web-dev-qa-db-ja.com

補足的な信用取引を追加することは、オンライン決済のセキュリティを向上させることができるものですか?

私が定期的に商品を購入しているオンライン企業は、セキュリティポリシーを最近アップグレードしたようです。

73,31€で何かを購入したとしましょう。いつものように、この会社はチェックアウトプロセスに3D-Secureを使用しており、実際には数日後の出荷時にのみ支払いを処理します。

発送確認メールには、次のように翻訳できる奇妙な通知が含まれていました。

  • 注文金額:73,31€

オンライン決済の安心の枠組みの中で、以下の業務に取り組みました。

  • クレジットカードへの請求金額:73,41€
  • クレジットカードに入金される金額:0,10€

追加で請求される金額はランダムで、数セントから数ユーロです。

彼らはどのような脅威から保護していますか?

  • 彼らは支払いを受けたので、彼らはお金を得ました。
  • 彼らは比較的少量で3D-Secureを使用したため、詐欺の場合、取引は銀行によって主にカバーされます。
  • 彼らは支払いに使用されたカードがクレジットも処理できることをチェックしているようです、多分プリペイドまたはワンタイム支払いカードを検出する方法ですが、再び:彼らはお金を得たので何がポイントですか?ちなみに、このシステムを導入してから数週間後に、このようなカードのユーザー向けに新しいページを作成する必要がありました "技術的な制限により"彼らはそれを述べた。

私が彼らが避けようとしている脅威を理解していないだけなのか、それとも、セキュリティシアターが顧客に感激させるために作られただけなのか、独自のセキュリティ対策を採用しているのか?

16
WhiteWinterWolf

自分の質問に答えて回答済みとしてフラグを付け、時々ポップアップが表示されないようにすることができます。この対策は セキュリティシアター の明白な例として表示されます。

これが私をこの結論に導いた要素です:

  • 私は彼らのサポートチームにこの変更の理由を尋ねました:彼らは通常、より一般的な質問にすぐに答えましたが、私はこの質問に対する答えを受け取っていません。

  • 変更は明らかに不格好でよく考えられていませんでした:明らかに、顧客の一部が先に進むことができなかったため、このシステムを有効にしてから数週間後に、ワンタイムおよびプリペイドカードがこの測定をバイパスできるように特別な機能を追加する必要がありました支払いステップはもうありません。

  • このプロセスはこのWebサイトに限定されます。これは顧客に印象を与えるのに良いことですが、技術的な観点から見ると、このようなシステムの必要性を誰も望んだり感じたりしたことはありません。新しい真に効率的なセキュリティ関連のアイデアが、何らかの形で広まるのに時間がかかることはありません。

  • このプロセスは、効果的なセキュリティシアター対策に必要なエンドユーザーによって直接認識されます。

  • 私はこの方法の利点を見たことがありませんでした。また、過去2年間で他のSecurity.SEの貢献者も見ませんでした。

誰かがこの結論を変える可能性のある知識を持っている場合は、自由に独自の答えを追加してください。しかし、2年後、私はこれを安全な劇場のゴミ箱に "マーケティング引数としての疑似セキュリティ" "あなたはあまりにも熱心なセキュリティインターン/会社を雇った"「予算を正当化する必要があります」

6
WhiteWinterWolf