Bij de veiligheid van online betalingen draait alles om vertrouwen. Zonder vertrouwen zou niemand gebruikmaken van het financiële ecosysteem. Stel je een klant voor die elke keer dat hij zijn creditcard gebruikt, te maken krijgt met ongebreidelde fraude. Zonder veiligheid is er geen markt.  

Hoe zijn we er dan in geslaagd de betalingssector te beschermen? Nou, dat is vanaf dag één een voortdurende uitdaging geweest (een taak die Chargeflow met trots voortzet). Telkens wanneer er een nieuwe dreiging opduikt, zetten beveiligingsteams nieuwe verdedigingsmaatregelen in. Al sinds de eerste elektronische overschrijvingen gaan we de strijd aan met fraudeurs en criminelen en ontwikkelen we nieuwe maatregelen om onze gebruikers te beschermen.

Laten we eens door de geschiedenis van de betalingsbeveiliging lopen om een beeld te krijgen van de maatregelen die worden genomen om online betalingen te beveiligen.  

De beginjaren van online betalingen

Online betalingen zijn ontstaan met de opkomst van e-commerce. Denk bijvoorbeeld aan eBay of Amazon. Deze internetplatforms boden een nieuwe manier om producten te verkopen.

Maar voor digitale verkoop zijn ook digitale manieren nodig om betalingen te accepteren. Dat leidde tot een vraag naar virtuele betaalterminals. En zo kwamen betalingsdienstaanbieders (PSP’s) met digitale oplossingen op de markt, waarvan PayPal of een terugboekingsprocedure via hun creditcardmaatschappijen tot de populairste behoren.

Betalingsproviders boden gebruikers de mogelijkheid om hun bankrekeningen en creditcards te koppelen om betalingen te verrichten. Uiteraard riepen deze diensten vragen op over de veiligheid. Hoe kon je controleren of de juiste gebruiker een betaling had geïnitieerd? Wat als iemand een account had gehackt of een wachtwoord in handen had gekregen? En hoe kon je financiële gegevens beschermen terwijl deze werden verzonden?

Als reactie hierop werd de betalingsbeveiliging aangepast. Zo hielp e-mailverificatie bij het verifiëren van de gebruiker. Sterke wachtwoorden boden bescherming tegen inlogfraude. En het belangrijkste was dat beveiligingsbedrijven hun toevlucht namen tot versleuteling. Netscape ontwikkelde in 1995 Secure Socket Layer (SSL) om gegevens op het internet te versleutelen en gebruikers te authenticeren . Dit vormde de basis voor Transport Layer Security (TLS)-versleuteling, die we vandaag de dag nog steeds gebruiken.

De opkomst van e-commerce en betalingsgateways

E-commerce bleef zich eind jaren negentig en begin jaren 2000 sterk ontwikkelen. Dat is eigenlijk heel opmerkelijk, aangezien veel van de hype rond het internet verdween toen de dotcom-zeepbel barstte. Toen de zeepbel barstte, beschouwden velen e-commerce als bij voorbaat gedoemd te mislukken.

Toch hebben enkele platforms het overleefd, ditmaal met een aantal broodnodige veranderingen. Merken als Amazon, Shopify, Netflix en Zappos begonnen alle afzonderlijke onderdelen van de digitale marktplaats te integreren tot een goed functionerend geheel. Zaken als voorraadbeheer moesten worden afgestemd op de orderafhandeling, en beide moesten worden gekoppeld aan wereldwijde betalingsverwerking. We begonnen met het opzetten van de benodigde e-commerce-infrastructuur.  

Uiteraard hadden fraudeurs deze nieuwe digitale aanvalsvlakken al opgemerkt. Klantbeheersystemen zijn kwetsbaar voor hackers. Dat geldt ook voor winkelwagentjes en nieuwe afrekenprocessen. Fraude met betaalkaarten begon een groot probleem te vormen, net als internetoplichting en phishing. Een van de bekendste voorbeelden was een Denial-of-Service-aanval in februari 2000 op Yahoo!, CNN.com, eBay en Amazon.

Ontwikkelingen op het gebied van versleuteling en authenticatie

Opnieuw moest de betalingsveiligheid worden aangepast. We moesten online betalingen beter beveiligen tegen deze nieuwe bedreigingen. Daarom heeft de sector verschillende hulpmiddelen en technieken ontwikkeld, zoals:

• 3D Secure: Visa en Mastercard hebben een extra beveiligingsprotocol geïmplementeerd dat bekendstaat als 3D Secure. In bepaalde risicovolle betalingssituaties kunnen de kaartuitgevers om een tweede verificatie vragen, zoals een wachtwoord of pincode. Dit is een slimme extra stap waarmee kan worden gecontroleerd of een kaarthouder inderdaad is wie hij zegt te zijn.
• Tokenisatie: Beveiligingsteams hebben gevoelige gegevens vervangen door willekeurige tokens. Een reeks willekeurige tokens is voor hackers waardeloos. Dit helpt het risico en de financiële gevolgen van datalekken of hackaanvallen te beperken.
• Functies van betaalkaarten: Betaalgateways zijn begonnen met het vergelijken van gebruikersgegevens om online betalingen te verifiëren. Ze maakten gebruik van systemen zoals adresverificatie (AVS) en kaartbeveiligingscodes (CVV) als extra veiligheidscontroles wanneer iemand een creditcard gebruikte voor een online aankoop.
• Meervoudige authenticatie (MFA): Wanneer accounts gevoelige financiële gegevens bevatten, gingen bedrijven eisen dat er ten minste twee identificatiemiddelen werden gebruikt. Elke gebruiker moet gegevens uit ten minste twee van de drie categorieën kunnen overleggen: iets wat je weet, iets wat je hebt en iets wat je bent. MFA is ook vandaag de dag nog steeds een belangrijke beveiligingsmaatregel.  
• Biometrie: Met de technologische vooruitgang zijn beveiligingsteams gebruikers gaan verifiëren aan de hand van fysieke kenmerken (vingers, gezicht, enz.). Unieke kenmerken zijn veel moeilijker te kopiëren of te hacken dan een wachtwoord.  

Regelgeving en nalevingsnormen

Tegen die tijd begon de betalingsbeveiliging steeds lastiger te worden. Bedenk eens hoe ingewikkeld het is om de beveiligingspraktijken van verschillende landen en overheden op elkaar af te stemmen. Of denk eens aan de uiteenlopende benaderingen die een bank, een kaartmerk of een betalingsgateway hanteert op het gebied van gegevensbescherming. Sommige partijen hanteren wellicht strengere of minder strenge beveiligingsnormen dan andere. Weer anderen beschikken wellicht over meer middelen en toegang tot betere technologie.

Een dergelijke mix mist samenhang. En dat maakt de sector kwetsbaar. Oplichters zouden misbruik kunnen maken van ons gebrek aan communicatie. We hadden behoefte aan gezamenlijke strategieën (of, om het officieel te zeggen: veilige interoperabiliteit).

Dat heeft ertoe geleid dat verschillende regeringen en organisaties regelgeving hebben ingevoerd, zoals:

• Payment Card Industry Data Security Standard (PCI DSS) – Regels voor het beheer van kaartgegevens
• Richtlijn betreffende betalingsdiensten (PSD): consumentenbescherming bij elektronische betalingen in de hele Europese Unie
• Wet inzake eerlijke en accurate krediettransacties (FACTA): Bepalingen inzake het gebruik van financiële gegevens en maatregelen ter bestrijding van fraude
• Wet op de modernisering van het financiële stelsel (Gramm-Leach-Bliley Act – GLBA): voorschriften die de vertrouwelijkheid van consumentengegevens waarborgen

Deze richtlijnen vormen ook vandaag de dag nog steeds de leidraad voor de betalingssector.

Huidige en toekomstige best practices op het gebied van online betalingsbeveiliging

Ondanks de standaardisatie blijft de veiligheid van online betalingen zich verder ontwikkelen. Fraudeurs gaan tegenwoordig steeds geraffineerder te werk, maar wij ook. De sector maakt gebruik van diverse innovatieve technologieën die consumenten zowel nu als in de toekomst beschermen:

• Kunstmatige intelligentie (AI) en machine learning (ML): cognitieve systemen betekenen een cruciale verbetering van onze verdedigingsstrategieën. Dat komt omdat AI zichzelf kan verbeteren. Adaptieve systemen kunnen statische regels gebruiken en op basis van de ingevoerde gegevens betere aanpassingen ontwikkelen. Aangezien machines hoeveelheden gegevens kunnen verwerken op een niveau dat ver boven dat van mensen ligt, bieden AI-tools een dynamische benadering van beveiliging. Daarom maakt Chargeflow gebruik van AI-aangedreven tools, zoals voorspellende analyses, op maat gemaakte risicomodellen en snelle geschillenbeslechting.
• Blockchain en Distributed Ledger Technology (DLT): Blockchaintechnologie maakt gedecentraliseerde en onomkeerbare transacties mogelijk. En aangezien de geldigheid wordt bepaald door een publieke consensus, worden de risico’s en de blootstelling van tussenpersonen beperkt. Dat maakt blockchain tot een robuuste vorm van beveiliging (en er zijn tal van mogelijke toepassingen voor deze technologie in de betalingssector).
• FIDO2-authenticators: Cryptografie met openbare sleutels (en de toekomst van kwantumcryptografie) biedt wachtwoordloze vormen van authenticatie. Dit is weer een verbetering ten opzichte van de oude inlogbeveiliging.
• Gedragsbiometrie: Gedragsbiometrie maakt gebruik van de meest unieke kenmerken van een gebruiker: zijn of haar persoonlijkheid. Emoties, gezichtsuitdrukkingen, typsnelheid en navigatiegewoonten worden allemaal gemeten. Deze factoren zorgen voor een betere verificatie.  
• Dynamische fraudebestrijdingsoplossingen: aanvallen is beter dan verdedigen. Daarom richten fraudebestrijdingsoplossingen zich tegenwoordig op proactieve preventiestrategieën. Voorbeelden hiervan zijn realtime monitoring, snelheidscontroles en dreigingsinformatie. Omdat dergelijke tools zo effectief zijn, maakt Chargeflow gebruik van AI om terugboekingen en fraude te voorkomen nog voordat er problemen ontstaan. We markeren verdachte activiteiten op basis van risicoscores die fraudewaarschuwingen activeren. Door te anticiperen op de acties van criminelen worden de beveiligingsresultaten aanzienlijk verbeterd.  

Conclusie

De geschiedenis van betalingsbeveiliging getuigt van het aanpassingsvermogen van de sector. We hebben een lange weg afgelegd. Wat aanvankelijk werd ingegeven door de behoeften van de eerste e-commerceplatforms, heeft zich ontwikkeld tot geavanceerde beveiligingsinstrumenten waarmee we onze wereldwijde marktplaats nu beschermen.

Toch blijft beveiliging een voortdurende uitdaging. We hebben innovatieve maatregelen nodig die gelijke tred kunnen houden met de steeds veranderende aanvallen van fraudeurs. En daarom blijft chargeflow zich voortdurend aanpassen. We weten hoe belangrijk het vertrouwen van onze klanten is, en daarom maken we gebruik van de meest geavanceerde tools (AI, machine learning, enz.) om de fraude-industrie een stap voor te blijven.

Wilt u weten hoe Chargeflow u en uw klanten kan beschermen? Vraag vandaag nog een demo aan. ‍