Guida alla gestione dei rischi delle transazioni online
Importante
In qualità di partner Microsoft nel programma Cloud Solution Provider (CSP), l'utente è responsabile degli acquisti e dell'uso dei servizi dei clienti. È importante che i partner monitorino e affrontino le attività anomale dei clienti. Microsoft può inviare notifiche ai partner se rileviamo attività sospette, ma è fondamentale che i partner usino metodi aggiuntivi di monitoraggio per rilevare il comportamento anomalo dei clienti.
Microsoft prende seriamente in considerazione la gestione dei rischi delle transazioni online e i partner devono fare lo stesso per attenuare i rischi aziendali. Per supportare i partner, Microsoft condivide una serie di raccomandazioni per gestire i rischi quando si lavora con i clienti online. Mentre Microsoft si impegna a supportare i partner, i partner rimangono finanziariamente responsabili degli acquisti fraudolenti da parte dei clienti e/o del mancato pagamento dei servizi acquistati dai clienti.
Procedure consigliate per la gestione dei rischi online
In questa sezione vengono fornite informazioni sugli aspetti di base della gestione dei rischi di cui tenere conto, insieme ai suggerimenti per le procedure consigliate.
Per attenuare l'esposizione ai rischi, vedere la tabella seguente:
| Esposizione ai rischi | Definizione | Esempi |
|---|---|---|
| Abuso di servizio | Clienti o malintenzionati che usano i servizi cloud in violazione dei criteri di utilizzo accettabili di Microsoft | -Spamming -Secca - Attacchi DDOS - Crypto mining - Distribuzione di malware - Ricampiona sottoscrizioni pirata |
| Furto di servizio* | I clienti che dimostrano di non avere intenzione di pagare per i servizi utilizzati, utilizzare strumenti di pagamento rubati, fornire informazioni di fatturazione false e/o impostazione predefinita per i saldi in sospeso | - Transazioni che non si verificano di persona - Identità rappresentate in modo non correttamente - Servizi di cui è stato effettuato il provisioning e l'uso senza intenzione di pagamento - Creazione e acquisto automatizzati di account da parte di attori malintenzionati |
*Il furto di servizi potrebbe essere più elevato nei mercati emergenti e nelle regioni ad alto rischio.
Procedure consigliate
Microsoft consiglia ai partner di implementare i protocolli seguenti per tutto il ciclo di vita della relazione con il cliente:
- Eseguire l'onboarding di nuovi clienti
- Stabilire relazioni personali con i clienti, quando possibile (ad esempio, contattare per telefono).
- Cercare modi migliori per verificare le credenziali e le informazioni di base dei clienti (Agenzie di report commerciali/Agenzie di report commerciali di Credit Bureaus/Business).
- Usare l'autenticazione a più fattori (MFA) durante l'iscrizione per ridurre al minimo l'esposizione alla creazione e all'acquisto di account robotici.
- Richiedere ai clienti di monitorare e proteggere i tenant** seguendo le procedure consigliate per la sicurezza.
- Gestire e tenere traccia delle identità usando servizi come i servizi di gestione delle identità digitali.
- Valutare la forza finanziaria dei clienti tramite rigorosi sistemi di rilevamento delle frodi con carta di credito.
- Stabilire un criterio di raccolta non crittografato. Le raccolte di dettaglio elaborano e quando l'accesso alle sottoscrizioni è interessato dal mancato pagamento.
- Gestire gli account dei clienti
- Implementare un processo per ricevere, esaminare, intervenire e rispondere rapidamente alle notifiche Microsoft.
- Collaborare con i clienti per comprendere le esigenze aziendali di utilizzo del cloud e impostare soglie di monitoraggio appropriate. Ad esempio, i partner possono impostare un budget mensile di spesa di Azure nel Centro per i partner.
- Monitorare regolarmente i log attività dei clienti per rilevare tempestivamente le frodi.
- Intervenire rapidamente quando vengono rilevate attività sospette.
- Evitare di concedere ai clienti l'accesso amministrativo completo alle sottoscrizioni senza prima implementare controlli di mitigazione dei rischi.
- Gestire la fatturazione dei clienti
- Richiedere il pagamento anticipato prima delle transazioni iniziali e della fatturazione.
- Non accettare strumenti di pagamento ad alto rischio (ad esempio carte prepagate o carte con valore archiviato).
- Monitorare i pagamenti dei clienti e i crediti degli account invecchiati. Applicare in modo aggressivo processi standardizzati di dunning per pagamenti tardivi o pagamenti non pagati.
Suggerimenti per le procedure consigliate per l'onboarding dei clienti
Questa sezione illustra le procedure consigliate per l'onboarding dei clienti. Le sezioni includono informazioni sulla verifica di Short Message Service (SMS), sulla gestione delle identità degli utenti finali e sulla conoscenza del cliente durante l'onboarding.
Verifica SMS (testo)
Durante il processo di iscrizione, ai clienti finali viene visualizzata una pagina "Prova che non si è un robot", che avvia una verifica del cliente tramite SMS (testo):
- L'uso di una soluzione di verifica SMS consente ai partner di ridurre il rischio di iscrizione dei clienti tramite metodi robotici. La verifica TRAMITE SMS consente anche di evitare che gli attori malintenzionati siano in grado di creare facilmente più account (ad esempio, falsi accessi).
- Durante il processo di iscrizione, i partner possono scegliere di confermare se una persona si trova all'altra estremità della transazione. La verifica viene eseguita richiedendo al cliente di fornire un numero di cellulare a cui viene inviato un passcode monouso tramite SMS.
- Inoltre, la verifica SMS può essere usata anche come parte di un processo di accesso di autenticazione a più fattori (MFA) per i clienti stabiliti.
Gestione delle identità degli utenti finali
Le procedure consigliate per attenuare il rischio di identificare le frodi sono:
- Un modo per gestire e tenere traccia dell'identità di un cliente consiste nell'usare un servizio di gestione delle identità digitali.
- Un'identità digitale è una firma univoca di un singolo utente e/o dispositivo all'altra estremità di una transazione online.
- Digital Identity Services consente ai partner di identificare meglio i clienti oltre agli identificatori semplici, ad esempio un indirizzo di posta elettronica, un indirizzo fisico e così via.
- I partner possono convalidare l'identità dei clienti e identificare potenziali attori malintenzionati usando strumenti di terze parti.
Conoscere il cliente durante l'onboarding
È importante che i partner prendano misure aggiuntive per verificare l'identità e la forza finanziaria, quando possibile, di individui e aziende che vogliono acquistare Servizi online. Le procedure consigliate sono:
- Creare relazioni personali con i clienti, ad esempio, contattare per telefono, incontrare di persona e così via.
- Richiedi una carta di credito durante l'iscrizione. Non accetta carte con valori archiviati o carte di credito prepagate come metodo di pagamento.
- Implementare sistemi rigorosi di rilevamento delle frodi con carta di credito per garantire che il cliente che presenta lo strumento di pagamento sia un utente autorizzato; esaminare i report finanziari degli uffici di credito.
- Convalidare le credenziali dei clienti e le informazioni di base in luoghi attendibili, ad esempio Agenzie di report commerciali aziendali.
Suggerimenti per le procedure consigliate post-acquisto dei clienti
Conoscere il cliente
È consigliabile implementare il monitoraggio dell'utilizzo per i servizi, anche se tali servizi non vengono fatturati in base all'utilizzo. Tuttavia, questa procedura è particolarmente valida per il servizio fatturato a consumo, ad esempio Azure in cui la fatturazione si verifica dopo l'utilizzo.
- Basandosi sulla strategia "conosci il cliente", i partner devono collaborare con i clienti per comprendere le esigenze aziendali fondamentali dell'utilizzo dei servizi cloud.
- Evitare di concedere ai clienti l'accesso amministratore completo alle sottoscrizioni senza prima implementare controlli di mitigazione dei rischi, ad esempio le procedure consigliate in questa guida.
- Per monitorare l'utilizzo a livello di cliente per le varie esigenze aziendali del cliente, usare il portale di gestione di Microsoft Azure e le funzionalità di report sull'utilizzo disponibili.
- Sottoscrivere nuovi avvisi di sicurezza, uno dei molti modi in cui Microsoft supporta i partner per proteggere i tenant dei clienti. Gli avvisi devono essere esaminati e risolti rapidamente, se necessario, i partner possono sospendere le risorse di Azure interessate o le sottoscrizioni di Azure per attenuare un problema.
Fatturazione
Nel programma Cloud Solution Provider Microsoft non fattura il cliente finale. Il partner è necessario per configurare ed elaborare la fatturazione.
I partner devono implementare i protocolli seguenti nel processo di fatturazione:
- Proteggere i pagamenti prima della fatturazione richiedendo ai clienti di inviare pagamenti anticipato per finanziare l'attività dell'account.
- Evitare di accettare strumenti di pagamento ad alto rischio, ad esempio carte prepagate o con valore archiviato, come l'importo sulle carte non può essere verificato e potrebbe non essere sufficiente per coprire i costi di acquisto dei clienti.
- Monitorare attentamente i pagamenti dei clienti e i conti invecchiati, applicare in modo aggressivo processi standardizzati per la scadenza o il mancato pagamento, inclusa la sospensione di abbonamenti e servizi fino a quando non vengono ricevuti pagamenti in saldo in sospeso.
Notifiche Microsoft
Microsoft ha implementato un servizio di notifica ed è fondamentale che i partner mantengano regolarmente aggiornati gli indirizzi di posta elettronica associati agli amministratori delle sottoscrizioni:
- I partner devono sviluppare e implementare processi per ricevere, esaminare, intervenire e rispondere rapidamente alle notifiche Microsoft in base alle esigenze.
- Se Microsoft rileva attività insolite, Microsoft invia notifiche ai partner negli scenari seguenti:
- Quando le sottoscrizioni sono sospette o determinate a violare i criteri di utilizzo accettabili per i servizi online e/o
- Quando le sottoscrizioni sono associate a attività sospette (ad esempio frodi/pirateria) e rappresentano un rischio immediato per Microsoft, i partner e/o i clienti.
- Le notifiche dei clienti vengono inviate nel pannello portale di Azure tramite integrità dei servizi di Azure. Informazioni su come configurare gli avvisi nell'articolo Creare avvisi del log attività sulle notifiche del servizio usando il portale di Azure.
- Notifiche di posta elettronica di uso improprio generale: i messaggi di posta elettronica vengono inviati da
azsafety@microsoft.coma amministratori e proprietari della sottoscrizione. È consigliabile aggiungere l'indirizzo di posta elettronica all'elenco azsafety@microsoft.com dei mittenti attendibili per impedire che i messaggi di posta elettronica importanti entrino nella cartella della posta indesiderata.
Nota
I partner devono usare metodi aggiuntivi per rilevare l'utilizzo anomalo e le attività sospette e non basarsi esclusivamente sulle notifiche Microsoft.
Applicazione dei criteri di utilizzo accettabile
- Nell'ambito del contratto con Microsoft, i partner e i clienti devono rispettare i criteri di utilizzo accettabili, come descritto nelle Condizioni per i servizi online.
- Quando Microsoft rileva o viene in caso contrario reso consapevole dell'attività del partner o del cliente che microsoft conferma o sospetta che viola i criteri di utilizzo accettabili, Microsoft esegue le misure di imposizione.
- Le violazioni dei criteri di utilizzo accettabili potrebbero comportare la sospensione dei servizi online. Se necessario, la sospensione può essere immediata. In caso contrario, Microsoft invia una notifica ai partner che richiedono un'azione e/o di azioni di imposizione già eseguite da Microsoft.
Notifiche e azioni previste
Nota
Microsoft effettua sforzi ragionevoli per notificare ai partner se una sottoscrizione associata al cliente mostra attività rischiose o sospette; Tuttavia, i partner non devono basarsi esclusivamente sulle notifiche Microsoft. Usare altri metodi di monitoraggio per rilevare il comportamento anomalo dei clienti.
I partner devono valutare i clienti che si trovano in violazione dei criteri di utilizzo accettabili per determinare se presentano rischi aggiuntivi per l'azienda.
| Evento di rischio | Notifiche e/o azioni previste* |
|---|---|
| Attività che rappresentano un rischio immediato per Microsoft, partner e/o clienti |
|
| Attività di sicurezza sospette in corso |
|
| Violazione dei criteri di utilizzo accettabili |
|
*Le notifiche tramite posta elettronica vengono inviate agli amministratori elencati della sottoscrizione. I partner devono assicurarsi che le informazioni di contatto tramite posta elettronica vengano aggiornate regolarmente.
**Alcune violazioni possono comportare la sospensione immediata e/o la disabilitazione della sottoscrizione in violazione.
Quando i partner rilevano un utilizzo sospetto
I partner sono finanziariamente responsabili degli acquisti fraudolenti dei clienti e del mancato pagamento dei servizi acquistati. I partner devono implementare controlli di prevenzione e mitigazione dei rischi di rilevamento delle frodi, ad esempio i suggerimenti descritti in questa guida.
- Se un partner rileva in modo proattivo attività sospette, deve analizzare immediatamente e intraprendere azioni appropriate per attenuare i rischi:
- Le indagini possono includere la revisione dell'attività di accesso dell'account del cliente, la cronologia dei pagamenti con fattura, le frequenti modifiche apportate agli strumenti di pagamento e/o i modelli di utilizzo precedenti delle sottoscrizioni, come suggerito in precedenza come procedure consigliate.
- Le azioni di mitigazione possono includere la correzione delle identità compromesse, la pulizia delle risorse compromesse e il rafforzamento del comportamento di sicurezza. Per altre informazioni, vedere Cosa fare se una sottoscrizione di Azure è stata compromessa?
- I partner possono anche inviare una richiesta di servizio nel Centro per i partner se hanno altre domande o dubbi sull'attività sospetta.