как на телефоне установлена технология HCE (host card emulation). Приложение, запущенное на телефоне, отвечает на команды от POS-терминала (внешнего считывателя).

HCE не представляет никакой ценности для злоумышленников. Весь секрет в том, что расшифровать данные возможно только при помощи данного приложения и только на том телефоне, на котором оно запущено. Данные не смогут быть использованы для совершения платежных операций через интернет (как в случае с обычной банковской картой).

Secure Element предлагается либо производителем телефонов, либо мобильным оператором, с которым ведется сотрудничество в процессе разработки приложения.

 

4 уровня защиты безопасности

mobile payments

  • Все данные хранятся внутри файловой системы

Самый простой, наименее затратный, но в то же время наименее надежный способ. Телефон может стать жертвой злоумышленника, который без труда сможет получить доступ ко всей файловой системе и управлять ей на правах администратора.

Риски значительно возрастают, если ваша файловая система является открытой, поэтому лучше использовать зашифрованную файловую систему.

  • Удаленный сервер для защиты данных

При применении данного способа приложение взаимодействует только с токенами. Относительно недорогой, но также далеко не идеальный вариант обеспечения защиты безопасности.

  • TEE (trusted execution environment)

Разрабатывается отдельная примитивная (урезанная) ОС, работающая на том же чипе, что и основная ОС. Обе они изолированы друг от друга. У мобильного приложения нет доступа к данным, сгенерированным и хранящимся в пределах ТТЕ.

  • Secure Element, или метод SIM-карты

Наиболее серьёзный (и самый затратный) уровень безопасности во всех отношениях. Вся информация хранится внутри Secure Element, специальной сертифицированной микросхемы. Приложения ОС не имеют к ней доступа.

Для улучшения безопасности ваших приложений мы рекомендуем проводить анализ и независимый аудит как в процессе разработки, так и на конечном этапе реализации продукта. При этом вы сможете выявить уязвимости и протестировать защищенность вашего приложения.

 

3 совета, которые помогут вам избежать проблем с безопасностью

1. Обучите своих клиентов.

Сделайте все возможное, чтобы ваши клиенты были в курсе опасностей возникновения приложений-клонов. Просветите ваших клиентов о важности загрузки приложений только из магазинов приложений, а также о важности своевременных обновлений приложений для обеспечения самого высокого уровня безопасности платежей.

2. Внедрите проверку аутентификации.

Многие мобильные устройства поддерживают возможность осуществления биометрической аутентификации – идентификации отпечатка пальца пользователя. При использовании более старых устройств могут применяться альтернативные методы идентификации: двухфакторная аутентификация или виртуальные токены.

3. Используйте стандарт безопасности данных PCI DSS 1.

PCI DSS 1 – это сертифицированные поставщики платежных услуг, обеспечивающие наивысший уровень безопасности. У таких поставщиков есть черные списки и обширные данные для выявления мошенников, а также пресечения тенденций разработки мошеннических схем. Они используют продвинутые алгоритмы, геолокацию и отслеживание IP-адресов. Всё это помогает обнаружить потенциальные нарушения безопасности и выявить мошеннические транзакции.

Потребители все чаще используют мобильные платежи для онлайн и офлайн-покупок. Более того, они предпочитают, чтобы у них появилась возможность использовать мобильные платежи во всех сферах – начиная от продуктов питания и одежды и заканчивая бронированием гостиничных номеров.

Принимая решение разработать мобильное приложение с возможностью совершения безопасных мобильных платежей сегодня, вы инвестируете в процветание вашего бизнеса завтра.

 

Закажите безопасное мобильное приложение в Umbrella прямо сейчас!

 

 

 

Фото: Shutterstock.com


Ещё

  • Выбирай, но проверяй: нанимайте топовых Angular разработчиков
    Выбирай, но проверяй: нанимайте топовых Angular разработчиков
      Выбирая разработчиков, вы выбираете не только технологии и скиллы, но инструменты и процессы, которые они используют. В этой статье вы узнаете о том, на какие моменты стоит обращать внимание при найме AngularJS и Angular специалистов, чтобы они соответствовали конкретным задачам вашего проекта и вывели ваш продукт на топовый уровень.   Проекты на Angular: от нуля …
  • Грядут перемены: новые возможности мобильных приложений в эпоху 5G
    Грядут перемены: новые возможности мобильных приложений в эпоху 5G
      Люди всегда стремились передавать информацию на большие расстояния. В древности это были сигнальные костры и почтовые голуби. В век технологий появились более совершенные способы: интернет и мобильная связь, которые постоянно эволюционируют. Одним из таких витков эволюции стали разработки в области 5G. 5G – новое поколение мобильной связи, открывающее неизведанные ранее горизонты как для пользователей, …
  • Будущее начинается сегодня: как голосовые фичи могут помочь вашим мобильным приложениям добиться головокружительного успеха
    Будущее начинается сегодня: как голосовые фичи могут помочь вашим мобильным приложениям добиться головокружительного успеха
      В фильмах из серии научной фантастики, люди нередко взаимодействуют с разного рода говорящими девайсами. Технический прогресс стремительно развивается, особенно это касается смартфонов, ведь они всегда под рукой, более того – реальность зачастую оказывается гораздо удивительнее, чем художественный вымысел. В нашей новой статье мы расскажем вам о преимуществах и перспективах голосовых фич, приведём примеры индустрий, …