Guia de gestão de risco de transações online
Importante
Como parceiro da Microsoft no programa Cloud Solution Provider (CSP), é responsável pelas compras e utilização dos nossos serviços pelos seus clientes. É importante que os parceiros monitorem e resolvam as atividades anômalas de seus clientes. A Microsoft pode enviar notificações aos parceiros se detetarmos atividades suspeitas, mas é fundamental que os parceiros usem métodos adicionais de monitoramento para ajudar a detetar o comportamento anômalo dos clientes.
A Microsoft leva o gerenciamento de risco de transações online a sério, e os parceiros devem fazer o mesmo para mitigar os riscos de negócios. Para oferecer suporte aos parceiros, a Microsoft está compartilhando um conjunto de recomendações para gerenciar riscos ao trabalhar com clientes online. Embora a Microsoft esteja comprometida em oferecer suporte aos parceiros, os parceiros permanecem financeiramente responsáveis por compras fraudulentas feitas por seus clientes e/ou pelo não pagamento dos serviços adquiridos pelos clientes.
Melhores práticas de gestão de riscos em linha
Esta seção fornece informações sobre os aspetos básicos do gerenciamento de riscos que você deve conhecer, juntamente com sugestões de práticas recomendadas.
Consulte a tabela a seguir para a exposição ao risco a ser mitigada:
| Exposição ao risco | Definição | Exemplos |
|---|---|---|
| Abuso de serviço | Clientes ou agentes mal-intencionados que usam serviços de nuvem em violação da Política de Uso Aceitável da Microsoft | - Envio de spam - Pirataria informática - Ataques DDOS - Cripto-mineração - Distribuição de malware - Revenda de assinaturas piratas |
| Roubo de serviço* | Clientes que demonstrem não ter intenção de pagar por serviços consumidos, utilizem instrumentos de pagamento roubados, forneçam informações de faturação falsas e/ou incumprimento de saldos pendentes | - Transações que não ocorrem presencialmente - Identidades deturpadas - Serviços prestados e utilizados sem intenção de pagamento - Criação automatizada de contas e compras por maus atores |
*O roubo de serviço pode ser maior em mercados emergentes e regiões de alto risco.
Melhores práticas
A Microsoft recomenda que os parceiros implementem os seguintes protocolos durante todo o ciclo de vida do relacionamento com o cliente:
- Integre novos clientes
- Estabeleça relações pessoais com os clientes, sempre que possível (por exemplo, contacto telefónico).
- Procure melhores maneiras de verificar as credenciais e o histórico dos clientes (Birôs de Crédito/Agências de Relatórios Comerciais de Negócios).
- Use a autenticação multifator (MFA) durante a inscrição para minimizar a exposição à criação e compra de contas robóticas.
- Exija que os clientes monitorem e protejam seus locatários** seguindo as práticas recomendadas de segurança.
- Gerencie e rastreie identidades usando serviços como serviços de identidade digital.
- Avalie a solidez financeira do cliente através de sistemas rigorosos de deteção de fraudes com cartões de crédito.
- Estabeleça uma política de cobranças clara. Detalhar os processos de cobranças e quando o acesso às assinaturas é afetado pela falta de pagamento.
- Gerenciar contas de clientes
- Implemente um processo para receber, analisar, agir e responder rapidamente às notificações da Microsoft.
- Trabalhe com os clientes para entender suas necessidades de negócios de uso da nuvem e definir limites de monitoramento apropriados. (Por exemplo, os parceiros podem definir um orçamento mensal de gastos do Azure no Partner Center.
- Monitore os registros de atividades dos clientes regularmente para ajudar a detetar fraudes antecipadamente.
- Tome medidas rápidas quando atividades suspeitas forem detetadas.
- Evite dar aos clientes acesso administrativo total às assinaturas sem primeiro implementar controles de redução de riscos.
- Gerenciar o faturamento do cliente
- Solicite o pré-pagamento antes das transações iniciais e do faturamento.
- Não aceite instrumentos de pagamento de alto risco (como cartões pré-pagos ou cartões de valor armazenado).
- Monitore pagamentos de clientes e contas a receber envelhecidas. Aplique agressivamente processos padronizados de cancelamento de pagamentos atrasados ou não pagamentos.
Sugestões de práticas recomendadas de integração do cliente
Esta seção fornece as práticas recomendadas para a integração do cliente. As seções incluem informações sobre a verificação do Serviço de Mensagens Curtas (SMS), gerenciamento de identidade do usuário final e conhecimento do cliente durante a integração.
Verificação por SMS (texto)
Durante o processo de inscrição, os clientes finais recebem uma página "Prova de que você não é um robô", que inicia uma verificação do cliente via SMS (texto):
- O uso de uma solução de verificação por SMS ajuda os parceiros a mitigar o risco de inscrições de clientes ocorrerem por meio de métodos robóticos. A verificação por SMS também ajuda a evitar que agentes mal-intencionados possam criar facilmente várias contas (por exemplo, inscrições falsas).
- Durante o processo de inscrição, os parceiros podem optar por confirmar se uma pessoa está do outro lado da transação. A verificação é realizada exigindo que o cliente forneça um número de celular para o qual uma senha única é enviada via SMS.
- Além disso, a verificação por SMS também pode ser usada como parte de um processo de entrada de autenticação multifator (MFA) para clientes estabelecidos.
Gerenciamento de identidade do usuário final
As melhores práticas para mitigar o risco de identificação de fraudes são:
- Uma maneira de gerenciar e rastrear a identidade de um cliente é usando um Serviço de Identidade Digital.
- Uma identidade digital é uma assinatura única de um utilizador e/ou dispositivo individual na outra extremidade de uma transação online.
- Os Serviços de Identidade Digital permitem que os parceiros identifiquem melhor os clientes além de simples identificadores, como um endereço de e-mail, endereço físico e assim por diante.
- Os parceiros podem validar a identidade dos clientes e identificar potenciais agentes mal-intencionados usando ferramentas de terceiros.
Conheça o seu cliente aquando da integração
É importante que os parceiros tomem medidas adicionais para verificar a identidade e a solidez financeira, quando possível, de indivíduos e empresas que desejam comprar serviços online. As melhores práticas são:
- Construa relacionamentos pessoais com os clientes, por exemplo, entre em contato por telefone, conheça-se pessoalmente e assim por diante.
- Exija um cartão de crédito durante a inscrição, não aceite cartões de valor armazenado ou cartões de crédito pré-pagos como método de pagamento.
- Implementar sistemas rigorosos de deteção de fraudes com cartões de crédito para garantir que o cliente que apresenta o instrumento de pagamento é um usuário autorizado;
- Valide as credenciais e o histórico dos clientes em locais confiáveis, como Agências de Relatórios Comerciais de Negócios.
Sugestões de práticas recomendadas pós-compra do cliente
Conheça o seu cliente
É a prática recomendada implementar o monitoramento de uso de serviços, mesmo que esses serviços não sejam cobrados pelo consumo. Mas essa prática é especialmente verdadeira para serviços faturados de consumo, como o Azure, onde a cobrança ocorre após o uso.
- Com base na estratégia "conheça o seu cliente", os parceiros devem trabalhar em estreita colaboração com os clientes para compreender as necessidades empresariais fundamentais da utilização dos seus serviços na nuvem.
- Evite dar aos clientes acesso total de administrador às assinaturas sem primeiro implementar controles de redução de riscos, como as práticas recomendadas neste guia.
- Para monitorar o uso no nível do cliente para as várias necessidades comerciais do cliente, use o Portal de Gerenciamento do Microsoft Azure e os recursos de relatório de uso disponíveis.
- Subscreva novos alertas de segurança, que é uma das muitas formas de a Microsoft apoiar os parceiros na proteção dos inquilinos dos seus clientes. Os alertas devem ser investigados e corrigidos rapidamente Se necessário, os parceiros podem suspender os recursos afetados do Azure ou as assinaturas do Azure para mitigar um problema.
Faturação
No programa Provedor de Soluções na Nuvem, a Microsoft não cobra o cliente final. O parceiro é obrigado a configurar e processar a faturação.
Os parceiros devem implementar os seguintes protocolos no seu processo de faturação:
- Proteja os pagamentos antecipadamente antes da cobrança, solicitando que os clientes enviem pagamentos antecipados para financiar a atividade de sua conta.
- Evite aceitar instrumentos de pagamento de alto risco, como cartões pré-pagos ou de valor armazenado, pois o valor nos cartões não pode ser verificado e pode não ser suficiente para cobrir os custos de compra do cliente.
- Monitore de perto os pagamentos dos clientes e as contas a receber envelhecidas, aplique agressivamente processos padronizados de pagamento por atraso ou não pagamento, incluindo a suspensão de assinaturas e serviços até que os pagamentos de saldos pendentes sejam recebidos.
Notificações da Microsoft
A Microsoft implementou um serviço de notificação e é crucial que os parceiros mantenham os endereços de e-mail associados aos administradores de subscrição atualizados regularmente:
- Os parceiros devem desenvolver e implementar processos para receber, analisar, agir e responder rapidamente às notificações da Microsoft, conforme necessário.
- Se a Microsoft detetar atividades incomuns, a Microsoft enviará notificações aos parceiros nos seguintes cenários:
- Quando houver suspeita ou determinação de que as subscrições violam a Política de Utilização Aceitável dos Serviços Online e/ou
- Quando as subscrições estão associadas a atividades suspeitas (como fraude/pirataria) e representam um risco imediato para a Microsoft, parceiros e/ou clientes.
- As notificações dos clientes são enviadas no portal do Azure por meio da folha Azure Service Health. Saiba como configurar alertas no artigo Criar alertas de log de atividades em notificações de serviço usando o portal do Azure.
- Notificações por e-mail de abuso geral: os e-mails são enviados para administradores e proprietários de
azsafety@microsoft.comassinaturas. Sugere-se que adicione o endereço de azsafety@microsoft.com e-mail à sua lista de remetentes seguros para evitar que e-mails importantes entrem na sua pasta de spam.
Nota
Os parceiros devem usar métodos adicionais para detetar uso anômalo e atividades suspeitas e não confiar apenas em notificações da Microsoft.
Aplicação da Política de Utilização Aceitável
- Como parte do contrato com a Microsoft, espera-se que os parceiros e seus clientes cumpram a Política de Uso Aceitável, conforme descrito nos Termos dos Serviços Online.
- Quando a Microsoft deteta ou toma conhecimento de atividades de parceiros ou clientes que confirmamos ou suspeitamos que violam a Política de Uso Aceitável, a Microsoft toma medidas de fiscalização.
- Violações da Política de Uso Aceitável podem resultar na suspensão dos Serviços Online - a suspensão pode ser imediata, se necessário. Caso contrário, a Microsoft notifica os parceiros solicitando que sejam tomadas medidas e/ou ações de imposição já tomadas pela Microsoft.
Notificações e ações previstas
Nota
A Microsoft envida todos os esforços razoáveis para notificar os parceiros se uma subscrição associada ao respetivo cliente estiver a mostrar atividades arriscadas ou suspeitas; no entanto, os parceiros não devem confiar exclusivamente nas notificações da Microsoft. Use outros métodos de monitoramento para detetar o comportamento anômalo dos clientes.
Os parceiros devem avaliar os clientes que violam a Política de Uso Aceitável para determinar se eles representam riscos adicionais para seus negócios.
| Evento de risco | Notificações e/ou ações previstas* |
|---|---|
| Atividades que representam um risco imediato para a Microsoft, parceiros e/ou clientes |
|
| Atividades de segurança suspeitas em curso |
|
| Violação da política de uso aceitável |
|
*As notificações por e-mail são enviadas para os administradores listados da assinatura. Os parceiros devem assegurar que as informações de contacto do correio eletrónico são atualizadas regularmente.
**Certas violações podem resultar na suspensão imediata e/ou desativação da subscrição infratora.
Quando os parceiros detetam uso suspeito
Os parceiros são financeiramente responsáveis pelas compras fraudulentas dos seus clientes e pelo não pagamento dos serviços adquiridos. Os parceiros devem implementar controles de prevenção e mitigação de riscos de deteção de fraudes, como as sugestões descritas neste guia.
- Se um parceiro detetar proativamente atividades suspeitas, deve investigar imediatamente e tomar as medidas adequadas para reduzir o risco:
- A investigação pode incluir a revisão da atividade de entrada na conta do cliente, histórico de pagamento de faturas, alterações frequentes nos instrumentos de pagamento e/ou padrões de uso de assinatura anteriores, conforme sugerido como práticas recomendadas anteriormente.
- As ações de mitigação podem incluir a correção de identidades comprometidas, a limpeza de recursos comprometidos e o fortalecimento da postura de segurança. Para obter mais informações, consulte O que você deve fazer se uma assinatura do Azure tiver sido comprometida?.
- Os parceiros também podem enviar uma Solicitação de Serviço no Partner Center se tiverem outras dúvidas ou preocupações sobre atividades suspeitas.