在線交易風險管理指南
重要
身為 雲端解決方案提供者 (CSP) 計劃中Microsoft合作夥伴,您必須負責客戶購買和使用我們的服務。 合作夥伴必須監視和處理來自其客戶的異常活動。 如果我們偵測到可疑的活動,Microsoft可能會傳送合作夥伴通知,但合作夥伴必須使用其他監視方法來協助偵測異常客戶的行為。
Microsoft認真對待在線交易風險管理,合作夥伴應執行相同的動作來降低業務風險。 為了支持合作夥伴,Microsoft共用一組建議,以在在線與客戶合作時管理風險。 雖然Microsoft致力於支持合作夥伴,但合作夥伴仍對客戶和/或客戶未支付所購買服務的詐騙購買負有財務責任。
在線風險管理最佳做法
本節提供您應該注意之風險管理基本層面的相關信息,以及最佳做法的建議。
請參閱下表以取得風險風險風險降低的風險:
| 風險暴露 | 定義 | 範例 |
|---|---|---|
| 濫用服務 | 違反Microsoft可接受的使用原則而使用雲端服務的客戶或不良執行者 | -垃圾 郵件 -駭客 - DDOS 攻擊 - Crypto-mining - 惡意代碼發佈 - 盜版訂閱轉售 |
| 竊取服務* | 證明他們無意支付已取用服務、使用被盜付款方式、提供虛假帳單資訊,以及/或未付餘額的預設值的客戶 | - 未親自發生的交易 - 歪曲的身分識別 - 布建和使用的服務無意付款 - 由不良執行者自動建立和購買帳戶 |
*在新興市場和高風險地區,服務竊取可能更高。
最佳作法
Microsoft建議合作夥伴在客戶關係生命週期內實作下列通訊協定:
- 將新客戶上線
- 盡可能與客戶建立個人關係(例如,透過電話連絡)。
- 尋找更好的方法來驗證客戶的認證和背景(信用局/商業報告機構)。
- 在註冊期間使用多重要素驗證 (MFA),將機器人帳戶建立和購買的風險降到最低。
- 遵循安全性最佳做法,要求客戶監視及保護其租使用者**。
- 使用數位身分識別服務等服務來管理和追蹤身分識別。
- 透過嚴格的信用卡詐騙偵測系統評估客戶財務實力。
- 建立明確的集合原則。 詳細集合程式,以及何時存取訂用帳戶會受到非付款的影響。
- 管理客戶帳戶
- 實作程式,以快速接收、檢閱、處理及回應Microsoft通知。
- 與客戶合作,瞭解其雲端使用量商務需求,並設定適當的監視閾值。 (例如,合作夥伴可以在 合作夥伴中心設定每月 Azure 消費預算 。
- 定期監視 客戶活動記錄 ,以協助儘早偵測詐騙。
- 偵測到可疑活動時採取快速動作。
- 避免讓客戶完全存取訂用帳戶,而不需要先實作風險降低控制措施。
- 管理客戶帳單
- 在初始交易和帳單之前要求預付款。
- 不接受高風險付款方式(如預付卡或預存卡)。
- 監視客戶付款和過時應收賬款。 積極執行延遲付款或未付款的標準化扣減程式。
客戶上線最佳做法的建議
本節提供客戶上線的最佳做法。 各節包括簡短訊息服務 (SMS) 驗證、使用者身分識別管理,以及在上線時瞭解客戶的相關信息。
SMS (文字) 驗證
在註冊過程中,終端使用者會看到「證明您不是機器人」頁面,該頁面會透過SMS起始客戶驗證(文字):
- 使用SMS驗證解決方案可協助合作夥伴降低透過機器人方法進行客戶註冊的風險。 SMS 驗證也有助於防止不良執行者輕鬆建立多個帳戶(例如假註冊)。
- 在註冊程式期間,合作夥伴可以選擇確認某個人是否在交易的另一端。 藉由要求客戶提供一次性密碼透過SMS傳送的行動電話號碼,即可完成驗證。
- 此外,SMS 驗證也可以作為已建立客戶的多重要素驗證 (MFA) 登入程式的一部分。
使用者身分識別管理
降低識別詐騙風險的最佳做法如下:
- 管理及追蹤客戶身分識別的其中一種方式是使用數位身分識別服務。
- 數位身分識別是在線交易另一端個別使用者和/或裝置的唯一簽章。
- 數位身分識別服務 可讓合作夥伴更清楚地識別超越簡單標識碼的客戶,例如電子郵件地址、實體位址等等。
- 合作夥伴可以使用第三方工具來驗證客戶的身分識別,並識別潛在的不良執行者。
在上線時瞭解您的客戶
合作夥伴必須採取額外的步驟來確認想要購買 線上服務 的個人和公司的身份和財務實力。 最佳做法如下:
- 建立與客戶的個人關係,例如,透過電話連絡、親自開會等等。
- 註冊期間需要信用卡;不接受預存卡或預付信用卡作為付款方式。
- 實施嚴格的信用卡詐騙偵測系統 ,以確保出示付款方式的客戶是授權使用者;檢閱信用局的財務報告。
- 在商務商業報告機構等受信任位置驗證客戶的認證和背景 。
客戶購買后最佳做法的建議
瞭解您的客戶
最佳做法是實作服務的使用量監視,即使這些服務未按使用量計費也一樣。 但對於使用量計費服務,例如 Azure,在使用量之後進行計費時,這種做法尤其如此。
- 合作夥伴應以「瞭解您的客戶」策略為基礎,與客戶密切合作,瞭解其雲端服務使用的基本商務需求。
- 避免讓客戶完全存取訂用帳戶,而不需要先實作風險降低控制措施,例如 本指南中的最佳做法 。
- 若要監視客戶的各種業務需求的客戶層級使用量,請使用 Microsoft Azure 管理入口網站和可用的 使用量報告 功能。
- 訂閱新的 安全性警示 ,這是Microsoft支援合作夥伴保護客戶租用戶的許多方式之一。 如有需要,應快速調查並補救警示,合作夥伴可以暫停受影響的 Azure 資源 或 Azure 訂 用帳戶,以減輕問題。
計費
在 雲端解決方案提供者 計劃中,Microsoft不會向終端客戶收取費用。 需要合作夥伴才能設定及處理帳單。
合作夥伴應該在其計費程式中實作下列通訊協定:
- 要求客戶提交預付款以為其帳戶活動提供資金,以事先 預付帳單。
- 避免接受高風險付款方式 ,例如預付卡或預存價值卡,因為卡上的金額無法驗證,可能不足以支付客戶購買成本。
- 密切監控客戶付款 和應收賬款老化,積極執行延遲或未付款的標準化扣減程式,包括暫停訂閱和服務,直到收到未付餘額付款為止。
Microsoft通知
Microsoft實作通知服務,合作夥伴務必定期更新與訂用帳戶管理員相關聯的電子郵件位址:
- 合作夥伴應開發並實作程式,以視需要快速接收、檢閱、處理及回應Microsoft通知。
- 如果Microsoft偵測到不尋常的活動,Microsoft在下列案例中將通知傳送給合作夥伴:
- 當訂用帳戶被懷疑或判定違反在線服務可接受的使用原則,以及/或
- 當訂用帳戶與可疑活動(例如詐騙/盜版)相關聯,並且對Microsoft、合作夥伴和/或客戶造成立即風險時。
- 客戶通知會透過 Azure 服務健康情況刀鋒視窗在 [Azure 入口網站] 中傳送。 瞭解如何使用 Azure 入口網站 在服務通知上建立活動記錄警示一文中設定警示。
- 一般濫用電子郵件通知:電子郵件會從
azsafety@microsoft.com傳送給訂用帳戶管理員和擁有者。 建議您將電子郵件位址新增 azsafety@microsoft.com 至 安全寄件者清單 ,以防止重要電子郵件進入垃圾郵件資料夾。
注意
合作夥伴應該使用其他方法來偵測異常的使用方式和可疑活動,而不要只依賴Microsoft通知。
可接受的使用原則強制執行
- 作為與Microsoft合約的一部分,合作夥伴及其客戶應遵守在線服務條款中所述 的可接受使用原則。
- 當Microsoft偵測到或已察覺到我們確認或懷疑違反可接受的使用原則的合作夥伴或客戶活動時,Microsoft採取強制執行步驟。
- 違反可接受的使用原則可能會導致在線服務暫停 - 視需要立即暫停。 否則,Microsoft通知合作夥伴要求採取動作,以及/或已由Microsoft採取的強制執行動作。
通知和預期動作
注意
Microsoft如果與客戶相關聯的訂用帳戶顯示有風險或可疑的活動,請合理地通知合作夥伴;不過,合作夥伴不應只依賴Microsoft通知。 使用其他監視方法來偵測異常客戶的行為。
合作夥伴應評估發現違反「可接受的使用原則」的客戶,以判斷他們是否會對其業務造成任何額外的風險。
| 風險事件 | 通知和/或預期動作* |
|---|---|
| 對Microsoft、合作夥伴和/或客戶造成直接風險 的活動 |
|
| 進行中的可疑安全性活動 |
|
| 違反可接受的使用原則 |
|
*電子郵件通知會傳送給訂用帳戶列出的系統管理員。 合作夥伴應確保定期更新電子郵件聯繫人資訊。
**某些違規可能會導致立即暫停和/或停用違規訂閱。
當合作夥伴偵測到可疑使用量時
合作夥伴對客戶的 詐騙購買 和非 支付已購買服務負責財務責任。 合作夥伴應實作詐騙防護和偵測風險降低控制措施,例如本指南中所述的建議。
- 如果合作夥伴主動偵測可疑活動,他們應立即調查並採取適當的動作來降低風險:
- 調查 可能包括檢閱客戶的帳戶登入活動、發票付款歷程記錄、付款方式和/或先前訂用帳戶使用模式的頻繁變更,如先前建議的最佳做法。
- 風險降低動作 可能包括補救遭入侵的身分識別、清除遭入侵的資源,以及加強安全性狀態。 如需詳細資訊,請參閱 如果 Azure 訂用帳戶遭到入侵,您應該怎麼做?。
- 如果合作夥伴有其他問題或對可疑活動的擔憂,合作夥伴也可以在合作夥伴中心提交服務要求 。