CEO @CyStack
Bảo mật thanh toán là một trong những vấn đề trọng yếu nhất của thương mại điện tử. Các vụ trộm cắp tài khoản và gian lận thanh toán đang ngày càng gia tăng trên các nền tảng giao dịch online. Bởi vậy, vấn đề an toàn và bảo mật đã trở thành mối quan tâm hàng đầu của khách hàng và yêu cầu tất yếu đối với các doanh nghiệp thương mại điện tử và bán lẻ.
Trên thế giới, nhiều vụ việc nghiêm trọng liên quan đến gian lận thanh toán và tấn công mạng đã diễn ra. Vai trò của các giải pháp bảo mật thanh toán đối với an toàn thông tin của toàn bộ hệ thống ứng dụng thương mại là vô cùng quan trọng. Dưới đây là 10 giải pháp phù hợp điển hình mà các nhà phát triển các hệ thống thương mại điện tử cần lưu ý.
Giải pháp bảo mật thanh toán điện tử
1. Hợp tác với một đơn vị thanh toán online
Một đơn vị thanh toán chuyên nghiệp không chỉ mang lại giá trị về mặt kỹ thuật mà còn hỗ trợ doanh nghiệp vận hành và duy trì các chính sách để tuân thủ theo tiêu chuẩn PCI thông qua các hoạt động đào tạo, đánh giá rủi ro và cung cấp dịch vụ hỗ trợ khách hàng 24/7. Một số đơn vị còn cung cấp bảo hiểm trong trường hợp xảy ra gian lận do xâm nhập dữ liệu.
Một ví dụ điển hình là việc Grab liên kết với ví điện tử Moca sau một khoảng thời gian tự triển khai cổng thanh toán GrabPay thất bại. Việc hợp tác với Moca giúp Grab lược bỏ được nhiều việc không cần thiết và tập trung vào phát triển số lượng đối tác và khách hàng để vượt mặt đối thủ.
2. Theo dõi các giao dịch đáng ngờ
Doanh nghiệp thương mại điện tử cần nhận thức rõ ràng về “giao dịch đáng ngờ” nhằm theo dõi và phát hiện sớm các dấu hiệu gian lận.
Đã từng xảy ra một vụ tổn thất từ giao dịch đáng ngờ cho một doanh nghiệp thời trang. Khi đó, khách hàng đăng nhập vào website từ địa chỉ IP cũ và thanh toán đơn hàng lớn với nhiều thẻ tín dụng khác nhau. Đây là dấu hiệu sử dụng trộm cắp và sử dụng thẻ tín dụng phi pháp, tuy nhiên – chủ cửa hàng không hề nhận biết được điều này cho đến khi tổn thất đã xảy ra hình thành. Đơn hàng lớn thường là dấu hiệu đáng ngờ, đặc biệt là đơn hàng yêu cầu vận chuyển ngay. Tuy nhiên một dấu hiệu riêng lẻ không thể khẳng định đó là giao dịch gian lận.
3. Xác thực địa chỉ đối với mọi giao dịch
Đối với doanh nghiệp kinh doanh online, người mua và chủ thẻ có thể là một hoặc hai chủ thể khác nhau, do vậy việc phân tích, dự đoán điều này là rất cần thiết. Một kỹ thuật phổ biến để thực hiện việc này là xác thực địa chỉ.
Hệ thống sẽ kiểm tra sự trùng khớp giữa địa chỉ thanh toán và địa chỉ của khách hàng được lưu trữ tại ngân hàng phát hành thẻ trước khi cấp phép giao dịch. Nhờ vậy, khách hàng sử dụng thẻ tín dụng bị đánh cắp sẽ không thể thực hiện giao dịch.
Tuy nhiên, địa chỉ thanh toán không trùng khớp với thông tin thẻ chỉ là một dấu hiệu và không thể khẳng định giao dịch thanh toán bất hợp pháp. Bởi vậy doanh nghiệp cần phối hợp nhiều biện pháp bảo mật để xác định khách hàng xấu.
4. Mã hóa để Bảo mật thanh toán
Mã hóa là phương pháp biến đổi thông tin thành dãy ký tự phức tạp và khó có thể giải mã nếu không có đầy đủ thông tin về thuật toán được sử dụng. Mã hóa cho phép truyền tải thông tin một cách an toàn và bảo mật.
Mã hóa và quá trình mã hóa
Mã hóa Văn bản gốc (Thuật toán) Bản mã
Giải mã Bản mã (Thuật toán) Văn bản gốc
Có nhiều phương thức mã hóa khác nhau, việc lựa chọn phương thức mã hóa phụ thuộc vào từng hoàn cảnh và yêu cầu cụ thể. Một số phương thức mã hóa phổ biến trong thương mại điện tử là Mã hóa khóa công khai (Public key encryption) và Mã hóa khóa đối xứng (Symmetric key encryption).
5. Bảo mật thanh toán bằng Giao thức SSL
Secure Socket Layer (SSL) là mô hình bảo mật thông qua kênh thanh toán, được phát triển và ứng dụng rộng rãi nhất trong thương mại điện tử hiện nay.
Thông qua SSL, thông tin được mã hóa, truyền tải và xác thực giữa máy chủ và thiết bị kết nối của khách hàng thông qua liên kết TCP/IP, do đó thông tin được bảo mật toàn vẹn. Giao thức SSL được thiết kế để ngăn chặn những nỗ lực giả mạo thông tin trong quá trình truyền tải thông tin giữa các ứng dụng bằng mạng Internet.
6. Giao thức HTTPS
Hypertext Transfer Protocol Secure (HTTPS) là Giao thức Truyền tải siêu văn bản (HTTP) được nâng cấp nhằm đảm bảo bảo mật trong quá trình xác thực, mã hóa khóa công khai và ký điện tử.
HTTPS cho phép các website thương mại điện tử thực hiện giao dịch một cách bảo mật thông qua quy trình mã hóa giữa máy chủ và thiết bị của khách hàng. Công nghệ này là một sự nâng cấp liền mạch của HTTP với khả năng bảo mật tối ưu thông qua một cơ chế phòng vệ khác.
Xem thêm: HTTPS là gì? Tại sao website nên dùng HTTPS?
7. Tiêu chuẩn Giao dịch Điện tử An toàn (SET)
Các cấu phần tham gia vào giao dịch điện tử an toàn:
- Chủ thẻ
- Internet
- Doanh nghiệp
- Cổng thanh toán
- Ngân hàng thanh toán thẻ
- Mạng lưới thanh toán
- Ngân hàng phát hành thẻ
- Đơn vị cấp phép thanh toán
Tiêu chuẩn Giao dịch Điện tử An toàn (SET) được phối hợp ban hành bởi MasterCard và VISA với mục tiêu đảm bảo an toàn và bảo mật thông tin cho các cá nhân, tổ chức tham gia vào việc thanh toán điện tử để thực hiện giao dịch mua bán online. SET đưa ra tiêu chuẩn và quy trình xử lý giao dịch như:
- Xác thực chủ thẻ và doanh nghiệp
- Bảo mật dữ liệu thanh toán
- Định nghĩa dịch vụ, nhà cung cấp dịch vụ bảo mật điện tử và giao thức bảo mật điện tử
8. Tuân thủ Tiêu chuẩn An ninh Dữ liệu Thẻ (PCI DSS)
Hội đồng An ninh Dữ liệu Thẻ được thành lập năm 2006 với mục tiêu xác định tiêu chuẩn cho các tổ chức đang thực hiện nghiệp vụ chấp nhận, xử lý, lưu trữ và truyền tải thông tin thẻ tín dụng nhằm đảm bảo môi trường giao dịch an toàn.
PCI DSS không phải là luật pháp mà là hệ tiêu chuẩn bảo mật được các tổ chức thẻ lớn trên thế giới như VISA, Mastercard, JCB, AMEX và Discover phối hợp ban hành. Đơn vị không tuân thủ PCI có thể bị xử phạt hành chính, phải trả phí thay thế thẻ, buộc thực hiện kiểm toán và gánh chịu tổn thất về mặt thương hiệu.
Trụ cột của Tiêu chuẩn An ninh Dữ liệu Thẻ
- Mạng lưới bảo mật: duy trì tường lửa để bảo vệ dữ liệu khách hàng
- Bảo mật dữ liệu: mã hóa và bảo vệ thông tin khách hàng trong quá trình truyền tải
- Quản lý rủi ro: đảm bảo an toàn hệ thống bằng cách nhận diện và xử lý nguy cơ tiềm ẩn
- Quản lý truy cập: hạn chế quyền truy cập dữ liệu chủ thẻ
- Giám sát: thường xuyên giám sát mạng lưới và theo dõi vết truy cập tài nguyên hệ thống
- Duy trì: duy trì chính sách bảo mật
“Phòng bệnh hơn chữa bệnh!”. Chi phí và nguồn lực cho việc phòng ngừa rủi ro có thể hạn chế tổn thất khổng lồ từ rủi ro mạng.
9. Màn hình đăng nhập an toàn
Giao dịch thương mại điện tử bắt đầu với màn hình đăng nhập hệ thống. Như vậy thiết kế website thương mại điện tử cũng cần chú ý đặc biệt tới màn hình đăng nhập. Thiết kế một màn hình đăng nhập an toàn là việc đơn giản nhưng lại có thể giảm thiểu đáng kể nguy cơ bị tấn công do hacker xâm nhập và truy cập thông tin.
10. Chữ ký điện tử
Chữ ký điện tử có ý nghĩa xác định danh tính khách hàng. Chữ ký điện tử thực chất là một phương thức mã hóa thông tin bằng đặc tính riêng có của khách hàng, được sử dụng để xác thực giao dịch.
Thông tin (Mã khóa cá nhân) Chữ ký (Mã khóa mở)
Một khi đã được xác lập, mối liên hệ giữa dữ liệu giao dịch và chữ ký là duy nhất và không thể thay thế bất cứ cấu phần nào. Ngay cả trong trường hợp một cấu phần bị thay thế, hệ thống sẽ tự động nhận diện chữ ký không hợp lệ.
Tóm lại, chữ ký điện tử là công cụ cấp quyền giao dịch và bảo mật thông tin hữu hiệu.
Lời kết
Đến đây, có lẽ bất cứ doanh nghiệp nào cũng có thể nhận thấy lỗ hổng an ninh trong hệ thống của mình nếu thiếu một trong những giải pháp trên. Đây là những tiêu chuẩn cũng như giải pháp tối cần thiết khi xây dựng một website thương mại điện tử.
Hệ thống thanh toán là nơi tài sản của khách hàng và doanh nghiệp được bảo vệ hoặc bị tấn công, tùy thuộc vào mức độ an toàn của website. Do đó đây là cấu phần quan trọng nhất của website thương mại điện tử.
Nếu doanh nghiệp của bạn từng trải qua các cuộc tấn công mạng, hoặc cần hỗ trợ xây dựng một nền tảng giao dịch online an toàn, hãy tìm đến các chuyên gia trong lĩnh vực này để được tư vấn và triển khai giải pháp phù hợp.