作者:Brian Chua,信息系统安全经理
在当今数字化进程日益加速的经济环境下,人们交互、工作、娱乐消费和购物的方式发生了根本性的改变。
在互联网早期时代,顾客可能会对在线向商户提供敏感信息(如信用卡详细信息)有所顾虑。如今,为了追求高效便捷,大多数人已逐渐接受让电商平台存储其支付信息的做法。
然而,打造无缝用户体验的同时也有潜在隐患:用户的隐私和数据面临泄露的风险。线上市场每天承载着数以百万计的交易处理任务,这不仅赋予了其数据极高的价值属性,也招致了恶意分子的觊觎。
一旦让黑客得手,企业就会遭受巨大财产损失和信誉损害。
IBM的一份报告显示,去年全球因数据泄露造成的平均损失高达445万美元。
因此,构建强大的安全框架对于维系客户信任、确保业务连续性及优化拓展战略至关重要。
Antom子公司2C2P为什么安全可靠?
Antom子公司2C2P始终遵循严格的安全实践,确保为商户及其客户提供最高级别的安全保障。我们建立了一套全方位端到端的安全框架,覆盖以下四大核心领域:
产品安全
基础设施防护
安全态势
标准与法规合规性
产品安全
我们在产品设计与决策阶段采用了安全设计理念,并配备多项功能,可以助力商户保护其数据。
安全连接:我们采用HTTPS加密协议搭配TLS 1.2版本,确保传输至我们服务、公共网站和商户网页门户的数据得到安全保护。我们还会针对实施情况定期审查SSL证书、证书颁发机构和所支持的加密算法,以确保我们的安全框架符合最新标准。
访问与授权:商户可通过商户网页门户为其员工分配详细角色,确保以最小权限原则提供访问权限。
审计日志:商户可查看账户变更和活动的审计日志。这些审计日志记录了诸如登录时间、登出时间以及账户信息变更等敏感账户活动。
基础设施防护
我们的服务器强制实施最佳实践安全配置,并在生命周期结束前持续升级,确保安全补丁可用并安装到位。此外,我们还通过网络隔离手段限制服务器间数据流动,从而有效保护敏感数据。
存储数据:信用卡号或主账户号码(PAN)在存储前会经过AES 256加密处理。用于加密/解密的加密密钥存放在独立设备上,并由专门团队严格管理。
零信任安全模型:员工在接入公司网络时,需通过单点登录(SSO)结合双因素身份验证(使用基于软件的令牌)进行身份验证。接入网络后,还需要额外验证才能访问内部系统。
安全态势
我们持续了解资产清单状况以及预防、检测和应对安全事件的能力,以此来维持强大的安全态势。
安全团队:我们拥有专门的安全团队,成员专注于网络安全、系统安全、应用安全和操作安全等不同安全领域。
安全意识:我们要求员工至少每年完成一次安全意识培训,同时为开发人员提供安全应用开发培训。此外,我们还通过模拟钓鱼演练让员工学习、识别并向安全团队报告潜在的钓鱼攻击。
漏洞管理:我们的安全团队负责开展渗透测试,并定期扫描我们的基础设施查找漏洞。随后,团队会根据问题的严重性在预设期限内修复漏洞。
标准与法规合规性
我们采用顶级安全框架和标准,构筑高级别的安全保障体系。
支付卡行业(PCI)要求:Antom子公司2C2P完全符合《支付卡行业数据安全标准》(PCI DSS)的要求,并获得了一级服务提供商认证。我们的3D Secure产品严格执行支付卡行业3-D Secure(PCI 3DS)的所有规定。我们每年至少接受一次由合格安全评估商(QSA)实施的评估。
ISO 27001:ISO 27001是一项关注信息安全的国际标准。2C2P已建立起一套信息安全管理体系(ISMS),以系统化方式保障信息的安全。我们每年至少接受一次由独立第三方审核机构进行的认证审核。
系统和组织控制(SOC)报告:SOC报告由独立第三方出具,展示了2C2P如何切实实现关键合规控制和目标。 我们的SOC 2报告表明,我们的控制环境及其审计结果符合美国注册会计师协会(AICPA)信任服务准则的安全性、可用性、处理完整性和保密性标准。
安全信任保证与风险(STAR)认证:2C2P已获得安全信任保证与风险(STAR)二级认证,该认证是对云服务提供商安全性的第三方独立评估,结合了SOC 2的要求以及云安全联盟(CSA)的云控制矩阵(CCM)标准。2C2P已获得独立认证,证明我们的控制措施在设计和运行有效性方面符合CSA CCM标准要求。
个人数据保护:ISO 27701标准为个人可识别信息(PII)控制者和处理者提供了管理隐私控制的框架,旨在降低对个人隐私权的风险。我们每年至少接受一次由独立第三方审核机构进行的认证审核。
在线支付处理最佳实践
网络安全协议是最大程度减少数据安全漏洞的关键。虽然并非所有措施都是强制性要求,但这类协议在防范此类威胁方面却能发挥至关重要作用。
PCI DSS合规性:PCI DSS是由Visa、万事达卡(Mastercard)、美国运通(American Express)、Discover和JCB联合制定的一套标准化安全协议,旨在保护持卡人的信息安全。接受信用卡支付的企业必须遵守PCI DSS相关要求,否则可能面临罚款风险。
使用3D Secure:3D Secure在结账环节要求持卡人提供附加认证信息,以此增强电子商务的安全性,从而降低了未经授权交易的风险。
实施令牌化:此技术通过将持卡人信息(如PAN)替换为随机字符串来保护敏感支付数据。即使黑客能够访问支付数据,也无法提取关键信息。
部署欺诈监测工具:此工具利用数据分析和机器学习等多种技术手段监测并阻断可疑支付交易,使用欺诈监测工具有助于监测并防止欺诈性支付交易的发生。
关于Antom子公司2C2P
Antom子公司2C2P是一家提供全方位支付解决方案的平台,协助各类企业的在线、移动及线下渠道的安全支付事务处理,并提供发卡、批量付款、汇款及数字商品服务。
凭借从信用卡到移动钱包等超过400种支付选项以及逾60万个实体网点构成的庞大替代支付网络,2C2P已成为科技巨头、航空公司、在线市场、零售商及其他全球企业的首选支付服务平台。
借助2C2P屡获殊荣的高安全支付平台,您的企业及客户可以获得无忧保障和额外安全层防护。
