Come posso integrare i pagamenti online di Adyen in modo sicuro?

Proteggi la tua azienda dagli aggressori online

Chi ha intenzioni illecite (persone o organizzazioni) può colpire la tua azienda per mezzo di attacchi online. A seconda di come integrerai Adyen nei tuoi servizi, ci sono ulteriori misure di sicurezza che potresti voler prendere in considerazione per proteggere la riservatezza, l'integrità e la disponibilità dei dati della tua azienda e dei tuoi clienti.

Come potresti essere violato

Gli hacker potrebbero tentare di forzare o rubare le credenziali di accesso per accedere al tuo ambiente (amministratore). Alcune tecniche note sono attacchi di forza bruta per le password deboli o l'utilizzo di un'autenticazione amministratore debole o interrotta. Il phishing o altri cosiddetti trucchi di ingegneria sociale sono comuni ingannando una persona all'interno dell'azienda per fornire l'accesso a informazioni sensibili.

Se gli hacker riescono ad accedere senza autorizzazione alle tue pagine, possono estrarre i dati delle carte di credito. Un potenziale hacker può eseguire attacchi di cross-site scripting in diversi modi.

• Reindirizzando un pagamento a una pagina fraudolenta, in modo che i dettagli di pagamento inseriti vengano inviati agli hacker prima che il processo di pagamento prosegua sulla pagina corretta.
• Inserendo i cosiddetti overlay in alto nella pagina di pagamento vera e propria e raccogliendo i dati della carta prima che venga effettuato il pagamento vero e proprio.
• Manipolando la pagina con un codice dannoso, ad esempio tramite i cosiddetti keylogger, per raccogliere i dati della carta mentre il cliente li inserisce.

Come ridurre il rischio di violazione

Applicare misure di sicurezza semplici può ridurre i rischi in modo significativo. Devi gestire correttamente gli account utente, i sistemi e il ciclo di vita dello sviluppo della tua piattaforma.

Gestione degli account utente

• Sostituisci username e password forniti dal venditore.
• Usa password complesse per prevenire gli attacchi di forza bruta. Usa password lunghe, contenenti lettere maiuscole e minuscole, numeri e caratteri speciali.
• Evita account condividendo le credenziali tra più persone.
• Applica il sistema di autenticazione a più fattori (Multi-Factor Authentication, MFA), soprattutto quando accedi da dispositivi disponibili al pubblico.

Gestione dei sistemi

• Aggiorna sistemi e software con le ultime patch di sicurezza.
• Consulta e implementa le raccomandazioni di sicurezza fornite dal tuo provider di e-commerce o di siti internet.
• Rivedi regolarmente l'attività degli amministratori e degli utenti per rilevare attività insolite causate da un potenziale hacker.

Gestione del ciclo di vita di sviluppo

• Adotta le migliori pratiche di sicurezza nelle fasi di progettazione, sviluppo e test del ciclo di vita di sviluppo.
• Verifica le modifiche apportate alle pagine di pagamento e al relativo codice sorgente. Assicurati di configurare la funzione di monitoraggio continuo per rilevare e rispondere alle modifiche impreviste.
• Gestisci i rischi della supply chain per identificare, gestire e prevenire gli attacchi tramite fornitori di terze parti.
• Assicurati che le risorse sul lato client delle tue pagine siano caricate da domini autorizzati. Tali risorse includono librerie javascript, CSS, chatbot, analisi e così via.
• Non generare URL di Pay by Link su sistemi pubblicamente accessibili. È meglio convalidare automaticamente la parte host dell'URL prima di inviarlo al cliente.
• Attiva la condivisione trasversale di risorse tra origini (Cross-Origin Resource Sharing, CORS) e l'integrità delle sotto-risorse. Per ulteriori informazioni al riguardo, consulta le nostre Risorse di sviluppo.
• Implement la politica di sicurezza dei contenuti (Content Security Policy, CSP) per prevenire, tra l'altro, gli attacchi di cross-site scripting. Le CSP possono essere eseguite aggiungendo l'intestazione HTTP della politica di sicurezza dei contenuti al server Web e configurandola in modo da accettare solo risorse provenienti da fonti attendibili. Utilizza solo le seguenti linee guida: Adyen, Amazon Pay, PayPal e Google Pay.

Ulteriori informazioni

Esistono molti quadri di riferimento pubblici e altre linee guida utili per la sicurezza della tua azienda; certamente, adottando pratiche di codifica sicure e valutando continuamente le misure di sicurezza con l'aiuto di quadri di maturità. Per saperne di più, suggeriamo le seguenti risorse:

• OWASP
• NIST
• SANS