Տվյալների անվտանգությունը վճարային վիրահատություններում
Ավստրալիայի հիմնական կոնտեքստը
Իրավական հիմքը։ Ավստրալիայում խաղացողների անձնական տվյալները պաշտպանված են 1988 և 13 Ավստրալիայի ֆորումների մասին օրենքով (APA)։ Ընկերությունները պետք է ներդրեն անվտանգության միջոցները և կառավարեն կյանքի տվյալների ցիկլը, իսկ լուրջ արտահոսքերի դեպքում 'տեղեկացնել զոհերի և տեղեկատվության գրասենյակի (NDB-սխեմա)։
AML/CTF и KYC. Մոլարտային և վճարային կազմակերպությունները ընկնում են AUSTRAC-ի պահանջների տակ: 108, AML/CTF ծրագիրը, հաճախորդների ինքնության ստուգումը մինչև ծառայություններ մատուցելը, գործարքները և հաշվետվությունը։
PCI DSS v4. 0. 1. Քարտեզների տվյալների հետ աշխատելու համար օգտագործվում են PCI ստանդարտները։ նոր «հետաձգված» պահանջները (օրինակ ՝ վճարովի վեբ էջերի պաշտպանությունը ջութակների փոխարինումից և ընդհանուր ամբողջականությունից) դառնում են պարտադիր 2025 թվականի մարտի 31-ից։
NPP, PayID и Confirmation of Payee. Վճարովի ենթակառուցվածքը NPP-ն ապահովում է 24/7 ակնթարթ բանկային թարգմանություններ։ PayID-ը ցույց է տալիս ստացողի անունը ուղարկելուց առաջ։ 2025 թվականին սկսվում է Eurmation of Payee (անունը/BSB/հաշվարկը ինդիկացիայի հետ), որպեսզի նվազեցնի սխալները և սկամաները։
Կարևոր սահմանափակում։ Ավստրալիայում արգելվում է առցանց կազինո (ռուլետկա, «պոկեր մեքենաներ» և այլն) առաջարկել երկրում։ ACMA-ն պարբերաբար արգելափակում է անօրինական կայքերը։ Սա նշանակում է, որ այս ռեսուրսների տվյալները և գումարները չեն պաշտպանվում տեղական բյուջեներով։
Վտանգներ խաղացողների վճարելու համար
1. Ֆիշինգը և վճարման սկալմանները։ Տիրույթի/մեսենջերի/» աջակցություն» փոխարինումը խնդրեց վճարել դրամարկղից դուրս։
2. Վճարային էջի ընդհատումը և փոխարինումը (e-skimming)։ Վնասակար ջութակներ տեղադրելը www.kout էջի վրա։ հենց դրա դեմ PCI DSS v4-ում։ 0. 1 ներկայացվեց 6 պահանջներ։ 4. 3 և 11։ 6. 1-ը ջութակների գույքագրման/ամբողջականության և հայտնաբերման մեջ։
3. Գաղտնաբառերի ընտրությունը և կրկնվող օգտագործումը, ATO (account takeover), SIM-swap-ը միանվագ օգտագործելու համար։
4. Խարդախի (APP-fraud) հեղինակային վճարումները հաշիվ/PAYID առանց անունը ստուգելու, այստեղ և օգնում են PayID-ի և Payee-ի Medirmation անունը։
Ինչպես են պաշտպանվում տվյալները, թե ինչ պետք է անեն խաղատուն և վճարովի պրովայդերներ
Տրանսպորտ և պահեստավորում
TLS 1. 2 + լռելյայն, HSTS; հաճախորդի կողմում 'CSP + SNI արտաքին ջութակների համար (նվազագույնի հասցնում է e-skimming)։
Գաղտնագրումը հանգստի մեջ (օրինակ, AES-256) անձնական և վճարային տվյալների համար։ CDE (Cardholder Express Enviance) հատվածը։
Քարտեզների և ցանցային հոսանքների թունավորումը, որպեսզի merchive չուներ «հում» PAN-ը։
Նույնականացում և հասանելիություն
MFA-ը ամենուրեք, որտեղ հասանելի է քարտեզների տվյալները և adminka (PCI DSS v4։ x), լուծարումը և գաղտնիքների կառավարումը։
RBAC/Zero-trust, գործողությունների ամսագրեր, անփոփոխ լոգներ։
Ծրագիրը և ենթակառուցվածքը
WAF/բոտ կառավարում, EDR/հակամենաշնորհային, CI/CD կախվածության սկանավորում։
Ամբողջականության իրականացումը (wwww.integrity/JS integrity), երրորդ կողմի վճարումների վերահսկումը (6։ 4. 3/11. 6. 1).
Գործընթացները և համապատասխանությունը
PCI DSS v4. 0. 1: ռիսկերների գնահատումը, քարտեզների տվյալների բուլարիզացումը, SAQ/ROC, ընդմիջումների շտկումը մինչև 31։ 03. 2025.
APP և NDB 'գաղտնիության քաղաքականություն, նվազագույնի հասցնել և ոչնչացնել/դե նույնականացնել տվյալները անվստահության դեպքում։ մարդկանց և OAIC- ին տեղեկացնելու պատրաստակամությունը «էական վնասի» դեպքում։
AML/CTF: KYC-ն մինչև ծառայություններ մատուցելը, AUSTRAC-ի անընդհատ և հաշվետվությունը։
Վճարման մեթոդներ 'ռիսկեր և պաշտպանություն
Բանկային թարգմանություններ (NPP/Osko, PayID, PayTo)
Պլյուսներ ՝ առանց խաղաթղթերի գրառումներ փոխանցելու, անմիջապես 24/7; PayID-ը ցույց է տալիս ստացողի անունը վճարելուց առաջ։ Payee-ի Eurmation-ը ավելացնում է անունը/BSB/հաշիվը հասկանալի «match/close/wwww.match»։
Մինուսներ 'թարգմանությունները դժվար է վերադարձնել, եթե դուք ինքներդ ապացուցել եք վճարումը։ կենտրոնացեք CoP-ի խորհուրդների վրա և մի անտեսեք «www.match» -ը։
Բանկային քարտեզներ (Visa/Wintercard)
3-D Secure 2 (EMV 3DS). Ժամանակակից վավերացումը (կենսաչափություն/OTR, «fricschnlem» հոսքը), բանկի միջև մեծ տվյալների փոխանակումը և չափիչ փոխանակումը CNP-froda նվազեցման համար։ Փնտրեք Visa Secure/Wintercard Identity Cork-ի նշանները։
Պլյուսներ ՝ աղյուսներ, տոկենիզացիա (Apple Express/Google Live); ուժեղ պաշտպանություն 3DS2 ճիշտ պայմանագրով։
Մինուսներ ՝ 3DS2 անօրինական կայքերում հաճախ անջատված է։ -Skimming-ի համար քարտային տվյալների գողության ռիսկը թույլ պաշտպանված չափողների մոտ (այդ իսկ պատճառով կարևոր է PCI 6 պահանջները։ 4. 3/11. 6. 1).
Էլեկտրոնային դրամապանակներ/բջջային դրամապանակներ
Apple Express/Google Live-ը օգտագործում են ցանցային հոսանքներ և կենսաչափություն։ merchantu չի փոխանցվում իրական PAN-ը, դա նվազեցնում է վնասը չափման փոխզիջման ժամանակ։
Վաուչերներ/կանխավճարային քարտեզներ և cryptocurrency
Հաճախ հանդիպում են օֆշորային կայքերում։ Ռիսկերը 'տեղական իրավական պաշտպանության բացակայությունը, վերադարձի բարդությունը/որոնումը և AML ռիսկերը։ Հիշեք, որ առցանց խաղատուն, որն ուղղված է ավստրալիացիներին, անօրինական է, և ձեր տվյալների պաշտպանությունն այնտեղ նվազագույն է։
Խաղացողի չեկ թերթիկը 'ինչպես վճարել ապահով
1. Ստուգեք օրինականությունը։ Ավստրալիայում հասանելի առցանց կազինոն օրենքով արգելված է։ ACMA-ն հրապարակում է արգելափակումների ցանկը։ Մի վտանգեք տվյալները անօրինական կայքում։
2. Առաջնահերթություն տվեք ստացողի հավատալիքներին։ Թարգմանություններում օգտագործեք PayID-ը և կենտրոնացեք Payee-ի Eurmation-ի արդյունքի վրա։ «Match» -ի դեպքում մի վճարեք։
3. Ընտրեք քարտեր 3DS2-ից և հնարավորության դեպքում վճարեք Apple System/Google Live-ի միջոցով (հոսանքներ PAN-ի փոխարեն)։
4. Ստեղծեք առանձին «վճարովի» e-mail և յուրահատուկ գաղտնաբառեր, միացրեք MFA/pass-բանալիները բոլոր ծառայություններում։
5. Ստուգեք կայքի հասցեն և վկայականը, վճարման փուլում երրորդ կողմի վճարումների բացակայությունը։
6. Մի ուղարկեք ակնարկներ չաթ/մեսենջերներ, մի տեղադրեք «Ծրագրավորման համար»։
7. Դիտարկեք քաղվածքները, միացրեք տեղեկատվական ծանուցումները ինտերնետային վճարումների համար։
8. Արտահոսքի/կասկածի դեպքում, անմիջապես արգելափակեք վճարովի գործիքը, փոխեք գաղտնաբառերը, գրանցեք գործարքը բանկից/օպերատորից։ լուրջ պատահականությամբ, օպերատորը պարտավոր է ձեզ տեղեկացնել NDB սխեմայի շրջանակներում։
Ի՞ նչ պետք է լինի քաղաքականության և անվտանգ օպերատորի ինտերֆեյսի մեջ
Գաղտնիության թափանցիկ քաղաքականությունը APP-ի ոգով 'հավաքված տվյալների ցանկը, նպատակները, պահեստավորման/դե նույնականացման ժամկետները, ստացիոնար փոխանցումը։
Հստակ KYC գործընթացը (որ փաստաթղթերը, ինչպես ստուգվում են, ինչպես են պաշտպանվում պատճենները)։
Տեխնոլոգիական նշաններ ՝ HTTPS և HSTS; 3DS2; PayID/CoP տեսանելի խորհուրդները թարգմանություններում. ծանուցումներ մուտքերի/գործարքների մասին; հնարավորություն տալ սահմաններ; նստաշրջանների ամսագիրը։
Սերտիֆիկացիան/PCI DSS v4 հարցաթերթիկները։ 0. 1 (SAQ/ROC) և մրցույթի կարգավիճակի նշումը։
Հաճախակի «կարմիր դրոշներ»
«Վճարումը միայն ծպտյալ/wawa.ru», ալյումինե հայելիներ, գաղտնիության քաղաքականություն չկա, չկա 3DS2, վճարովի ձևը բեռնվում է այլ տիրույթից, «sapport» -ը պահանջում է վճարել «եզրակացության վճարումը»։
Ստացողի անվան անհամապատասխանությունը թարգմանության ժամանակ (COP: www.match)։
Եզրակացություն
Ավստրալիայում վճարովի տվյալների անվտանգությունը ձեր հիգիենայի համադրությունն է (3DS2/բջջային դրամապանակներ, PAID/COP, MFA, յուրահատուկ գաղտնաբառեր) և պրովայդերի հասունությունը (APP + NDB, AML/CTF, PCCI DSDSS V4։ 0. 1, վճարովի էջի պաշտպանություն)։ Հաշվի առնելով առցանց կազինոյի արգելքը ավստրալացիների համար և ACMA-ի անընդհատ արգելափակումը, միակ ռացիոնալ ռազմավարությունը անօրինական կայքերի վրա վճարումներ չանելն է և միայն օրինական ալիքները և մեթոդները, որոնք ունեն ստացողի համապատասխան հավատարմագրում։
«Վճարային մեթոդներ Ավստրալիայի կազինոյում. Կարևոր է իմանալ»։
Այս նյութը անվտանգության հիմքն է վճարման մեթոդը ընտրելու համար, որտեղ 3DS2 քարտերը տեղին են, երբ ավելի խելացի է PayID/CoP-ի միջոցով թարգմանությունը, որո՞ նք են օֆշորային տարբերակների ռիսկերը և ինչպիսի՞ ն են անապահով սցենարները։
