Взгляд CISO на риски мошенничества в экосистеме розничных платежей

В этом интервью для Help Net Security Пол Суарес, вице-президент и директор по информационной безопасности в Casey’s, объясняет, как его команда управляет обновлениями и модернизацией систем оплаты топлива с длительным жизненным циклом оборудования. Он также обсуждает риски, связанные с оплатой через QR-коды, и объясняет, почему злоупотребления в программе лояльности бывает сложно обнаружить. Суарес рассказывает, как Casey’s осуществляет мониторинг платёжных систем в магазинах, корпоративных сетях и у сторонних процессинговых компаний.

Мы не считаем, что инфраструктура для оплаты топлива требует принципиально иного подхода к управлению только из-за возможного более длительного жизненного цикла оборудования. Наша стратегия обновления и модернизации платёжных систем, связанных с топливом, следует той же дисциплине, которую мы применяем ко всей нашей розничной технологической среде.

Мы сочетаем строгий технический контроль с бизнес- и операционными мерами, чтобы управлять рисками комплексно и поддерживать единый уровень безопасности. Не менее важно и то, что мы активно вовлекаем руководителей всех подразделений через регулярные обсуждения, сфокусированные на оценке рисков, планировании жизненного цикла и новых угрозах, специфичных для инфраструктуры оплаты топлива. Это обеспечивает общую ответственность и принятие обоснованных решений по мере развития технологий и угроз.

Внедрение любого нового способа оплаты потенциально может привлечь новые схемы мошенничества, и платежи через QR-код не являются исключением. Наша задача — гарантировать, что все каналы оплаты защищены надёжными и единообразными протоколами безопасности. Поскольку методы мошенничества эволюционируют вместе с новыми технологиями, мы постоянно оцениваем возникающие риски и адаптируем наши меры контроля.

Это включает мониторинг подозрительной активности, усиление процессов аутентификации и проверки, а также обучение команд новым схемам угроз. Наша цель — обеспечить удобный, современный и быстрый платёжный опыт, сохраняя при этом доверие и защиту, которых ожидают наши клиенты.

Злоупотребления в программе лояльности — важная область внимания, потому что бонусные баллы на счетах наших гостей имеют реальную ценность и, следовательно, являются привлекательной целью для мошенников. Как и многие подобные программы, наша создана для поощрения частого и повторного взаимодействия, что генерирует большой объём легитимной активности. Её необходимо тщательно отделять от потенциальных злоупотреблений.

Эта задача дополнительно усложняется разнообразием нашей клиентской базы. Паттерны транзакций значительно различаются между различными сегментами покупателей, что затрудняет установление единого базового уровня для определения «нормального» поведения. Следовательно, активность в программе лояльности должна оцениваться в контексте, с учётом таких факторов, как частота и модели списания баллов.

Кроме того, постоянные гости часто списывают баллы регулярно и через различные каналы, что ещё больше повышает потребность в более тонких подходах. Эти факторы подчёркивают важность применения эффективных методов для выявления потенциальных злоупотреблений, продолжая при этом балансировать между предотвращением мошенничества и бесшовным клиентским опытом.

Наблюдение за платёжными системами, охватывающими магазины, корпоративные сети и сторонние платёжные шлюзы, требует скоординированного, межфункционального подхода.

Мы используем многоуровневый контроль мониторинга, который обеспечивает видимость в реальном времени состояния систем, обработки транзакций и общей доступности, позволяя командам быстро выявлять и реагировать на отклонения в работе. Параллельно мы применяем бизнес-контроли для сверки транзакционной активности в нашей розничной среде и у внешних процессинговых компаний.

Мы также анализируем контрольную среду наших сторонних партнёров с помощью отчётов Service Organization Control, чтобы понимать, как контроли спроектированы и функционируют во всей платёжной экосистеме. Платёжные системы — это жизненная сила ритейлеров, наш мониторинг ведётся в реальном времени и является повсеместным.