У вас отключен JavaScript
Для пользования сайтом, необходимо, чтобы JavaScript был включен. Посмотреть как включить, выберите свой браузер:

Мобильные платежи и безопасность: как избежать рисков

 

Электронная коммерция активно применяет мобильные приложения для платежей. Это гораздо удобнее и безопаснее, чем оплата наличными. Технологии, делающие акцент на удобстве пользователей, всегда будут привлекать к себе внимание клиентов.

Безопасные мобильные платежи значительно улучшат качество обслуживания клиентов вашего бизнеса, оптимизируют процессы и сократят затраты.

Несомненно, мобильные платежи будут продолжать эволюционировать. У них есть все предпосылки полностью заменить пластиковые карты.

Мобильный платёж – это денежная операция, осуществляемая посредством мобильного девайса, чаще всего смартфона.

 

Преимущества мобильных платежей

  • Мобильные платежи улучшают взаимоотношения с вашими клиентами

Простота – залог успеха! Шаги сведены к минимуму, клиентам не приходится запоминать свои карты или отвечать на вопросы, связанные с проверкой безопасности. Транзакция совершается буквально в одно касание. Согласно Statista, мобильные платежи стремительно набирают популярность.

1

 

  • Мобильные платежи помогают развитию вашей маркетинговой стратегии

Благодаря мобильным платежам вы можете получить доступ к информации о личных предпочтениях ваших клиентов или истории их покупок. У вас появляется возможность легко сегментировать клиентов в маркетинговых целях, чтобы обращать их внимание на определенные типы товаров во время (или после) совершения покупки.

2

 

  • Мобильные платежи просты и безопасны

Мобильные платежи на самом деле более безопасны, чем другие способы оплаты. Поскольку данные для мобильного платежа зашифрованы, риск их кражи значительно снижается. Клиент чувствует себя при этом увереннее, что в итоге влияет и на его доверие к вам.

 

Платежные системы и сервисы

mobile payments and security

По мнению многих экспертов, мобильные способы оплаты, предлагаемые крупными провайдерами, более безопасны, чем физические карты и наличные деньги. При оплате кредитной картой сохраняется риск, что реквизиты могут быть скопированы мошенниками. Системы электронных платежей используют такие методы защиты, как шифрование и токенизация, чтобы маскировать номера учетных записей платежных карт при совершении оплаты.

  • Android Pay

Никогда не передает информацию о кредитных или дебетовых картах пользователей. Фактически, даже не хранит номера кредитных карт на устройстве. Вместо этого система использует токены – разовый набор цифр, не представляющий интереса для злоумышленников. Приложение, в свою очередь, привязывается к устройству, на котором оно было зарегистрировано и запущено впервые, что делает мобильный платеж еще более безопасным.

  • Apple Pay

Использует аналогичный процесс. Когда клиент вводит данные в Apple Pay, система шифрует данные и отправляет их на серверы Apple. Данные перенаправляются в банк, который генерирует номер учетной записи устройства и отправляет ее обратно в Apple.

Apple не расшифровывает номер учетной записи устройства и отправляет его в Secure Element на телефоне клиента. Таким образом, данные номера учетной записи устройства или платежной карты не сохраняются в Apple.

  • Samsung Pay

Прибегает сразу к нескольким способам обеспечения безопасности. Избегает кибератак, используя помимо токенизации инфраструктуру безопасности KNOX и аутентификацию отпечатков пальцев.

 

Риски мобильных платежей

mobile payments and security

Несмотря на предпринимаемые меры, мобильные платежи не защищены полностью от вторжений хакеров и похищения личных данных. Почему же так происходит? Дело в том, что большая часть рисков, связанных с мобильными платежами, заключается в том, как они используются клиентами.

В 2015 году некоммерческая организация ISACA опросила 900 экспертов по кибербезопасности для выявления наиболее актуальных угроз безопасности мобильных приложений для платежей.

Кроме кражи финансов, респонденты отметили еще 3 наиболее важные проблемы, угрожающие безопасности мобильных платежей:

  • использование мобильных платежей на общедоступном Wi-Fi;
  • кража мобильных устройств;
  • фишинг электронной почты.

Кроме того, всегда существует риск, что клоны приложений, преднамеренно содержащие вирус, могут быть по ошибке загружены вместо аутентичных приложений для оплаты. Телефоны устаревших моделей также более уязвимы для мошенничества, поскольку их легче взломать.

Чешская компания Avast недавно провела глобальный опрос, в котором приняли участие более 40 000 человек из 12 стран. В рамках исследования людям предлагалось сравнить в мобильном приложении подлинность официального банковского интерфейса с подделкой, созданной злоумышленниками.

Результаты оказались любопытными:

4

 

Способы обеспечения безопасности мобильных платежей

  • Бесконтактная мобильная оплата на основе технологии NFC

Сама по себе технология NFC не нова. Ранее она использовалась при разработке пропусков, проездных билетов и посадочных талонов на самолёт. Теперь она с успехом интегрирована в мобильные девайсы.

Технология NFC предельно проста. Мобильное устройство просто подносится к платёжному терминалу, и обмен данных происходит буквально за одно мгновение. Может использоваться как встроенный мобильный чип (Secure Element), так и обычная SIM-карта.

Преимущества NFC:

  • все ценные данные (токены, ключи ограниченного действия) хранятся на Secure Element;
  • никто не имеет доступ к платежной системе.

 

  • Cloud Based Payments

Технология облачных платежей Cloud Based Payments является альтернативой хранения платежных реквизитов карты на защищенном модуле мобильного устройства.

Вся информация хранится на удалённом сервере, в то время как на телефоне установлена технология HCE (host card emulation). Приложение, запущенное на телефоне, отвечает на команды от POS-терминала (внешнего считывателя).

HCE не представляет никакой ценности для злоумышленников. Весь секрет в том, что расшифровать данные возможно только при помощи данного приложения и только на том телефоне, на котором оно запущено. Данные не смогут быть использованы для совершения платежных операций через интернет (как в случае с обычной банковской картой).

Secure Element предлагается либо производителем телефонов, либо мобильным оператором, с которым ведется сотрудничество в процессе разработки приложения.

 

4 уровня защиты безопасности

mobile payments

  • Все данные хранятся внутри файловой системы

Самый простой, наименее затратный, но в то же время наименее надежный способ. Телефон может стать жертвой злоумышленника, который без труда сможет получить доступ ко всей файловой системе и управлять ей на правах администратора.

Риски значительно возрастают, если ваша файловая система является открытой, поэтому лучше использовать зашифрованную файловую систему.

  • Удаленный сервер для защиты данных

При применении данного способа приложение взаимодействует только с токенами. Относительно недорогой, но также далеко не идеальный вариант обеспечения защиты безопасности.

  • TEE (trusted execution environment)

Разрабатывается отдельная примитивная (урезанная) ОС, работающая на том же чипе, что и основная ОС. Обе они изолированы друг от друга. У мобильного приложения нет доступа к данным, сгенерированным и хранящимся в пределах ТТЕ.

  • Secure Element, или метод SIM-карты

Наиболее серьёзный (и самый затратный) уровень безопасности во всех отношениях. Вся информация хранится внутри Secure Element, специальной сертифицированной микросхемы. Приложения ОС не имеют к ней доступа.

Для улучшения безопасности ваших приложений мы рекомендуем проводить анализ и независимый аудит как в процессе разработки, так и на конечном этапе реализации продукта. При этом вы сможете выявить уязвимости и протестировать защищенность вашего приложения.

 

3 совета, которые помогут вам избежать проблем с безопасностью

1. Обучите своих клиентов.

Сделайте все возможное, чтобы ваши клиенты были в курсе опасностей возникновения приложений-клонов. Просветите ваших клиентов о важности загрузки приложений только из магазинов приложений, а также о важности своевременных обновлений приложений для обеспечения самого высокого уровня безопасности платежей.

2. Внедрите проверку аутентификации.

Многие мобильные устройства поддерживают возможность осуществления биометрической аутентификации – идентификации отпечатка пальца пользователя. При использовании более старых устройств могут применяться альтернативные методы идентификации: двухфакторная аутентификация или виртуальные токены.

3. Используйте стандарт безопасности данных PCI DSS 1.

PCI DSS 1 – это сертифицированные поставщики платежных услуг, обеспечивающие наивысший уровень безопасности. У таких поставщиков есть черные списки и обширные данные для выявления мошенников, а также пресечения тенденций разработки мошеннических схем. Они используют продвинутые алгоритмы, геолокацию и отслеживание IP-адресов. Всё это помогает обнаружить потенциальные нарушения безопасности и выявить мошеннические транзакции.

Потребители все чаще используют мобильные платежи для онлайн и офлайн-покупок. Более того, они предпочитают, чтобы у них появилась возможность использовать мобильные платежи во всех сферах – начиная от продуктов питания и одежды и заканчивая бронированием гостиничных номеров.

Принимая решение разработать мобильное приложение с возможностью совершения безопасных мобильных платежей сегодня, вы инвестируете в процветание вашего бизнеса завтра.

 

Закажите безопасное мобильное приложение в Umbrella прямо сейчас!

 

 

 

Фото: Shutterstock.com


Ещё

  • Umbrella IT вошла в Топ веб и мобильных разработчиков
    Umbrella IT вошла в Топ веб и мобильных разработчиков
    Скейтбордисты и банджи-джамперы любят риск. Будоражащее кровь чувство опасности – именно то, что заставляет их сердца биться быстрее. Но когда дело касается представления своего бизнеса в интернете – зачем рисковать? Umbrella IT – надежный партнер. Мы были первым официальным партнером Symfony в России. Наш опыт и экспертизу давно ценят наши клиенты, а теперь – и …
  • Создаем приложение с механикой Uber: руководство по разработке проекта на миллион долларов
    Создаем приложение с механикой Uber: руководство по разработке проекта на миллион долларов
    Uber стал первым, кто применил бизнес-модель совместного потребления и экономику по требованию и взял на абордаж целый мир. Дестабилизация традиционного рынка такси не мешает Uber позиционировать себя, прежде всего, как технологическую, а не транспортную компанию. И это вполне оправданно – образцовый сервис и эффективные технические решения – именно то, что привело компанию к оглушительному успеху. …
  • Как увеличить вовлеченность в мобильных приложениях: 6 полезных советов
    Как увеличить вовлеченность в мобильных приложениях: 6 полезных советов
    Что заставит пользователей возвращаться в ваше приложение снова и снова? Как запустить работу приложения на полную мощность и сделать его незаменимым для всех и каждого? Десяток, а может и два десятка установленных на смартфон приложений, но пользуетесь в реальности всего несколькими из них? Совсем не хочется, чтобы ваше приложение попало в список “однажды открою, вдруг …