6 choses que les PME doivent savoir sur les systèmes de paiement en ligne

De nombreuses entreprises s’appuient sur des fournisseurs de services de paiement (PSP) tels que PayPal, Google Wallet et Money Bookers. Mais à quel point sont-ils sûrs ? Hiscox s’est entretenu avec l’expert en sécurité des paiements, Shaab Al-Baghdadi, pour obtenir ses meilleurs conseils pour assurer la sécurité des systèmes de paiement en ligne dans le cadre de leur guide complet sur la cybersécurité.

Les débutants en technologie peuvent désormais accéder à des logiciels de piratage sophistiqués ; ils peuvent même accéder à des lignes d’aide sur le dark web pour savoir comment utiliser les « crimewares ». Par conséquent, les propriétaires d’entreprise doivent être conscients des menaces de piratage potentielles lorsqu’ils utilisent des PSP et s’assurer qu’ils suivent le bon protocole pour se protéger.

  1. Méfiez-vous de « l’intermédiaire »

En général, les pirates n’essaieront pas de s’introduire dans des systèmes sophistiqués et complexes. Au lieu de cela, ils iront vers la zone de moindre résistance. Cela a conduit à de nombreuses attaques « man in the middle », dans lesquelles un pirate informatique trompe l’utilisateur en lui faisant croire qu’il utilise un site Web d’entreprise alors qu’en fait il utilise une page Web fausse et identique.

Il s’agit d’une méthode relativement simple utilisée par les pirates pour collecter les détails de la carte. Bien qu’il ne s’agisse pas techniquement d’une violation de la sécurité du système de la PSP, il est important d’être conscient de ce type d’activité.

  1. Savoir qui est responsable des violations

Lorsqu’il s’agit d’une faille de sécurité, c’est généralement le PSP qui en assume la responsabilité.

Mais s’ils peuvent prouver que leur plate-forme n’a pas été compromise, cela transfère généralement la responsabilité au titulaire de la carte pour ne pas avoir protégé ses données ou au commerçant pour ne pas avoir suivi les conditions générales du PSP.

Il est important que les entreprises utilisant un PSP comprennent les procédures et les politiques qu’elles doivent suivre et démontrent qu’elles l’ont fait.

  1. Faites preuve de diligence raisonnable

Comme meilleure pratique, Al-Baghdadi conseille aux petites entreprises de faire preuve de diligence raisonnable lors de la nomination d’un PSP. Cela peut se faire par le biais d’un examen par un tiers, à l’aide d’un questionnaire.

Les PME devraient demander à leur PSP quelles informations elles collectent, combien de temps elles les conservent et ce qu’elles en font. Ceci est particulièrement important s’ils collectent des informations personnellement identifiables (PII), qui relèveront du Règlement général sur la protection des données (RGPD), qui devrait entrer en vigueur en mai 2018.

Le non-respect de cette législation, y compris l’exécution d’une diligence raisonnable, entraîne des sanctions sévères allant jusqu’à 4 % du chiffre d’affaires global d’une entreprise, c’est pourquoi il est si important de comprendre où se situe la responsabilité à la fois contractuellement et par rapport à la législation.

  1. Agir contre la fraude PSP

Si un propriétaire d’entreprise remarque que quelqu’un a dépensé de l’argent à partir de son compte PayPal ou d’un autre système de paiement en ligne, il doit suivre la même procédure qu’il utiliserait si une transaction non autorisée se produisait sur son compte bancaire personnel. La meilleure chose à faire est de contacter le PSP et de voir s’il peut annuler le paiement.

Les PME doivent vérifier régulièrement leur compte PSP pour voir s’il y a de petits paiements sortants, ponctuels ou réguliers. Les criminels utilisent souvent cette technique pour vérifier que le compte de paiement est actif, ils reviennent donc pour un montant plus important. Les petits paiements aux organismes de bienfaisance doivent être surveillés de près, car ils passent souvent inaperçus. Dans ce type d’escroquerie, lorsque les paiements les plus importants quittent le compte, ils apparaissent légèrement en dessous de 10 000 £, car cela peut être perdu par les moteurs de fraude internes de la PSP.

Examinez comment le compte est accessible à partir des systèmes internes et posez les questions suivantes : Quels membres du personnel ont accès à ces systèmes ? À quelle fréquence les mots de passe sont-ils modifiés ? Où sont-ils conservés ? Où et comment puis-je accéder au compte ? Ces points d’accès doivent être sûrs et exempts de virus.

  1. Comprendre les droits des consommateurs

Les consommateurs sont protégés par la loi de 2015 sur les droits des consommateurs. Ils sont protégés par les droits qui leur sont accordés par les émetteurs de cartes de crédit/PSP lorsqu’ils achètent via ces services.

En général, les PSP prendront le parti du consommateur dans un litige et il appartient au commerçant de prouver qu’il a respecté le contrat de vente. La « fraude légère », par exemple lorsqu’un consommateur déclare n’avoir jamais reçu sa marchandise, est un problème qui ne cesse de croître. Les petites entreprises doivent en tenir compte et prendre des mesures supplémentaires pour démontrer la livraison de biens et de services avec des pistes d’audit solides.

  1. Obtenez le bon système de paiement

Il s’agit à la fois d’une décision commerciale et d’une décision de sécurité. Connaître le client et ses modalités de transaction devrait être l’un des principaux facteurs qui sous-tendent le système de paiement en ligne choisi par une PME.

Les clients exigent-ils l’anonymat ou la possibilité d’enregistrer une seule fois les détails de leur carte pour les achats multi-marchands ? Il est utile de demander directement à la PSP les données démographiques de ses utilisateurs.

Il est également important de rechercher les frais facturés par un PSP particulier, les tranches utilisées pour évaluer ces frais et le pourcentage de chaque transaction que le PSP prendra. Il identifie également le taux de désabonnement (lorsque les consommateurs décident de ne pas procéder à la transaction), car cela entraînera une perte de revenus.

Hiscox a rassemblé une réponse complète aux questions les plus fréquemment posées sur la cybersécurité sur le Web dans son Guide complet de la cybersécurité

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.