Průvodce správou rizik online transakcí
Důležité
Jako partner Microsoftu v programu Cloud Solution Provider (CSP) zodpovídáte za nákupy zákazníků a používání našich služeb. Je důležité, aby partneři monitorovali a řešili neobvyklé aktivity od svých zákazníků. Microsoft může posílat oznámení partnerům, pokud zjistíme podezřelé aktivity, ale je důležité, aby partneři použili další metody monitorování, které pomáhají odhalit neobvyklé chování zákazníků.
Microsoft bere online řízení rizik transakcí vážně a partneři by měli udělat totéž, aby se zmírnit obchodní rizika. Microsoft pro podporu partnerů sdílí sadu doporučení ke správě rizik při online práci se zákazníky. I když se Společnost Microsoft zavázala podporovat partnery, zůstávají partneři finančně zodpovědní za podvodné nákupy jejich zákazníků nebo nezaplacení zakoupených služeb.
Osvědčené postupy pro online řízení rizik
Tato část obsahuje informace o základních aspektech řízení rizik, o které byste měli vědět, společně s návrhy osvědčených postupů.
V následující tabulce najdete informace o rizikových expozici, které je třeba zmírnit:
| Riziková expozice | Definice | Příklady |
|---|---|---|
| Zneužití služby | Zákazníci nebo špatní aktéři, kteří používají cloudové služby v rozporu se zásadami přijatelného použití Microsoftu | -Spamování -Hacking – Útoky DDOS - Crypto-mining - Distribuce malwaru - Pirátská předplatná přeprodej |
| Krádež služby* | Zákazníci, kteří předvádějí, že nemají v úmyslu platit za spotřebované služby, používat odcizené platební nástroje, poskytovat falešné fakturační údaje a/nebo výchozí pro nevyrovnaný zůstatek | - Transakce, které nedochází osobně – Nesprávně reprezentované identity - Služby zřízené a používané bez záměru platby - Automatizované vytváření a nákupy účtů špatnými aktéry |
*Krádež služby může být vyšší na rozvíjejících se trzích a vysoce rizikových oblastech.
Osvědčené postupy
Microsoft doporučuje partnerům implementovat následující protokoly v průběhu životního cyklu vztahu zákazníka:
- Onboarding nových zákazníků
- Pokud je to možné, vytvořte osobní vztahy se zákazníky (například kontakt telefonicky).
- Hledejte lepší způsoby ověření přihlašovacích údajů a pozadí zákazníků (credit bureaus/business commercial report agencies).
- Použití vícefaktorového ověřování (MFA) během registrace k minimalizaci expozice robotickému vytváření a nákupu účtů.
- Vyžadovat, aby zákazníci monitorovali a zabezpečili své tenanty** podle osvědčených postupů zabezpečení.
- Správa a sledování identit pomocí služeb, jako jsou služby digitální identity
- Vyhodnoťte finanční sílu zákazníků prostřednictvím přísných systémů detekce podvodů s platebními kartami.
- Vytvořte jasné zásady kolekcí. Podrobné procesy kolekcí a kdy je přístup k předplatným ovlivněný neplacením.
- Správa účtů zákazníků
- Implementujte proces pro rychlé přijímání, kontrolu, zpracování a reakci na oznámení Microsoftu.
- Spolupracujte se zákazníky, abyste porozuměli obchodním potřebám využití cloudu a nastavili odpovídající prahové hodnoty monitorování. (Partneři můžou například nastavit měsíční rozpočet útraty v Azure v Partnerském centru.
- Pravidelně monitorujte protokoly aktivit zákazníků, abyste mohli včas odhalit podvody.
- Proveďte rychlou akci při zjištění podezřelých aktivit.
- Vyhněte se tomu, abyste zákazníkům poskytli úplný přístup pro správu k předplatným, aniž byste museli nejprve implementovat kontroly zmírnění rizik.
- Správa fakturace zákazníků
- Před počátečními transakcemi a fakturací si vyžádat zálohu.
- Nepřijímají vysoce rizikové platební nástroje (například předplacené karty nebo karty s uloženými hodnotami).
- Monitorování plateb zákazníků a stárnoucích pohledávek Agresivně vynucujte standardizované dunningové procesy pro opožděné platby nebo neplacení.
Návrhy osvědčených postupů pro onboarding zákazníků
Tato část obsahuje osvědčené postupy pro onboarding zákazníků. Oddíly obsahují informace o ověřování službou KRÁTKÝCH ZPRÁV (SMS), správě identit koncových uživatelů a znalost zákazníka při onboardingu.
Ověření SMS (text)
Během procesu registrace se koncovým zákazníkům zobrazí stránka Důkaz, že nejste robot, který zahájí ověření zákazníka prostřednictvím SMS (text):
- Použití řešení pro ověření sms pomáhá partnerům zmírnit riziko registrace zákazníků, ke kterým dochází prostřednictvím robotických metod. Ověření sms také pomáhá zabránit tomu, aby špatní aktéři mohli snadno vytvářet více účtů (například falešné registrace).
- Během procesu registrace se partneři můžou rozhodnout, jestli je osoba na druhém konci transakce. Ověření se provádí vyžadováním, aby zákazník zadal mobilní číslo, na které se odešle jednorázové heslo prostřednictvím SMS.
- Kromě toho se ověření SMS dá použít také jako součást procesu přihlašování vícefaktorového ověřování (MFA) pro zavedené zákazníky.
Správa identit koncových uživatelů
Mezi osvědčené postupy pro zmírnění rizika identifikaci podvodů patří:
- Jedním ze způsobů, jak spravovat a sledovat identitu zákazníka, je použití služby digitální identity.
- Digitální identita je jedinečný podpis jednotlivých uživatelů nebo zařízení na druhém konci online transakce.
- Služba Digital Identity Services umožňuje partnerům lépe identifikovat zákazníky nad rámec jednoduchých identifikátorů, jako je e-mailová adresa, fyzická adresa atd.
- Partneři můžou ověřit identitu zákazníků a identifikovat potenciální chybné aktéry pomocí nástrojů třetích stran.
Seznámení se zákazníkem při onboardingu
Je důležité, aby partneři podnikli další kroky k ověření identity a finanční síly, pokud je to možné, jednotlivců a společností, které chtějí nakupovat online služby. Mezi osvědčené postupy patří:
- Vytvářejte osobní vztahy se zákazníky, například kontakt telefonicky, osobně se setkávejte atd.
- Při registraci vyžadovat platební kartu, nepřijme jako způsob platby uložené karty s hodnotou ani předplacené platební karty.
- Implementujte přísné systémy detekce podvodů s platebními kartami, abyste zajistili, že zákazník prezentující platební nástroj je autorizovaným uživatelem, a zkontrolujte finanční zprávy od úvěrových úřadů.
- Ověřte přihlašovací údaje a pozadí zákazníků na důvěryhodných místech, jako jsou obchodní agentury pro obchodní reporty.
Návrhyosvědčených
Znalost zákazníka
Osvědčeným postupem je implementovat monitorování využití pro služby, i když se tyto služby neúčtují spotřebou. Tento postup je ale zvlášť pravdivý pro službu účtovanou podle spotřeby, jako je Azure, kde dochází k fakturaci po využití.
- Partneři by měli úzce spolupracovat se zákazníky na pochopení základních obchodních potřeb využití cloudových služeb na základě strategie "know your customer" (znát zákazníka).
- Vyhněte se tomu, aby zákazníci získali úplný přístup správce k předplatným, aniž byste napřed implementují kontrolní mechanismy pro zmírnění rizik, jako jsou osvědčené postupy v této příručce.
- Pokud chcete monitorovat využití na úrovni zákazníka pro různé obchodní potřeby zákazníka, použijte Portál pro správu Microsoft Azure a dostupné možnosti vytváření sestav využití.
- Přihlaste se k odběru nových výstrah zabezpečení, což je jeden z mnoha způsobů, jak Microsoft podporuje partnery při zabezpečení tenantů svých zákazníků. Upozornění by se měla prošetřit a v případě potřeby rychle napravit, partneři můžou kvůli zmírnění problému pozastavit ovlivněné prostředky Azure nebo předplatná Azure.
Fakturace
V programu Cloud Solution Provider microsoft neúčtuje koncovému zákazníkovi. Partner musí nastavit a zpracovat fakturaci.
Partneři by ve svém fakturačním procesu měli implementovat následující protokoly:
- Předem zabezpečte platby před fakturací tím, že požádáte zákazníky, aby odeslali zálohu na financování své aktivity účtu.
- Vyhněte se přijímání vysoce rizikových platebních nástrojů , jako jsou předplacené nebo uložené karty s hodnotou, protože částka na kartách se nedá ověřit a nemusí stačit k pokrytí nákladů na nákup zákazníků.
- Pečlivě sledujte platby zákazníků a stárnoucí účty, agresivně vynucujte standardizované procesy dunningu pro pozdní nebo neplacení, včetně pozastavení předplatných a služeb, dokud nebudou přijaty platby za nevyrovnaný zůstatek.
Oznámení Microsoftu
Microsoft implementoval službu oznámení a je zásadní, aby partneři pravidelně aktualizovali e-mailové adresy spojené se správci předplatného:
- Partneři by měli vyvíjet a implementovat procesy pro rychlé přijímání, kontrolu, zpracování a reakci na oznámení Microsoftu podle potřeby.
- Pokud Microsoft zjistí neobvyklou aktivitu, Microsoft odesílá oznámení partnerům v následujících scénářích:
- Pokud jsou předplatná podezřelá nebo určená k porušení zásad přijatelného použití pro online služby a/nebo
- Pokud jsou předplatná přidružená k podezřelé aktivitě (jako jsou podvody nebo pirátství) a představují bezprostřední riziko pro Microsoft, partnery a/nebo zákazníky.
- Oznámení zákazníků se posílají na webu Azure Portal prostřednictvím okna Azure Service Health. Zjistěte, jak nastavit upozornění v článku Vytvoření upozornění protokolu aktivit na oznámeních služby pomocí webu Azure Portal.
- E-mailová oznámení o obecném zneužití: E-maily se odesílají
azsafety@microsoft.comsprávcům a vlastníkům předplatného. Doporučujeme přidat e-mailovou azsafety@microsoft.com adresu do seznamu bezpečných odesílatelů, abyste zabránili tomu, aby se důležité e-maily dostaly do složky spamu.
Poznámka:
Partneři by měli používat další metody k detekci neobvyklého využití a podezřelých aktivit a nespoléhejte pouze na oznámení Microsoftu.
Vynucení zásad přijatelného použití
- V rámci své smlouvy s Microsoftem se očekává, že partneři a jejich zákazníci budou dodržovat zásady přijatelného použití, jak je popsáno v podmínkách online služeb.
- Když Microsoft zjistí nebo jinak uvědomí o aktivitě partnera nebo zákazníka, že potvrdíme nebo jinak dojde k porušení zásad přijatelného použití, microsoft podnikne kroky vynucování.
- Porušení zásad přijatelného použití může vést k pozastavení online služeb – pozastavení může být v případě potřeby okamžité. V opačném případě Microsoft oznámí partnerům, kteří požadují, aby podnikli akce nebo akce vynucování, které microsoft již provedl.
Oznámení a očekávané akce
Poznámka:
Microsoft se snaží upozornit partnery, pokud předplatné přidružené k zákazníkovi vykazuje rizikové nebo podezřelé aktivity; Partneři by se ale neměli spoléhat výhradně na oznámení Microsoftu. K detekci neobvyklého chování zákazníků použijte jiné metody monitorování.
Partneři by měli vyhodnotit zákazníky, kteří zjistili, že jsou v rozporu se zásadami přijatelného použití, aby zjistili, jestli pro svou firmu představují další rizika.
| Riziková událost | Oznámení nebo očekávané akce* |
|---|---|
| Aktivity, které představují bezprostřední riziko pro Microsoft, partnery a/nebo zákazníky |
|
| Probíhající podezřelé aktivity zabezpečení |
|
| Porušení zásad přijatelného použití |
|
*E-mailová oznámení se posílají uvedeným správcům předplatného. Partneři by měli zajistit, aby se e-mailové kontaktní údaje pravidelně aktualizovaly.
**Určitá porušení mohou vést k okamžitému pozastavení nebo zakázání předplatného.
Když partneři zjistí podezřelé využití
Partneři jsou finančně zodpovědní za podvodné nákupy zákazníků a neplacení zakoupených služeb. Partneři by měli implementovat kontroly prevence podvodů a zjišťování rizik, jako jsou návrhy popsané v této příručce.
- Pokud partner proaktivně zjistí podezřelou aktivitu, měl by okamžitě prozkoumat a provést příslušné akce ke zmírnění rizika:
- Šetření může zahrnovat kontrolu přihlašovací aktivity zákazníka, historie plateb faktur, časté změny ve vzorech použití platebních nástrojů nebo předchozích předplatných, jak je doporučeno jako osvědčené postupy dříve.
- Akce pro zmírnění rizik můžou zahrnovat nápravu ohrožených identit, vyčištění ohrožených prostředků a posílení stavu zabezpečení. Další informace najdete v tématu Co byste měli dělat, pokud došlo k ohrožení zabezpečení předplatného Azure?
- Partneři můžou také odeslat žádost o služby v Partnerském centru, pokud mají jiné dotazy nebo obavy ohledně podezřelé aktivity.