ניו-טק מגזין | יולי 2023 | מהדורה דיגיטלית

CNP - Card not כרטיס שלא הוצג ( ): ארגוני מסחר המציעים שירותים Present חדשים כגון קופה מבוססת קרבה, קנייה ), ו"קונים BOPIS און ליין ואיסוף בחנות ( ,) BNPL עכשיו, משלמים מאוחר יותר" ( חייבים להבין ולטפל בסיכונים שעסקאות אלו גוררות ולשתף את התובנות הללו בכל הארגון. . היו ערניים לאתגרי "הונאה 3 ידידותיים" חדשים בתקופה של מיתון סוג חדש ומשמעותי של 'הונאה מזויפת ידידותית' שארגוני מסחר צריכים להיערך להתגונן מפניה, רווחת במהלך תקופת מיתון, כאשר פושעים יוצרים זהויות סינתטיות שנראות כמו לקוחות אמיתיים ומבצעים עסקאות ללא כוונה לשלם עבור הסחורה שהם רוכשים. פושעים המשתמשים בהונאה ידידותית יכולים לעקוף אמצעי הגנה של ארגון על ידי מחזור זהות גנובה ויצירת זהויות סינתטיות חדשות כדי לפתוח חשבונות חדשים ולהימנע מחסימה על ידי רשימת חשבונות מזויפים של הארגון. פעילויות הונאה ידידותיות אלו יכולות לכלול ניצול לרעה , הונאות של נקודות BNPL של תוכנית נאמנות, הונאה של החזר כספי, וביטול עסקאות. ההגנה המומלצת מול הונאה ידידותית היא על ידי מינוף תובנות מדפוסים ביומטריים התנהגותיים עם למידת מכונה כדי לתת לצוותי אבטחה והונאה תובנות לגבי חשבונות שנפגעו. . היו מוכנים לכניסת התקנות 4 ) PSD 3 החדשות של האיחוד האירופי ( לתשלומים דיגיטליים נוף האיומים, התשלומים והרגולציה עבור ארגוני מסחר ופיננסים השתנה באופן

דרמטי מאז ההשקה הראשונית של הוראת שירותי התשלום של האיחוד האירופאי .) Payment Services Directive ( 2018 ב- , PSD 3 כדי להיערך לתקנות המשופרות של ארגוני מסחר ופיננסים צריכים למפות את המלאי של כל השירותים, הערוצים ואפשרויות התשלום שאומצו לאחרונה, כגון ארנקים דיגיטליים ותשלומי קריפטו. ארגוני מסחר ופיננסיים צריכים גם לחזות ולנהל באופן יזום את מלוא היקף סיכוני API האבטחה וההונאה שמביאה סביבת ה המודרנית. Shadow API . היכונו להתקפות של 5 של שרשרת האספקה JavaScript ו ולתקן החדש של אבטחת המידע של Payment תעשיית כרטיסי התשלום Card Industry Data Security Standard ) PCI DSS ( 4.0 ככל שארגונים מרחיבים את האקוסיסטם של הצד השלישי ומספר הסקריפטים באתר שלהם עולה, הם חשופים יותר לחולשות אבטחה שעלולות להוביל להתקפות צד לקוח כגון: גניבת פרטי כרטיס אשראי ), גניבת אמצעי תשלום Digital Skimming ( ) או התקפות Formjacking און ליין ( . התקפות אלו קשות לזיהוי, Magecart מכיוון שסקריפטים אלו מתעדכנים לעתים קרובות על ידי צד שלישי, לעתים קרובות ללא הערכות הארגון מבעוד מועד. החדשות PCI DSS 4.0 בנוסף, דרישות יתמקדו בצורך לנטר ולנהל ספריות של צד שלישי מבוססות דפדפן, JavaScript המשולבות באתרי מסחר אלקטרוני כדי לעיבוד iFrames לאפשר פונקציונליות כגון תשלומים, צ'אט בוטים, פרסום, כפתורי שיתוף חברתי ותסריטי מעקב. תקן נחשב כרגע לשיטת עבודה PCI DSS 4.0- ה , אך 2025 מומלצת ואינו מותנה בדרישה עד

פושעים לא יחכו להחלת התקן החדש כדי לפעול, וגם ארגונים לא צריכים לחכות. ארגונים זקוקים לנראות טובה של הפועלות באפליקציות JavaScript ספריות האינטרנט שלהם, כדי לדעת אילו נתונים הסקריפטים אוספים, למנוע הפרת תקנות CCPA ו- GDPR פרטיות נתונים כמו ולשמור על עמידה בדרישות החדשות של .11.6.1- ו 6.4.3 , לצד PCI DSS 4.0 לרוב הארגונים אין בקרה מרכזית על ניהול הסקריפטים שלהם. אם סקריפט של צד שלישי באתר שלהם חשוף לפגיעה והם לא מודעים לו, הם אינם יכולים לתקן אותו. פושעים יודעים שארגונים רבים נאבקים לנהל, לנטר ולאבטח את כל היקף הסקריפטים המוטמעים כעת באתרי אינטרנט שלהם, והם יודעים כיצד לנצל את חולשות האבטחה של הסקריפטים הללו לרווחתם האישית.

איתי אמויאל, מנהל הסקטור

« F5 הפיננסי ב- יח"צ קרדיט:

SAVE THE DATE 16.1.2024

Motion Control, Automation & Power Solutions

אקספו, תל אביב 10 ביתן 08:30-16:00 יום ג', 16.1.2024

הכנס השנתי לפתרונות בקרה, אוטומציה, הינע והספק

www . new - techevents . com לפרטים נוספים והרשמה:

31 l New-Tech Magazine