Guia de gerenciamento de risco de transação online
Importante
Como parceiro da Microsoft no programa CSP (Provedor de Soluções na Nuvem), você é responsável pelas compras e pelo uso de nossos serviços por seus clientes. É importante que os parceiros monitorem e resolvam atividades anômalas de seus clientes. A Microsoft pode enviar notificações aos parceiros se detectarmos atividades suspeitas, mas é fundamental que os parceiros usem métodos adicionais de monitoramento para ajudar a detectar o comportamento anômalo dos clientes.
A Microsoft leva a sério o gerenciamento de riscos de transações online e os parceiros devem fazer o mesmo para mitigar os riscos comerciais. Para dar suporte aos parceiros, a Microsoft está compartilhando um conjunto de recomendações para gerenciar riscos ao trabalhar com clientes online. Embora a Microsoft esteja comprometida em oferecer suporte aos parceiros, os parceiros permanecem financeiramente responsáveis por compras fraudulentas de seus clientes e/ou não pagamento de serviços adquiridos por clientes.
Práticas recomendadas de gerenciamento de risco online
Esta seção fornece informações sobre os aspectos básicos do gerenciamento de riscos que você deve conhecer, juntamente com sugestões de práticas recomendadas.
Consulte a tabela a seguir para a exposição ao risco a ser mitigada:
| Exposição a riscos | Definição | Exemplos |
|---|---|---|
| Abuso de serviço | Clientes ou agentes mal-intencionados que usam serviços de nuvem em violação da Política de Uso Aceitável da Microsoft | -Spamming -Hacking - Ataques DDOS - Mineração de criptografia - Distribuição de malware - Revenda de assinaturas piratas |
| Roubo de serviço* | Clientes que demonstrem que não têm intenção de pagar pelos serviços consumidos, usam instrumentos de pagamento roubados, fornecem informações de cobrança falsas e/ou inadimplência em saldos pendentes | - Transações que não ocorrem pessoalmente - Identidades deturpadas - Serviços provisionados e utilizados sem intenção de pagamento - Criação e compra automatizadas de contas por agentes mal-intencionados |
*O roubo de serviços pode ser maior em mercados emergentes e regiões de alto risco.
Práticas recomendadas
A Microsoft recomenda que os parceiros implementem os seguintes protocolos durante todo o ciclo de vida do relacionamento com o cliente:
- Integrar novos clientes
- Estabeleça relacionamentos pessoais com os clientes, quando possível (por exemplo, contato por telefone).
- Procure maneiras melhores de verificar as credenciais e os antecedentes dos clientes (agências de crédito/agências de relatórios comerciais de negócios).
- Use a autenticação multifator (MFA) durante a inscrição para minimizar a exposição à criação e compra de contas robóticas.
- Exija que os clientes monitorem e protejam seus locatários** seguindo as práticas recomendadas de segurança.
- Gerencie e rastreie identidades usando serviços como serviços de identidade digital.
- Avaliar a solidez financeira do cliente por meio de rigorosos sistemas de detecção de fraude de cartão de crédito.
- Estabelecer uma política de cobrança simples. Detalhe os processos de cobrança e quando o acesso às assinaturas é afetado pela falta de pagamento.
- Gerenciar contas de clientes
- Implementar um processo para receber, revisar, resolver e responder às notificações da Microsoft rapidamente.
- Trabalhe com os clientes para entender suas necessidades de negócios de uso da nuvem e definir limites de monitoramento apropriados. (Por exemplo, os parceiros podem definir um orçamento mensal de gastos do Azure no Partner Center.
- Monitorar os logs de atividade do cliente regularmente para ajudar a detectar fraudes logo no início.
- Executar uma ação rápida quando atividades suspeitas são detectadas.
- Evitar conceder acesso administrativo completo de clientes para assinaturas sem primeiro implementar controles de atenuação de risco.
- Gerenciar o faturamento do cliente
- Solicite pré-pagamento antes das transações iniciais e do faturamento.
- Não aceite instrumentos de pagamento de alto risco (como cartões pré-pagos ou cartões de valor armazenado).
- Monitorar os pagamentos do cliente e contas a receber antigas. Impor agressivamente processos de não-pagamento padronizados para pagamentos atrasados ou não pagamentos.
Sugestões para práticas recomendadas de integração do cliente
Esta seção fornece as práticas recomendadas para a integração do cliente. As seções incluem informações sobre a verificação do Serviço de Mensagens Curtas (SMS), gerenciamento de identidade do usuário final e conhecimento do cliente durante a integração.
Verificação por SMS (texto)
Durante o processo de inscrição, os clientes finais recebem uma página "Prova de que você não é um robô", que inicia uma verificação do cliente via SMS (texto):
- O uso de uma solução de verificação por SMS ajuda os parceiros a mitigar o risco de inscrições de clientes por meio de métodos robóticos. A verificação por SMS também ajuda a evitar que pessoas mal-intencionadas possam criar facilmente várias contas (por exemplo, inscrições falsas).
- Durante o processo de inscrição, os parceiros podem optar por confirmar se uma pessoa está do outro lado da transação. A verificação é realizada exigindo que o cliente forneça um número de celular para o qual uma senha única é enviada por SMS.
- Além disso, a verificação por SMS também pode ser usada como parte de um processo de login de autenticação multifator (MFA) para clientes estabelecidos.
Gerenciamento de identidade do usuário final
As melhores práticas para mitigar o risco de identificar fraudes são:
- Uma maneira de gerenciar e rastrear a identidade de um cliente é usando um serviço de identidade digital.
- Uma identidade digital é uma assinatura exclusiva de um usuário individual e/ou dispositivo na outra extremidade de uma transação online.
- Os Serviços de Identidade Digital permitem que os parceiros identifiquem melhor os clientes além de simples identificadores, como endereço de e-mail, endereço físico e assim por diante.
- Os parceiros podem validar a identidade dos clientes e identificar possíveis agentes mal-intencionados usando ferramentas de terceiros.
Conheça seu cliente durante o onboarding
É importante que os parceiros tomem medidas extras para verificar a identidade e a solidez financeira, quando possível, de indivíduos e empresas que desejam comprar serviços online. As melhores práticas são:
- Construa relacionamentos pessoais com os clientes, por exemplo, entre em contato por telefone, encontre-se pessoalmente e assim por diante.
- Exigir um cartão de crédito durante a inscrição; não aceite cartões de valor armazenado ou cartões de crédito pré-pagos como forma de pagamento.
- Implementar sistemas rigorosos de detecção de fraude de cartão de crédito para garantir que o cliente que apresenta o instrumento de pagamento seja um usuário autorizado; revisar relatórios financeiros das agências de crédito.
- Valide as credenciais e o histórico dos clientes em locais confiáveis, como agências de relatórios comerciais de negócios.
Sugestões de práticas recomendadas pós-compra do cliente
Conheça seu cliente
É a prática recomendada implementar o monitoramento de uso para serviços, mesmo que esses serviços não sejam cobrados por consumo. Mas essa prática é especialmente verdadeira para serviços cobrados por consumo, como o Azure, em que a cobrança ocorre após o uso.
- Com base na estratégia de "conhecer seu cliente", os parceiros devem trabalhar em estreita colaboração com os clientes para entender as necessidades comerciais fundamentais de seu uso de serviços em nuvem.
- Evite dar aos clientes acesso total de administrador às assinaturas sem primeiro implementar controles de mitigação de risco, como as práticas recomendadas neste guia.
- Para monitorar o uso no nível do cliente para as várias necessidades de negócios do cliente, use o Portal de Gerenciamento do Microsoft Azure e os recursos de relatório de uso disponíveis.
- Assine novos alertas de segurança, que é uma das muitas maneiras pelas quais a Microsoft oferece suporte aos parceiros na proteção dos locatários de seus clientes. Os alertas devem ser investigados e corrigidos rapidamente Se necessário, os parceiros podem suspender os recursos afetados do Azure ou as assinaturas do Azure para atenuar um problema.
Cobrança
No programa Provedor de Soluções na Nuvem, a Microsoft não cobra o cliente final. O parceiro é obrigado a configurar e processar o faturamento.
Os parceiros devem implementar os seguintes protocolos em seu processo de cobrança:
- Proteja os pagamentos antecipadamente antes do faturamento, solicitando que os clientes enviem pré-pagamentos para financiar a atividade da conta.
- Evite aceitar instrumentos de pagamento de alto risco, como cartões pré-pagos ou de valor armazenado, pois o valor dos cartões não pode ser verificado e pode não ser suficiente para cobrir os custos de compra do cliente.
- Monitore de perto os pagamentos dos clientes e as contas a receber antigas, aplique agressivamente processos de cobrança padronizados para atrasos ou falta de pagamento, incluindo a suspensão de assinaturas e serviços até que os pagamentos dos saldos pendentes sejam recebidos.
Notificações da Microsoft
A Microsoft implementou um serviço de notificação e é crucial que os parceiros mantenham os endereços de email associados aos administradores de assinatura atualizados regularmente:
- Os parceiros devem desenvolver e implementar processos para receber, revisar, agir e responder rapidamente às notificações da Microsoft, conforme necessário.
- Se a Microsoft detectar atividades incomuns, a Microsoft enviará notificações aos parceiros nos seguintes cenários:
- Quando houver suspeita ou determinação de que as assinaturas violam a Política de Uso Aceitável dos Serviços Online, e/ou
- Quando as assinaturas estão associadas a atividades suspeitas (como fraude/pirataria) e representam um risco imediato para a Microsoft, parceiros e/ou clientes.
- As notificações dos clientes são enviadas no portal do Azure por meio da folha Integridade do Serviço do Azure. Saiba como configurar alertas no artigo Criar alertas do log de atividades em notificações de serviço usando o portal do Azure.
- Notificações gerais por e-mail de abuso: os e-mails são enviados para administradores e proprietários de
azsafety@microsoft.comassinaturas. Sugere-se que você adicione o endereço de azsafety@microsoft.com e-mail à sua lista de remetentes seguros para evitar que e-mails importantes entrem na pasta de spam.
Observação
Os parceiros devem usar métodos adicionais para detectar uso anômalo e atividades suspeitas e não depender apenas de notificações da Microsoft.
Aplicação da Política de Uso Aceitável
- Como parte de seu contrato com a Microsoft, espera-se que os parceiros e seus clientes cumpram a Política de Uso Aceitável, conforme descrito nos Termos de Serviços Online.
- Quando a Microsoft detecta ou toma conhecimento de atividades de parceiros ou clientes que confirmamos ou suspeitamos que violem a Política de Uso Aceitável, a Microsoft toma medidas de imposição.
- Violações da Política de Uso Aceitável podem resultar na suspensão dos Serviços Online - a suspensão pode ser imediata, se necessário. Caso contrário, a Microsoft notificará os parceiros solicitando que uma ação seja tomada e/ou sobre ações de imposição já executadas pela Microsoft.
Notificações e ações esperadas
Observação
A Microsoft faz esforços razoáveis para notificar os parceiros se uma assinatura associada ao cliente estiver mostrando atividades arriscadas ou suspeitas; no entanto, os parceiros não devem confiar exclusivamente nas notificações da Microsoft. Use outros métodos de monitoramento para detectar o comportamento anômalo dos clientes.
Os parceiros devem avaliar os clientes que violam a Política de Uso Aceitável para determinar se eles representam riscos adicionais para seus negócios.
| Evento de risco | Notificações e/ou ações esperadas* |
|---|---|
| Atividades que representam um risco imediato para a Microsoft, parceiros e/ou clientes |
|
| Atividades de segurança suspeitas em andamento |
|
| Violação da política de uso aceitável |
|
*As notificações por e-mail são enviadas aos administradores listados da assinatura. Os parceiros devem garantir que as informações de contato por e-mail sejam atualizadas regularmente.
**Certas violações podem resultar na suspensão imediata e/ou desativação da assinatura infratora.
Quando os parceiros detectam uso suspeito
Os parceiros são financeiramente responsáveis pelas compras fraudulentas de seus clientes e pelo não pagamento dos serviços adquiridos. Os parceiros devem implementar controles de mitigação de risco de prevenção e detecção de fraudes, como as sugestões descritas neste guia.
- Se um parceiro detectar proativamente atividades suspeitas, ele deverá investigar imediatamente e tomar as medidas apropriadas para mitigar o risco:
- A investigação pode incluir a análise da atividade de login da conta do cliente, histórico de pagamentos de faturas, alterações frequentes nos instrumentos de pagamento e/ou padrões de uso de assinaturas anteriores, conforme sugerido como práticas recomendadas anteriormente.
- As ações de mitigação podem incluir a correção de identidades comprometidas, a limpeza de recursos comprometidos e o fortalecimento da postura de segurança. Para obter mais informações, consulte O que você deve fazer se uma assinatura do Azure for comprometida?.
- Os parceiros também podem enviar uma Solicitação de Serviço no Partner Center se tiverem outras dúvidas ou preocupações sobre atividades suspeitas.