Przewodnik po zarządzaniu ryzykiem transakcji online

Ważne

Jako partner firmy Microsoft w programie Dostawca rozwiązań w chmurze (CSP) odpowiadasz za zakupy klientów i korzystanie z naszych usług. Ważne jest, aby partnerzy monitorowali i rozwiązywali nietypowe działania klientów. Firma Microsoft może wysyłać powiadomienia partnerów, jeśli wykrywamy podejrzane działania, ale ważne jest, aby partnerzy używali dodatkowych metod monitorowania w celu wykrywania nietypowych zachowań klientów.

Firma Microsoft poważnie traktuje zarządzanie ryzykiem transakcji online, a partnerzy powinni zrobić to samo, aby ograniczyć ryzyko biznesowe. Aby wspierać partnerów, firma Microsoft udostępnia zestaw zaleceń do zarządzania ryzykiem podczas pracy z klientami w trybie online. Chociaż firma Microsoft jest zobowiązana do wspierania partnerów, partnerzy pozostają odpowiedzialni finansowo za fałszywe zakupy przez swoich klientów i/lub niepłatę za zakupione usługi.

Najlepsze rozwiązania dotyczące zarządzania ryzykiem online

Ta sekcja zawiera informacje o podstawowych aspektach zarządzania ryzykiem, o których należy pamiętać, wraz z sugestiami dotyczącymi najlepszych rozwiązań.

Zobacz poniższą tabelę, aby zapobiec narażeniu na ryzyko:

Narażenie na czynniki ryzyka	Definicja	Przykłady
Nadużycie służby	Klienci lub złe podmioty korzystające z usług w chmurze naruszające zasady dopuszczalnego użytkowania firmy Microsoft	-Spamowania -Hacking - Ataki DDOS - Crypto-mining - Dystrybucja złośliwego oprogramowania - Pirackie subskrypcje odsprzedaży
Kradzież usługi*	Klienci, którzy pokazują, że nie mają zamiaru płacić za zużyte usługi, korzystać ze skradzionych instrumentów płatniczych, dostarczać fałszywe informacje rozliczeniowe i/lub domyślnie korzystać z zaległych sald	- Transakcje, które nie występują osobiście - Błędnie reprezentowane tożsamości - Usługi aprowizowane i używane bez zamiaru płatności - Automatyczne tworzenie i kupowanie kont przez złych podmiotów

*Kradzież usług może być wyższa na rynkach wschodzących i regionach wysokiego ryzyka.

Najlepsze rozwiązania

Firma Microsoft zaleca partnerom zaimplementowanie następujących protokołów w całym cyklu życia relacji z klientem:

• Dołączanie nowych klientów
  • Ustanów relacje osobiste z klientami, jeśli to możliwe (na przykład kontakt przez telefon).
  • Poszukaj lepszych sposobów weryfikacji poświadczeń i doświadczenia klientów (Credit Bureaus/Business Commercial Report Agencies).
  • Użyj uwierzytelniania wieloskładnikowego (MFA) podczas rejestracji, aby zminimalizować narażenie na tworzenie i kupowanie konta robota.
  • Wymagaj, aby klienci monitorowali i zabezpieczali swoje dzierżawy**, postępując zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń.
  • Zarządzanie tożsamościami i śledzenie ich przy użyciu usług, takich jak usługi tożsamości cyfrowej.
  • Ocena siły finansowej klienta za pomocą rygorystycznych systemów wykrywania oszustw kart kredytowych.
  • Ustanów zasady czyszczenia kolekcji. Szczegółowe kolekcje przetwarzają i kiedy dostęp do subskrypcji ma wpływ na niepłatę.
• Zarządzanie kontami klientów
  • Zaimplementuj proces, aby szybko odbierać, przeglądać, wykonywać działania i odpowiadać na powiadomienia firmy Microsoft.
  • Skontaktuj się z klientami, aby zrozumieć potrzeby biznesowe dotyczące użycia chmury i ustawić odpowiednie progi monitorowania. (Na przykład partnerzy mogą ustawić miesięczny budżet wydatków na platformę Azure w Centrum partnerskim.
  • Regularne monitorowanie dzienników aktywności klientów w celu wczesnego wykrywania oszustw.
  • Podejmij szybką akcję po wykryciu podejrzanych działań.
  • Unikaj zapewniania klientom pełnego dostępu administracyjnego do subskrypcji bez uprzedniego implementowania mechanizmów kontroli ograniczania ryzyka.
• Zarządzanie rozliczeniami klientów
  • Zażądaj przedpłaty przed początkowymi transakcjami i rozliczeniami.
  • Nie akceptuj instrumentów płatniczych o wysokim ryzyku (takich jak karty przedpłacone lub karty o wartości przechowywanej).
  • Monitoruj płatności klientów i starzejące się należności. Agresywnie wymusić ustandaryzowane procesy przetwarzania pod kątem opóźnionych płatności lub płatności.

Sugestie dotyczące najlepszych rozwiązań dotyczących dołączania klientów

Ta sekcja zawiera najlepsze rozwiązania dotyczące dołączania klientów. Sekcje zawierają informacje na temat weryfikacji usługi Short Message Service (SMS), zarządzania tożsamościami użytkowników końcowych oraz znajomości klienta podczas dołączania.

Weryfikacja wiadomości SMS (tekst)

Podczas procesu rejestracji klienci końcowi otrzymują stronę "Dowód, że nie jesteś robotem", która inicjuje weryfikację klienta za pośrednictwem wiadomości SMS (tekst):

• Korzystanie z rozwiązania do weryfikacji wiadomości SMS pomaga partnerom ograniczyć ryzyko rejestracji klientów w ramach metod robotycznych. Weryfikacja wiadomości SMS pomaga również zapobiec łatwemu tworzeniu wielu kont przez złych podmiotów (na przykład fałszywych rejestracji).
• Podczas procesu rejestracji partnerzy mogą potwierdzić, czy dana osoba znajduje się na drugim końcu transakcji. Weryfikacja jest realizowana przez wymaganie od klienta podania numeru komórkowego, do którego jest wysyłany jednorazowy kod dostępu za pośrednictwem wiadomości SMS.
• Ponadto weryfikacja sms może być również używana w ramach procesu logowania wieloskładnikowego (MFA) dla ustanowionych klientów.

Zarządzanie tożsamościami użytkowników końcowych

Najlepsze rozwiązania w celu ograniczenia ryzyka zidentyfikowania oszustw są następujące:

• Jednym ze sposobów zarządzania tożsamością klienta i śledzenia jego tożsamości jest użycie usługi tożsamości cyfrowej.
• Tożsamość cyfrowa to unikatowy podpis pojedynczego użytkownika i/lub urządzenia na drugim końcu transakcji online.
• Usługa Digital Identity Services umożliwia partnerom lepsze identyfikowanie klientów poza prostymi identyfikatorami, takimi jak adres e-mail, adres fizyczny itd.
• Partnerzy mogą weryfikować tożsamość klientów i identyfikować potencjalnych złych podmiotów przy użyciu narzędzi innych firm.

Znajomość klienta podczas dołączania

Ważne jest, aby partnerzy podejmili dodatkowe kroki w celu zweryfikowania tożsamości i siły finansowej, jeśli to możliwe, osób fizycznych i firm, które chcą kupić Usługi online. Najlepsze rozwiązania to:

• Twórz relacje osobiste z klientami, na przykład kontakt przez telefon, spotykaj się osobiście itd.
• Wymagaj karty kredytowej podczas rejestracji; nie akceptuj przechowywanych kart lub kart kredytowych przedpłaconych jako formy płatności.
• Zaimplementuj rygorystyczne systemy wykrywania oszustw kart kredytowych, aby upewnić się, że klient prezentujący instrument płatniczy jest autoryzowanym użytkownikiem; przejrzyj raporty finansowe z biur kredytowych.
• Zweryfikuj poświadczenia klientów i doświadczenie w zaufanych miejscach, takich jak Business Commercial Report Agencies.

Sugestie dotyczące najlepszych rozwiązań dotyczących klienta po zakupie

Znajomość klienta

Najlepszym rozwiązaniem jest zaimplementowanie monitorowania użycia usług, nawet jeśli te usługi nie są rozliczane według użycia. Jednak ta praktyka jest szczególnie stosowana w przypadku usługi rozliczanej za użycie, takiej jak platforma Azure, w której rozliczenia są naliczane po użyciu.

• Opierając się na strategii "poznaj klienta", partnerzy powinni ściśle współpracować z klientami, aby zrozumieć podstawowe potrzeby biznesowe użycia usług w chmurze.
• Unikaj zapewniania klientom pełnego dostępu administratora do subskrypcji bez uprzedniego implementowania mechanizmów kontroli ograniczania ryzyka, takich jak najlepsze rozwiązania w tym przewodniku.
• Aby monitorować użycie na poziomie klienta dla różnych potrzeb biznesowych klienta, użyj portalu zarządzania Microsoft Azure i dostępnych funkcji raportowania użycia.
• Subskrybuj nowe alerty zabezpieczeń, które są jednym z wielu sposobów, na które firma Microsoft obsługuje partnerów w zabezpieczaniu dzierżaw klientów. Alerty powinny być badane i korygowane szybko w razie potrzeby, partnerzy mogą zawiesić objęte zasoby platformy Azure lub subskrypcje platformy Azure, aby rozwiązać problem.

Rozliczenia

W programie Dostawca rozwiązań w chmurze firma Microsoft nie rozlicza klienta końcowego. Partner jest wymagany do skonfigurowania i przetworzenia rozliczeń.

Partnerzy powinni zaimplementować następujące protokoły w procesie rozliczeń:

• Zabezpieczanie płatności z góry przed rozliczeniami, żądając od klientów przesyłania przedpłaty w celu sfinansowanie aktywności konta.
• Unikaj akceptowania instrumentów płatności wysokiego ryzyka, takich jak karty przedpłacone lub przechowywane wartości, ponieważ nie można zweryfikować kwoty na kartach i może nie wystarczyć do pokrycia kosztów zakupu klienta.
• Uważnie monitoruj płatności klientów i starzejące się konta, agresywnie wymuszają ustandaryzowane procesy przetwarzania pod kątem późnych lub niepłatnych, w tym zawieszenie subskrypcji i usług do momentu otrzymania płatności na zaległe salda.

Powiadomienia firmy Microsoft

Firma Microsoft zaimplementowała usługę powiadomień i ważne jest, aby partnerzy regularnie aktualizowali adresy e-mail skojarzone z administratorami subskrypcji:

• Partnerzy powinni opracowywać i implementować procesy umożliwiające szybkie odbieranie, przeglądanie, wykonywanie działań i reagowanie na powiadomienia firmy Microsoft w razie potrzeby.
• Jeśli firma Microsoft wykryje nietypowe działanie, firma Microsoft wysyła powiadomienia do partnerów w następujących scenariuszach:
  • W przypadku podejrzenia lub ustalenia, że subskrypcje naruszają zasady dopuszczalnego użytkowania dla usług online i/lub
  • Gdy subskrypcje są skojarzone z podejrzanymi działaniami (takimi jak oszustwa/piractwo) i stanowią natychmiastowe zagrożenie dla firmy Microsoft, partnerów i/lub klientów.
• Powiadomienia klientów są wysyłane w witrynie Azure Portal za pośrednictwem bloku Azure Service Health. Dowiedz się, jak skonfigurować alerty w artykule Tworzenie alertów dziennika aktywności w powiadomieniach usługi przy użyciu witryny Azure Portal.
• Ogólne powiadomienia e-mail dotyczące nadużyć: wiadomości e-mail są wysyłane od azsafety@microsoft.com administratorów subskrypcji i właścicieli. Zaleca się dodanie adresu e-mail do listy bezpiecznych nadawców, aby zapobiec przejściu azsafety@microsoft.com ważnych wiadomości e-mail do folderu spamu.

Uwaga

Partnerzy powinni używać dodatkowych metod wykrywania nietypowego użycia i podejrzanych działań, a nie polegać wyłącznie na powiadomieniach firmy Microsoft.

Wymuszanie zasad akceptowalnego użycia

• W ramach umowy z firmą Microsoft partnerzy i ich klienci powinni przestrzegać zasad dopuszczalnego użytkowania zgodnie z opisem w warunkach usług online.
• Gdy firma Microsoft wykryje lub w inny sposób powiadomi o działaniu partnera lub klienta, że potwierdzimy lub podejrzewamy, że narusza zasady dopuszczalnego użycia, firma Microsoft podejmuje kroki wymuszania.
• Naruszenia zasad dopuszczalnego użytkowania mogą spowodować zawieszenie usług online — zawieszenie może być natychmiastowe, w razie potrzeby. W przeciwnym razie firma Microsoft powiadamia partnerów o podjęciu akcji i/lub o akcjach wymuszania, które zostały już podjęte przez firmę Microsoft.

Powiadomienia i oczekiwane akcje

Uwaga

Firma Microsoft podejmuje uzasadnione wysiłki w celu powiadamiania partnerów, jeśli subskrypcja skojarzona z klientem wykazuje ryzykowne lub podejrzane działania; jednak partnerzy nie powinni polegać wyłącznie na powiadomieniach firmy Microsoft. Użyj innych metod monitorowania, aby wykryć nietypowe zachowanie klientów.

Partnerzy powinni ocenić klientów, którzy są uznani za naruszenie zasad dopuszczalnego użycia, aby ustalić, czy stanowią one jakiekolwiek dodatkowe ryzyko dla swojej firmy.

Zdarzenie o podwyższonym ryzyku	Powiadomienia i/lub oczekiwane akcje*
Działania, które stanowią natychmiastowe zagrożenie dla firmy Microsoft, partnerów i/lub klientów	Firma Microsoft powiadomi partnera za pośrednictwem witryny Azure Portal lub portalu Centrum partnerskiego subskrypcji wysokiego ryzyka Partner musi zbadać i wstrzymać wszystkie inne subskrypcje klienta konta klienta, jeśli zostanie on określony przez partnera jako oszukańczy Firma Microsoft może natychmiast wyłączyć subskrypcje wysokiego ryzyka **
Bieżące podejrzane działania dotyczące zabezpieczeń	Chociaż jest to partner odpowiedzialny za wdrożenie i utrzymanie kontroli ryzyka zapobiegania oszustwom i wykrywania ich, firma Microsoft może powiadamiać partnera za pośrednictwem poczty e-mail o podejrzanych działaniach Firma Microsoft może wyłączyć subskrypcje o wysokim ryzyku, jeśli partner nie wykona żadnej akcji W przyszłości firma Microsoft może oferować inne narzędzia i/lub możliwości wykrywania dla partnerów
Naruszenie zasad dopuszczalnego użycia	Firma Microsoft powiadomi partnera za pośrednictwem poczty e-mail o naruszeniu Partner zawiesi obraźliwy zasób i odpowie na powiadomienie firmy Microsoft w ciągu 48 godzin lub następnego dnia roboczego Firma Microsoft może wyłączyć subskrypcje o wysokim ryzyku , jeśli partner nie wykona żadnej akcji

*Powiadomienia e-mail są wysyłane do wymienionych administratorów subskrypcji. Partnerzy powinni regularnie aktualizować informacje kontaktowe poczty e-mail.
**Niektóre naruszenia mogą spowodować natychmiastowe zawieszenie i/lub wyłączenie obraźliwej subskrypcji.

Gdy partnerzy wykrywają podejrzane użycie

Partnerzy są odpowiedzialni finansowo za fałszywe zakupy swoich klientów i niepłatę zakupionych usług. Partnerzy powinni wdrożyć mechanizmy zapobiegania oszustwom i wykrywania środków zaradczych związanych z ryzykiem, takie jak sugestie opisane w tym przewodniku.

• Jeśli partner aktywnie wykrywa podejrzane działania, powinien natychmiast zbadać i podjąć odpowiednie działania w celu ograniczenia ryzyka:
  • Badanie może obejmować przeglądanie działań związanych z logowaniem do konta klienta, historii płatności na podstawie faktur, częstych zmian w instrumentach płatniczych i/lub poprzednich wzorcach użycia subskrypcji, jak sugerowano wcześniej jako najlepsze rozwiązania.
  • Działania zaradcze mogą obejmować korygowanie naruszonych tożsamości, czyszczenie naruszonych zasobów i wzmacnianie stanu zabezpieczeń. Aby uzyskać więcej informacji, zobacz Co należy zrobić, jeśli naruszono bezpieczeństwo subskrypcji platformy Azure?
• Partnerzy mogą również przesłać żądanie obsługi w Centrum partnerskim, jeśli mają inne pytania lub obawy dotyczące podejrzanych działań.

Powiązana zawartość

• Najlepsze rozwiązania dotyczące zabezpieczeń klientów
• Podstawowe kroki potwierdzania, przechowywania i zabezpieczania naruszenia zabezpieczeń
• Niepłatowanie, oszustwa i niewłaściwe użycie
• Powiadomienia o oszustwie na platformie Azure