如何与 Adyen 的在线支付安全集成？

保护您的企业免受在线攻击者的攻击

恶意行为者（人员或组织）可能会通过在线攻击将您的公司锁定为目标。根据您将 Adyen 集成到服务的方法，您可能需要考虑采取其他安全措施来保护公司数据以及客户数据的机密性、完整性和可用性。

您的信息可能如何被盗用

攻击者可能会尝试伪造或窃取登录凭证来访问您的环境。一些众所周知的攻击技术是通过暴力破解弱密码或利用弱或损坏的管理员身份验证。网络钓鱼或其他所谓的社会工程伎俩很常见，做法是欺骗公司内部人员访问敏感信息。

如果攻击者可以未经授权访问您的页面，则可以窃取银行卡数据。潜在的攻击者可以通过以下不同方式执行跨站点脚本攻击：

• 将付款重定向到欺诈页面，将输入的付款详细信息发送给攻击者，然后再在合法页面上继续付款流程。
• 在您的实际付款页面顶部放置所谓的覆盖物，并在实际付款之前收集银行卡数据。
• 使用恶意代码（例如，通过所谓的键盘记录器）操纵页面，在您的购物者输入银行卡数据时收集相关数据。

如何降低信息被盗用的风险

实施基本的安全措施可以显著降低风险。您应该对用户账户、系统以及平台的开发生命周期进行适当的管理。

用户账户管理

• 替换供应商提供的用户名和密码。
• 使用强密码来防止暴力攻击。使用包含大小写字母、数字和特殊字符的长密码。
• 避免多人共享凭证的账户。
• 强制执行多重身份验证 (MFA)，尤其是在大家都可以使用的设备上登录时。

系统管理

• 为系统和软件更新最新的安全补丁。
• 阅读并实施您的电子商务/网站软件或提供商提供的安全建议。
• 定期审查管理员和用户活动，检测是否存在潜在攻击者引起的异常活动。

开发生命周期管理

• 在开发生命周期的设计、开发和测试阶段考虑安全最佳实践。
• 审查对您的付款页面以及相关源代码的更改。确保设置持续监控以检测和响应意外更改。
• 管理供应链风险，以识别、处理和防止通过第三方供应商发起的攻击。
• 确保页面中的客户端资源是从授权域加载的。此类资源可能是 JavaScript 库、CSS、聊天机器人、分析等。
• 不要在可公开访问的系统上生成 Pay by Link URL。最好在将 URL 发送给客户之前自动验证 URL 的主机部分。
• 实现跨域资源共享和子资源完整性。如需了解更多此类信息，请参见我们的开发资源。
• 实施内容安全策略 (CSP) 以防止跨站点脚本攻击等攻击。可以通过在 Web 服务器中添加 Content-Security-Policy HTTP 标头并将其配置为仅接受来自受信任来源的资源来实施 CSP。仅使用以下指令：Adyen、Amazon Pay、PayPal 和 Google Pay。

了解更多

有许多公共框架和其他指南可以帮助您保障业务安全。当然，还需要遵循安全编码实践，以及在成熟度框架的帮助下不断评估您的安全措施。建议通过以下资源来了解更多信息：

• OWASP
• NIST
• SANS