OpenAPI 规范 (OAS) 是软件开发人员用来构建可与 REST API 交互的应用程序的框架。OpenAPI 规范(原来称为 Swagger 规范)概述了如何与 API 通信、可以请求哪类信息以及将返回哪些信息。OpenAPI 允许开发人员通过制定安全方案(一种全局定义,用于指定 API 对客户端凭据的身份验证方式)来提升安全性。
信用卡安全是企业为保护在其 IT 环境中处理或存储的信用卡信息,所依赖的一系列协议、技术与最佳实践的统称。非接触式支付、网购中的无卡交易等趋势,助长了信用卡诈骗及其他类型金融犯罪的增多。信用卡安全解决方案可有助于企业保护敏感的财务信息、减少信用卡数据丢失情况、防止发生信用卡欺诈,并避免产生不利后果,例如监管罚款、法律诉讼以及收入、声誉和客户信任方面的损失。
信用卡安全是处理信用卡的零售商和企业以及信用卡发卡机构、金融机构和主要信用卡公司(包括 Visa、Mastercard、Discover 和 American Express)关注的主要问题。新卡具有 EMV 芯片等旨在提高信用卡安全性的安全功能,但犯罪分子却在不断寻找新的方法来窃取信用卡账号,并进行欺诈性信用卡交易。
信用卡安全面临哪些威胁?
- 无卡欺诈。无卡欺诈是信用卡安全领域增长最快的威胁之一,犯罪分子会利用窃取的信用卡信息,进行在线购物或电话购物。
- 数据窃取诈骗。犯罪分子常将数据窃取器安装在销售终端机上,当客户或员工刷卡时,犯罪分子便会窃取信用卡账户信息。此外,数据窃取行为也发生在线上交易场景中。例如,Magecart 攻击利用电子商务平台中的第三方漏洞,允许攻击者将恶意代码注入浏览器中的支付页面。当网站访客输入支付卡详细信息时,恶意代码便会窃取信息并将其发送到攻击者控制的域。
- 网络钓鱼。在这些攻击中,欺诈者冒充合法联系人、公司或服务,并诱使消费者泄露其信用卡号码和其他敏感信息。
- 应用程序欺诈。在这种身份盗窃中,犯罪分子可能会利用窃取的信息,以他人名义申请信用卡。这类欺诈行为往往要等到受害者查询信用报告,或发现自己的信用评分出现变动时,才会被察觉。
- 数据泄露。攻击者成功入侵企业的 IT 环境时,他们可能会下载大量客户数据,其中包括社会保险号码等个人身份信息,以及借记卡或信用卡号码、CVV 或 CID 号码(卡片背面的三位或四位数字,旨在提高安全性)。
信用卡安全的最佳实践有哪些?
信用卡安全和欺诈防护通常涉及多层方法,以预防、检测和应对欺诈和其他威胁。
- 加密。使用 SSL 和 TLS 等协议加密数据,企业可以安全地传输支付数据,而不必担心被拦截或篡改。
- 记号化。在传输信用卡信息时,记号化是将敏感的卡片信息替换为随机的数字和字母字符串(称为令牌)的过程,这些令牌只能由付款处理方正确读取。记号化可增强信用卡安全性和电商交易,同时降低遵守法规和行业标准的成本和复杂性。
- 身份验证。使用单重、双重或多重身份验证 (MFA) 有助于确保出示信用卡付款的个人确实是授权用户。MFA 涉及使用两种或更多类型的身份验证,包括密码、PIN、一次性代码、生物识别数据、安全问题和物理令牌。
- 欺诈检测和预防系统。这些技术通过监控客户行为、识别交易模式和检测异常,从而识别和阻止欺诈交易。在检测潜在欺诈时,这些解决方案可能会阻止交易或需要额外的身份验证措施。
- PCI DSS 合规性。支付卡行业数据安全标准 (PCI DSS) 概述了一套用于保护客户数据和降低数据泄露风险的标准。遵守 PCI DSS 标准的企业能够更好和更安全地处理、存储和传输信用卡信息。
- 防火墙和网络安全。防火墙及其他网络与 Web 安全技术,通过拦截诸如恶意软件等外部威胁,以及试图侵入 IT 环境的攻击者,帮助企业提升信用卡安全性。防火墙会扫描和监控流量,并实施安全策略来阻止潜在威胁。入侵检测和防御系统可识别潜在入侵,并持续监控网络活动。分段和微分段解决方案将 IT 网络和资产划分为更小的单元,以限制网络攻击一旦得逞可能造成的“爆炸半径”。
- 客户端保护。客户端保护可以防止 Magecart、Web 数据窃取和表单劫持等客户端攻击。
- 数据泄露防护 (DLP)。DLP 解决方案能保护信用卡数据等敏感信息,防止其被恶意或意外泄露、暴露或窃取。使用背景扫描和内容检查,DLP 解决方案可搜索流入和流出网络的数据,并阻止包含持卡人信息、个人身份信息 (PII) 和其他类型敏感数据的流量。
- 安全更新。保持定期且持续的修复漏洞、应用补丁及实施安全更新,对于防止攻击者利用软件、硬件和操作系统中的漏洞、缺陷及安全问题至关重要。
API 防护如何影响信用卡安全?
应用程序编程接口 (API) 通常是信用卡安全链中最薄弱的环节。API 是使应用程序能够相互通信,并共享数据和功能的软件程序或代码片段。随着越来越多的 API 被构建并用于共享信用卡数据等敏感数据,企业面临的风险也随之增加。这些安全漏洞为攻击者敞开了大门,让他们能够未经授权访问 API 和互联系统。这些数据泄露可能会导致客户的信用卡数据泄露或被盗。
保护 API 和提高信用卡安全性的最佳方法是什么?
最重要的是,确保您使用的任何 API 防护产品符合 PCI DSS 标准。这有助于让您确信,您所实施的解决方案遵循了处理信用卡数据的最佳实践。为确定您需要哪些安全解决方案,首先需要牢记的是,API 防护需要采用多层安全方法。API 网关可以帮助授权调用,并将调用路由到适当的后端服务和前端端点,同时应用速率限制和节流来防止 API 滥用。安全团队可能还需要实施加密、身份验证和授权技术、Web 应用程序防火墙、OpenAPI 安全方案以及用于发现 API 和识别漏洞的工具。但是,API 网关安全措施不足以阻止“OWASP 十大 API 安全风险清单”中的攻击。首先,企业需要确保拥有完整的 API 清单,并能够根据 API 是否包含敏感数据(如信用卡信息)来标记这些 API。然后,他们应该使用行为分析来监控所有 API 活动,以确保这些 API 以预期的方式共享数据,并在发现任何异常行为时发出告警。
常见问题
开放全球应用程序安全项目 (OWASP) 是一个旨在提高软件安全性的非营利组织。OWASP 根据最新的威胁情报发布了十大 Web 应用程序和 API 安全风险清单。
OWASP 十大 API 安全风险清单与 OWASP 十大 Web 应用程序安全风险清单类似,有助于识别会使您的 API 面临风险的漏洞,并让您更好地了解如何修复这些漏洞。
网络分段是一种网络安全技术,可将网络划分为不同的较小子网。这使网络团队能够划分网络,并为每个子网提供独特的安全控制和服务。微分段是对单个 IT 资产进行精细保护和访问控制,而非对较大的分段网络或子网进行保护和控制,进而可提供更有效的防护。
客户为什么选择 Akamai
Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、扩展性和专业技术,助其从容拓展业务。