온라인 트랜잭션 위험 관리 가이드
Important
CSP(클라우드 솔루션 공급자) 프로그램의 Microsoft 파트너는 고객의 서비스 구매 및 사용에 대한 책임이 있습니다. 파트너는 고객의 비정상적인 활동을 모니터링하고 해결하는 것이 중요합니다. 의심스러운 활동을 감지하는 경우 Microsoft에서 파트너 알림을 보낼 수 있지만, 파트너가 비정상적인 고객의 동작을 감지하는 데 도움이 되는 추가 모니터링 방법을 사용하는 것이 중요합니다.
Microsoft는 온라인 트랜잭션 위험 관리를 중요하게 생각하며 파트너도 비즈니스 위험을 완화하기 위해 동일한 작업을 수행해야 합니다. 파트너를 지원하기 위해 Microsoft는 온라인으로 고객과 작업할 때 위험을 관리하기 위한 권장 사항 집합을 공유하고 있습니다. Microsoft는 파트너를 지원하기 위해 최선을 다하고 있지만 파트너는 고객의 사기성 구매 및/또는 고객이 구매한 서비스의 미지급금에 대해 재정적으로 책임을 집니다.
온라인 위험 관리 모범 사례
이 섹션에서는 모범 사례에 대한 제안과 함께 알고 있어야 하는 위험 관리의 기본 측면에 대한 정보를 제공합니다.
완화할 위험 노출은 다음 표를 참조하세요.
| 위험 노출 | 정의 | 예제 |
|---|---|---|
| 서비스 남용 | Microsoft의 허용 가능한 사용 정책을 위반하여 클라우드 서비스를 사용하는 고객 또는 악의적인 행위자 | -스팸 -해킹 - DDOS 공격 - 암호화 마이닝 - 맬웨어 배포 - 불법 복제된 구독 재판매 |
| 서비스 도난* | 소비된 서비스에 대한 비용을 지불할 의도가 없음을 입증하고, 도난당한 결제 방법을 사용하고, 허위 청구 정보를 제공하고, 미결제 잔액에 대한 기본값을 제공하는 고객 | - 직접 발생하지 않는 트랜잭션 - 잘못 표현된 ID - 결제 의도 없이 프로비전되고 사용되는 서비스 - 잘못된 행위자가 계정 생성 및 구매를 자동화했습니다. |
*서비스 도난은 신흥 시장과 고위험 지역에서 더 높을 수 있습니다.
모범 사례
파트너는 고객 관계의 수명 주기 동안 다음 프로토콜을 구현할 것을 권장합니다.
- 새 고객 온보딩
- 가능하면 고객과의 개인적인 관계를 설정합니다(예: 전화로 연락).
- 고객의 자격 증명 및 배경을 확인하는 더 나은 방법을 찾습니다(신용 조사국/비즈니스 상업 보고서 기관).
- 등록하는 동안 MFA(다단계 인증)를 사용하여 로봇 계정 생성 및 구매에 대한 노출을 최소화합니다.
- 고객이 보안 모범 사례를 따라 테넌트**를 모니터링하고 보호하도록 요구합니다.
- 디지털 ID 서비스와 같은 서비스를 사용하여 ID를 관리하고 추적합니다.
- 엄격한 신용 카드 사기 감지 시스템을 통해 고객의 재무 건전도를 평가합니다.
- 명확한 컬렉션 정책을 설정합니다. 세부 컬렉션 프로세스 및 구독에 대한 액세스가 미지급의 영향을 받는 경우
- 고객 계정 관리
- Microsoft 알림을 신속하게 수신, 검토, 작업 및 응답하는 프로세스를 구현합니다.
- 고객과 협력하여 클라우드 사용량 비즈니스 요구 사항을 이해하고 적절한 모니터링 임계값을 설정합니다. 예를 들어 파트너는 파트너 센터에서 월별 Azure 지출 예산을 설정할 수 있습니다.
- 고객 활동 로그를 정기적으로 모니터링하여 사기를 조기에 감지할 수 있습니다.
- 의심스러운 활동이 감지되면 빠른 조치를 취합니다.
- 위험 완화 제어를 먼저 구현하지 않고 고객에게 구독에 대한 모든 관리 액세스 권한을 부여하지 않습니다.
- 고객 청구 관리
- 초기 트랜잭션 및 청구 전에 선불을 요청합니다.
- 고위험 결제 수단(예: 선불 카드 또는 저장 가치 카드)은 허용하지 않습니다.
- 고객 지불 및 노후화된 계정 수취인을 모니터링합니다. 지연 지불 또는 미지불에 대해 표준화된 더닝 프로세스를 적극적으로 적용합니다.
고객 온보딩 모범 사례에 대한 제안
이 섹션에서는 고객 온보딩에 대한 모범 사례를 제공합니다. 섹션에는 SMS(짧은 메시지 서비스) 확인, 최종 사용자 ID 관리 및 온보딩 시 고객 파악에 대한 정보가 포함됩니다.
SMS(텍스트) 확인
등록 프로세스 중에 최종 고객에게 SMS(텍스트)를 통해 고객 확인을 시작하는 "로봇이 아니라는 증명" 페이지가 표시됩니다.
- SMS 확인 솔루션을 사용하면 파트너가 로봇 방법을 통해 발생하는 고객 등록 위험을 완화할 수 있습니다. SMS 확인은 악의적인 행위자가 여러 계정(예: 가짜 등록)을 쉽게 만들 수 없도록 방지하는 데도 도움이 됩니다.
- 등록 프로세스 중에 파트너는 사용자가 트랜잭션의 다른 쪽 끝에 있는지 확인하도록 선택할 수 있습니다. 확인은 고객이 SMS를 통해 일회성 암호가 전송되는 휴대폰 번호를 제공하도록 요구하여 수행됩니다.
- 또한 SMS 확인은 설정된 고객을 위한 MFA(다단계 인증) 로그인 프로세스의 일부로 사용할 수도 있습니다.
최종 사용자 ID 관리
사기 식별 위험을 완화하는 모범 사례는 다음과 같습니다.
- 고객의 ID를 관리하고 추적하는 한 가지 방법은 디지털 ID 서비스를 사용하는 것입니다.
- 디지털 ID는 온라인 트랜잭션의 다른 쪽 끝에 있는 개별 사용자 및/또는 디바이스의 고유한 서명입니다.
- 디지털 ID 서비스를 사용하면 파트너가 전자 메일 주소, 실제 주소 등과 같은 간단한 식별자를 넘어 고객을 더 잘 식별할 수 있습니다.
- 파트너는 타사 도구를 사용하여 고객의 ID를 확인하고 잠재적인 악의적인 행위자를 식별할 수 있습니다.
온보딩 시 고객 파악
파트너는 가능한 경우 온라인 서비스 구매하려는 개인 및 기업의 ID와 재무 건전성을 확인하기 위해 추가 조치를 취하는 것이 중요합니다. 모범 사례는 다음과 같습니다.
- 고객과의 개인적인 관계 구축(예: 전화로 연락, 직접 모임 등)
- 등록하는 동안 신용 카드가 필요합니다. 저장된 카드 또는 선불 신용 카드를 결제 방법으로 허용하지 않습니다.
- 엄격한 신용 카드 사기 감지 시스템을 구현하여 결제 방법을 제시하는 고객이 승인된 사용자인지 확인하고 신용 조사국의 재무 보고서를 검토합니다.
- 비즈니스 상업 보고서 기관과 같은 신뢰할 수 있는 위치에서 고객의 자격 증명 및 배경 의 유효성을 검사합니다.
구매 후 고객 모범 사례에 대한 제안
고객 파악
이러한 서비스가 사용량으로 청구되지 않더라도 서비스에 대한 사용량 모니터링을 구현하는 것이 가장 좋습니다. 그러나 이 방법은 사용 후 청구가 발생하는 Azure와 같은 사용량 청구 서비스에 특히 해당합니다.
- "고객 파악" 전략을 기반으로 파트너는 고객과 긴밀히 협력하여 클라우드 서비스 사용량의 기본적인 비즈니스 요구 사항을 이해해야 합니다.
- 이 가이드의 모범 사례와 같은 위험 완화 제어를 먼저 구현하지 않고 고객에게 구독에 대한 전체 관리자 액세스 권한을 부여하지 마세요.
- 고객의 다양한 비즈니스 요구 사항에 대한 고객 수준 사용을 모니터링하려면 Microsoft Azure 관리 포털 및 사용 현 황 보고 기능을 사용합니다.
- Microsoft에서 고객의 테넌트 보안을 위해 파트너를 지원하는 여러 가지 방법 중 하나인 새로운 보안 경고를 구독합니다. 필요한 경우 경고를 신속하게 조사하고 수정해야 하며, 파트너는 영향을 받는 Azure 리소스 또는 Azure 구독을 일시 중단하여 문제를 완화할 수 있습니다.
결제
클라우드 솔루션 공급자 프로그램에서 Microsoft는 최종 고객에게 요금을 청구하지 않습니다. 파트너는 청구를 설정하고 처리해야 합니다.
파트너는 청구 프로세스에서 다음 프로토콜을 구현해야 합니다.
- 고객에게 계정 활동에 자금을 지원하기 위해 선불을 제출하도록 요청하여 청구 전에 선불 결제를 보호합니다.
- 카드의 금액을 확인할 수 없고 고객 구매 비용을 충당하기에 충분하지 않을 수 있으므로 선불 또는 저장 가치 카드와 같은 고위험 결제 수단 은 허용하지 않습니다.
- 미결제 잔액에 대한 지불이 수신될 때까지 구독 및 서비스의 일시 중단을 포함하여 고객 지불 및 노후화 계정 수취인을 면밀히 모니터링하고, 지연 또는 미지불에 대한 표준화된 더닝 프로세스를 적극적으로 시행합니다.
Microsoft 알림
Microsoft는 알림 서비스를 구현했으며 파트너가 구독 관리자와 연결된 전자 메일 주소를 정기적으로 업데이트하는 것이 중요합니다.
- 파트너는 필요에 따라 Microsoft 알림을 신속하게 수신, 검토, 작업 및 응답하는 프로세스를 개발하고 구현해야 합니다.
- Microsoft가 비정상적인 활동을 감지하면 Microsoft는 다음 시나리오에서 파트너에게 알림을 보냅니다.
- 구독이 온라인 서비스에 허용되는 사용 정책을 위반하는 것으로 의심되거나 결정되는 경우 및/또는
- 구독이 의심스러운 활동(예: 사기/불법 복제)과 연결되고 Microsoft, 파트너 및/또는 고객에게 즉각적인 위험을 초래하는 경우.
- 고객 알림은 Azure Service Health 블레이드를 통해 Azure Portal에서 전송됩니다. Azure Portal을 사용하여 서비스 알림에 대한 활동 로그 경고 만들기 문서에서 경고를 설정하는 방법을 알아봅니다.
- 일반 남용 메일 알림: 전자 메일이 구독 관리자 및 소유자에게 전송
azsafety@microsoft.com됩니다. 중요한 전자 메일이 스팸 폴더로 이동하지 않도록 전자 메일 주소를 안전한 보낸 사람 목록에 추가하는 azsafety@microsoft.com 것이 좋습니다.
참고 항목
파트너는 추가 방법을 사용하여 비정상적인 사용 및 의심스러운 활동을 검색하고 Microsoft 알림에만 의존하지 않아야 합니다.
허용 가능한 사용 정책 적용
- Microsoft와의 계약의 일환으로 파트너 및 고객은 온라인 서비스 약관에 설명된 대로 허용 가능한 사용 정책을 준수해야 합니다.
- Microsoft가 허용 가능한 사용 정책을 위반하는 것으로 확인하거나 의심하는 파트너 또는 고객 활동을 감지하거나 이를 알게 되면 Microsoft는 적용 단계를 수행합니다.
- 허용 가능한 사용 정책을 위반하면 온라인 서비스가 일시 중단될 수 있습니다. 필요한 경우 일시 중단이 즉시 발생할 수 있습니다. 그렇지 않으면 Microsoft는 Microsoft가 이미 수행한 적용 조치 및/또는 조치를 요청하는 파트너에게 알합니다.
알림 및 예상 작업
참고 항목
Microsoft는 고객과 연결된 구독이 위험하거나 의심스러운 활동을 표시하는 경우 파트너에게 알리기 위해 합리적인 노력을 기울입니다. 그러나 파트너는 Microsoft 알림에만 의존해서는 안 됩니다. 다른 모니터링 방법을 사용하여 비정상적인 고객의 동작을 검색합니다.
파트너는 허용 가능한 사용 정책을 위반하는 것으로 확인된 고객을 평가하여 비즈니스에 추가적인 위험을 초래하는지 확인해야 합니다.
| 위험 이벤트 | 알림 및/또는 예상 작업* |
|---|---|
| Microsoft, 파트너 및/또는 고객에게 즉각적인 위험을 초래하는 활동 |
|
| 지속적인 의심스러운 보안 활동 |
|
| 허용 가능한 사용 정책 위반 |
|
*이메일 알림은 구독의 나열된 관리자에게 전송됩니다. 파트너는 메일 연락처 정보가 정기적으로 업데이트되는지 확인해야 합니다.
**특정 위반으로 인해 위반 구독이 즉시 일시 중단 및/또는 비활성화될 수 있습니다.
파트너가 의심스러운 사용량을 감지하는 경우
파트너는 고객의 사기성 구매 및 구매한 서비스의 미지급에 대해 재정적으로 책임이 있습니다. 파트너는 이 가이드에 설명된 제안과 같은 사기 방지 및 탐지 위험 완화 제어를 구현해야 합니다.
- 파트너가 의심스러운 활동을 사전에 감지하는 경우 즉시 조사하고 적절한 조치를 취하여 위험을 완화해야 합니다.
- 조사에 는 이전에 모범 사례로 제안된 대로 고객의 계정 로그인 활동, 청구서 결제 기록, 결제 수단 및/또는 이전 구독 사용 패턴의 빈번한 변경 내용 검토가 포함될 수 있습니다.
- 완화 작업에 는 손상된 ID 수정, 손상된 리소스 정리 및 보안 상태 강화가 포함될 수 있습니다. 자세한 내용은 Azure 구독이 손상된 경우 어떻게 해야 하나요?를 참조하세요.
- 파트너는 의심스러운 활동에 대한 다른 질문이나 우려 사항이 있는 경우 파트너 센터에서 서비스 요청을 제출할 수도 있습니다.