Guía de administración de riesgos de transacciones en línea

Importante

Como partner de Microsoft en el programa Proveedor de soluciones en la nube (CSP), usted es responsable de las compras y el uso de nuestros servicios de los clientes. Es importante que los partners supervisen y aborden actividades anómalas de sus clientes. Microsoft puede enviar notificaciones de asociados si detectamos actividades sospechosas, pero es fundamental que los asociados usen métodos adicionales de supervisión para ayudar a detectar el comportamiento anómalo de los clientes.

Microsoft toma en serio la administración de riesgos de transacciones en línea y los asociados deben hacer lo mismo para mitigar los riesgos empresariales. Para admitir asociados, Microsoft comparte un conjunto de recomendaciones para administrar los riesgos al trabajar con clientes en línea. Aunque Microsoft se compromete a apoyar a los partners, los partners siguen siendo responsables financieramente de las compras fraudulentas por parte de sus clientes o del pago por no pago de los servicios adquiridos por parte de los clientes.

Procedimientos recomendados de administración de riesgos en línea

En esta sección se proporciona información sobre los aspectos básicos de la administración de riesgos que debe tener en cuenta, junto con sugerencias para los procedimientos recomendados.

Consulte la tabla siguiente para ver la exposición a riesgos que se va a mitigar:

Exposición al riesgo	Definición	Ejemplos
Abuso de servicio	Clientes o actores incorrectos que usan servicios en la nube que infringen la directiva de uso aceptable de Microsoft	-Spamming -Hacking - Ataques DDOS - Minería de cifrado - Distribución de malware - Reventa de suscripciones pirateadas
Robo de servicio*	Los clientes que demuestren que no tienen intención de pagar por los servicios consumidos, usar instrumentos de pago robados, proporcionar información de facturación falsa o un valor predeterminado en saldos pendientes	- Transacciones que no se producen en persona - Identidades mal representadas - Servicios aprovisionados y usados sin intención de pago - Automatización de la creación y compra de cuentas por actores incorrectos

*El robo de servicio puede ser mayor en los mercados emergentes y las regiones de alto riesgo.

procedimientos recomendados

Microsoft recomienda a los asociados implementar los siguientes protocolos durante el ciclo de vida de la relación con el cliente:

• Incorporación de nuevos clientes
  • Establezca relaciones personales con los clientes, siempre que sea posible (por ejemplo, póngase en contacto por teléfono).
  • Busque mejores formas de comprobar las credenciales y los antecedentes de los clientes (Agencias de informes comerciales de crédito o agencias de informes comerciales).
  • Use la autenticación multifactor (MFA) durante el registro para minimizar la exposición a la creación y compra de cuentas robóticas.
  • Requerir a los clientes que supervisen y protejan sus inquilinos** siguiendo los procedimientos recomendados de seguridad.
  • Administre y realice un seguimiento de las identidades mediante servicios como servicios de identidad digital.
  • Evaluar la solidez financiera del cliente a través de rigurosos sistemas de detección de fraudes de tarjetas de crédito.
  • Establecer una directiva de recopilación clara. Los procesos de recopilación de detalles y cuándo el acceso a las suscripciones se ve afectado por el pago por no pagar.
• Administrar cuentas de clientes
  • Implementar un proceso para recibir, revisar y responder a las notificaciones de Microsoft y tomar las medidas necesarias en consecuencia.
  • Trabaje con los clientes para comprender sus necesidades empresariales de uso de la nube y establezca los umbrales de supervisión adecuados. (Por ejemplo, los partners pueden establecer un presupuesto mensual de gastos de Azure en el Centro de partners.
  • Supervise los registros de actividad del cliente frecuentemente para detectar fraudes pronto.
  • Adopte medidas rápidas cuando se detecten actividades sospechosas.
  • Evita conceder a los clientes acceso administrativo total a las suscripciones sin primero implementar controles de mitigación de riesgos.
• Administración de la facturación del cliente
  • Solicite el pago por adelantado antes de las transacciones iniciales y la facturación.
  • No acepte instrumentos de pago de alto riesgo (como tarjetas de prepago o tarjetas de valor almacenado).
  • Supervise los pagos de los clientes y las cuentas de antigüedad. Aplique de forma agresiva procesos de reclamación estandarizados para pagos retrasados e impagos.

Sugerencias para los procedimientos recomendados de incorporación de clientes

En esta sección se proporcionan procedimientos recomendados para la incorporación de clientes. Las secciones incluyen información sobre la comprobación del Servicio de mensajes cortos (SMS), la administración de identidades del usuario final y conocer al cliente al incorporar.

Comprobación de SMS (texto)

Durante el proceso de registro, a los clientes finales se les presenta una página "Prueba de que no es un robot", que inicia una verificación del cliente a través de SMS (texto):

• El uso de una solución de comprobación de SMS ayuda a los asociados a mitigar el riesgo de que se produzcan registros de clientes a través de métodos robóticos. La comprobación de SMS también ayuda a evitar que los actores incorrectos puedan crear fácilmente varias cuentas (por ejemplo, registros falsos).
• Durante el proceso de registro, los asociados pueden optar por confirmar si una persona está en el otro extremo de la transacción. La comprobación se realiza al exigir al cliente que proporcione un número de móvil al que se envía un código de acceso de un solo uso a través de SMS.
• Además, la comprobación de SMS también se puede usar como parte de un proceso de inicio de sesión de autenticación multifactor (MFA) para los clientes establecidos.

Administración de identidades del usuario final

Los procedimientos recomendados para mitigar el riesgo de identificar el fraude son:

• Una manera de administrar y realizar un seguimiento de la identidad de un cliente es mediante un servicio de identidad digital.
• Una identidad digital es una firma única de un usuario individual o un dispositivo al otro extremo de una transacción en línea.
• Digital Identity Services permite a los asociados identificar mejor a los clientes más allá de identificadores simples, como una dirección de correo electrónico, una dirección física, etc.
• Los asociados pueden validar la identidad de los clientes e identificar posibles actores incorrectos mediante herramientas de terceros.

Conocer a su cliente al incorporar

Es importante que los asociados realicen pasos adicionales para comprobar la identidad y la solidez financiera, siempre que sea posible, de individuos y empresas que quieran comprar servicios en línea. Los procedimientos recomendados son:

• Crear relaciones personales con los clientes, por ejemplo, ponerse en contacto por teléfono, reunirse en persona, etc.
• Requerir una tarjeta de crédito durante el registro; no acepte tarjetas con valores almacenados ni tarjetas de crédito de prepago como método de pago.
• Implemente rigurosos sistemas de detección de fraudes de tarjetas de crédito para asegurarse de que el cliente que presenta el instrumento de pago es un usuario autorizado; revise los informes financieros de las oficinas de crédito.
• Valide las credenciales y los antecedentes de los clientes en lugares de confianza, como las agencias de informes comerciales empresariales.

Sugerencias para los procedimientos recomendados posteriores a la compra del cliente

Conocer a su cliente

Es el procedimiento recomendado implementar la supervisión de uso para los servicios, incluso si esos servicios no se facturan por consumo. Pero esta práctica es especialmente cierta para el servicio facturado de consumo, como Azure, donde se produce la facturación después del uso.

• Basándose en la estrategia de "conocer a su cliente", los partners deben trabajar estrechamente con los clientes para comprender las necesidades empresariales fundamentales de su uso de servicios en la nube.
• Evite proporcionar a los clientes acceso de administrador completo a las suscripciones sin implementar primero controles de mitigación de riesgos, como los procedimientos recomendados de esta guía.
• Para supervisar el uso de nivel de cliente para las distintas necesidades empresariales del cliente, use el Portal de administración de Microsoft Azure y las funcionalidades de informes de uso disponibles.
• Suscríbase a nuevas alertas de seguridad, una de las muchas maneras en que Microsoft admite asociados para proteger los inquilinos de sus clientes. Las alertas deben investigarse y corregirse rápidamente si es necesario, los asociados pueden suspender los recursos de Azure afectados o las suscripciones de Azure para mitigar un problema.

Facturación

En el programa Proveedor de soluciones en la nube, Microsoft no factura al cliente final. El asociado es necesario para configurar y procesar la facturación.

Los partners deben implementar los siguientes protocolos en su proceso de facturación:

• Proteja los pagos por adelantado antes de la facturación solicitando a los clientes que envíen pagos por adelantado para financiar su actividad de cuenta.
• Evite aceptar instrumentos de pago de alto riesgo, como tarjetas de prepago o de valor almacenado, ya que el importe de las tarjetas no se puede comprobar y podría no ser suficiente para cubrir los costos de compra de los clientes.
• Supervise detenidamente los pagos de los clientes y las cuentas envejecidas, y aplique de forma agresiva los procesos estandarizados de asignación de pagos por retraso o no de pago, incluida la suspensión de suscripciones y servicios hasta que se reciban pagos en saldos pendientes.

Notificaciones de Microsoft

Microsoft implementó un servicio de notificaciones y es fundamental que los asociados mantengan las direcciones de correo electrónico asociadas a los administradores de suscripciones periódicamente actualizadas:

• Los partners deben desarrollar e implementar procesos para recibir, revisar, actuar rápidamente y responder a las notificaciones de Microsoft según sea necesario.
• Si Microsoft detecta actividad inusual, Microsoft envía notificaciones a los asociados en los escenarios siguientes:
  • Cuando se sospecha o se determina que las suscripciones infringen la Directiva de uso aceptable para servicios en línea o
  • Cuando las suscripciones están asociadas a actividades sospechosas (como fraudes o piratería) y suponen un riesgo inmediato para Microsoft, asociados o clientes.
• Las notificaciones de los clientes se envían en Azure Portal a través de la hoja Azure Service Health. Aprenda a configurar alertas en el artículo Creación de alertas de registro de actividad en notificaciones de servicio mediante Azure Portal.
• Notificaciones por correo electrónico de abuso general: los correos electrónicos se envían desde azsafety@microsoft.com a los administradores y propietarios de suscripciones. Se recomienda agregar la dirección de correo electrónico a la azsafety@microsoft.com lista de remitentes seguros para evitar que los correos electrónicos importantes entren en la carpeta de correo no deseado.

Nota:

Los asociados deben usar métodos adicionales para detectar el uso anómalo y las actividades sospechosas y no confiar únicamente en las notificaciones de Microsoft.

Cumplimiento aceptable de directivas de uso

• Como parte de su acuerdo con Microsoft, se espera que los partners y su cliente cumplan con la Directiva de uso aceptable, tal como se describe en los Términos de los Servicios en línea.
• Cuando Microsoft detecta o se hace consciente de la actividad del asociado o del cliente que confirmamos o sospechamos que infringe la directiva de uso aceptable, Microsoft realiza los pasos de cumplimiento.
• Las infracciones de la Directiva de uso aceptable pueden dar lugar a la suspensión de servicios en línea: la suspensión puede ser inmediata, si es necesario. De lo contrario, Microsoft notifica a los partners que solicitan que se realicen acciones y/o de acciones de cumplimiento ya realizadas por Microsoft.

Notificaciones y acciones esperadas

Nota:

Microsoft realiza esfuerzos razonables para notificar a los partners si una suscripción asociada a su cliente muestra actividades sospechosas o de riesgo; Sin embargo, los asociados no deben confiar exclusivamente en las notificaciones de Microsoft. Use otros métodos de supervisión para detectar el comportamiento anómalo de los clientes.

Los partners deben evaluar a los clientes que se encuentran en infracción de la directiva de uso aceptable para determinar si suponen riesgos adicionales para su negocio.

Evento de riesgo	Notificaciones o acciones esperadas*
Actividades que suponen un riesgo inmediato para Microsoft, asociados o clientes	Microsoft notificará al asociado a través de Azure Portal o el portal del Centro de partners de la suscripción de alto riesgo. El partner debe INVESTIGAR y SUSPENDER todas las demás suscripciones de cliente de la cuenta de cliente si el asociado lo determina para que sea fraudulento. Microsoft podría deshabilitar las suscripciones de alto riesgo inmediatamente**
Actividades de seguridad sospechosas en curso	Aunque es responsabilidad del asociado implementar y mantener controles de riesgo de detección y prevención de fraudes, Microsoft podría notificar a los asociados, por correo electrónico, de la actividad sospechosa. Microsoft podría deshabilitar suscripciones de alto riesgo si el asociado no realiza ninguna acción En el futuro, Microsoft podría ofrecer otras herramientas o funcionalidades de detección para asociados
Infracción de la directiva de uso aceptable	Microsoft notificará al asociado por correo electrónico de la infracción. El partner suspenderá el recurso infractor y responderá a la notificación de Microsoft en un plazo de 48 horas o el siguiente día laborable. Microsoft podría deshabilitar suscripciones de alto riesgo si el asociado no realiza ninguna acción

*Las notificaciones por correo electrónico se envían a los administradores enumerados de la suscripción. Los partners deben asegurarse de que la información de contacto de correo electrónico se actualice periódicamente.
**Algunas infracciones pueden dar lugar a una suspensión inmediata o deshabilitación de la suscripción infractora.

Cuando los asociados detectan un uso sospechoso

Los partners son responsables financieramente de las compras fraudulentas de sus clientes y del pago por impago de los servicios adquiridos. Los asociados deben implementar controles de prevención y detección de riesgos de detección de fraudes, como las sugerencias que se describen en esta guía.

• Si un asociado detecta proactivamente actividades sospechosas, debe investigar inmediatamente y tomar las acciones adecuadas para mitigar el riesgo:
  • La investigación puede incluir revisar la actividad de inicio de sesión de la cuenta del cliente, el historial de pagos de facturas, los cambios frecuentes en los instrumentos de pago o los patrones de uso de suscripciones anteriores, como se sugirió anteriormente como procedimientos recomendados.
  • Las acciones de mitigación pueden incluir la corrección de identidades en peligro, la limpieza de los recursos en peligro y el fortalecimiento de la posición de seguridad. Para más información, consulte ¿Qué debe hacer si se ha puesto en peligro una suscripción de Azure?
• Los partners también pueden enviar una solicitud de servicio en el Centro de partners si tienen otras preguntas o preocupaciones sobre actividades sospechosas.

Contenido relacionado

• Procedimientos recomendados de seguridad del cliente
• Pasos esenciales para confirmar, contener y proteger un riesgo
• Impago, fraude y uso indebido
• Notificaciones de fraude de Azure