Compartilhar via

Guia de gerenciamento de risco de transação online

  • Artigo

A Microsoft leva a sério o gerenciamento de riscos de transações online e os parceiros devem fazer o mesmo para mitigar os riscos comerciais. Para dar suporte aos parceiros, a Microsoft está compartilhando um conjunto de recomendações para gerenciar riscos ao trabalhar com clientes online. Embora a Microsoft esteja comprometida em oferecer suporte aos parceiros, os parceiros permanecem financeiramente responsáveis por compras fraudulentas de seus clientes e/ou não pagamento de serviços adquiridos por clientes.

Visão geral

Como parceiro da Microsoft no programa CSP (Provedor de Soluções na Nuvem), você é responsável pelas compras e pelo uso de nossos serviços por seus clientes. É importante que os parceiros monitorem e resolvam atividades anômalas de seus clientes. A Microsoft pode enviar notificações aos parceiros se detectarmos atividades suspeitas, mas é fundamental que os parceiros usem outros métodos de monitoramento para ajudar a detectar o comportamento anômalo dos clientes.

Noções básicas de gerenciamento de risco online

Esta seção fornece informações sobre os aspectos básicos do gerenciamento de riscos que você deve conhecer.

A exposição ao risco deve ser mitigada

  • "Abuso de Serviço": clientes ou agentes mal-intencionados que usam serviços de nuvem em violação à Política de Uso Aceitável da Microsoft
  • "Roubo de Serviço": Clientes que demonstram que não têm intenção de pagar pelos serviços consumidos, usam instrumentos de pagamento roubados, fornecem informações falsas de cobrança e/ou inadimplência em saldos pendentes

Exemplos de possível abuso de serviço

  • Spamming
  • Pirataria
  • Ataques DDOS
  • Criptomineração
  • Distribuição de malware
  • Revenda de assinaturas piratas

Exemplos de roubo de serviço:*

  • Transações que não ocorrem pessoalmente
  • Identidades deturpadas
  • Serviços provisionados e utilizados sem intenção de pagamento
  • Criação e compra automatizadas de contas por agentes mal-intencionados

*O roubo de serviços pode ser maior em mercados emergentes e regiões de alto risco.

Práticas recomendadas de gerenciamento de risco online

A Microsoft recomenda que os parceiros implementem os seguintes protocolos durante todo o ciclo de vida do relacionamento com o cliente:

Integrar novos clientes

  • Estabeleça relacionamentos pessoais com os clientes, quando possível (por exemplo, contato por telefone).
  • Procure maneiras melhores de verificar as credenciais e os antecedentes dos clientes (agências de crédito/agências de relatórios comerciais de negócios).
  • Use a autenticação multifator (MFA) durante a inscrição para minimizar a exposição à criação e compra de contas robóticas.
  • Exija que os clientes monitorem e protejam seus locatários seguindo as práticas recomendadas de segurança.
  • Gerencie e rastreie identidades usando serviços como serviços de identidade digital.
  • Avalie a solidez financeira do cliente por meio de rigorosos sistemas de detecção de fraudes de cartão de crédito.
  • Estabeleça uma política de cobrança clara. Detalhe os processos de cobrança e quando o acesso às assinaturas é afetado pela falta de pagamento.

Gerenciar contas de clientes

  • Implemente um processo para receber, revisar, agir e responder rapidamente às notificações da Microsoft.
  • Trabalhe com os clientes para entender suas necessidades de negócios de uso da nuvem e definir limites de monitoramento apropriados. (Por exemplo, os parceiros podem definir um orçamento mensal de gastos do Azure no Partner Center.
  • Monitore os registros de atividades do cliente regularmente para ajudar a detectar fraudes antecipadamente.
  • Tome medidas rápidas quando atividades suspeitas forem detectadas.
  • Evite dar aos clientes acesso administrativo total às assinaturas sem primeiro implementar controles de mitigação de risco.

Gerenciar o faturamento do cliente

  • Solicite pré-pagamento antes das transações iniciais e do faturamento.
  • Não aceite instrumentos de pagamento de alto risco (como cartões pré-pagos ou cartões de valor armazenado).
  • Monitorar os pagamentos do cliente e contas a receber antigas. Impor agressivamente processos de não-pagamento padronizados para pagamentos atrasados ou não pagamentos.

Sugestões para práticas recomendadas de integração do cliente

Esta seção fornece as práticas recomendadas para a integração do cliente. As seções incluem informações sobre a verificação do Serviço de Mensagens Curtas (SMS), gerenciamento de identidade do usuário final e conhecimento do cliente durante a integração.

Verificação de SMS (texto)

Durante o processo de inscrição, os clientes finais recebem uma página "Prova de que você não é um robô", que inicia uma verificação do cliente via SMS (texto):

  • O uso de uma solução de verificação por SMS ajuda os parceiros a mitigar o risco de inscrições de clientes por meio de métodos robóticos. A verificação por SMS também ajuda a evitar que agentes mal-intencionados possam criar facilmente várias contas (por exemplo, inscrições falsas)
  • Durante o processo de inscrição, os parceiros podem optar por confirmar se uma pessoa está do outro lado da transação. A verificação é realizada exigindo que o cliente forneça um número de celular para o qual uma senha de uso único é enviada por SMS
  • Além disso, a verificação por SMS também pode ser usada como parte de um processo de login de autenticação multifator (MFA) para clientes estabelecidos

Gerenciamento de identidade do usuário final

As melhores práticas para mitigar o risco de identificar fraudes são:

  • Uma maneira de gerenciar e rastrear a identidade de um cliente é usando um serviço de identidade digital
  • Uma identidade digital é uma assinatura exclusiva de um usuário individual e/ou dispositivo na outra extremidade de uma transação online
  • Os Serviços de Identidade Digital permitem que os parceiros identifiquem melhor os clientes além de simples identificadores, como endereço de e-mail, endereço físico etc.
  • Os parceiros podem validar a identidade dos clientes e identificar possíveis agentes mal-intencionados usando ferramentas de terceiros

Conheça seu cliente durante o onboarding

É importante que os parceiros tomem medidas extras para verificar a identidade e a solidez financeira, quando possível, de indivíduos e empresas que desejam comprar serviços online. As melhores práticas são:

  • Construa relacionamentos pessoais com os clientes, por exemplo: contato por telefone, encontro pessoal, etc.
  • Exigir um cartão de crédito durante a inscrição; não aceite cartões de valor armazenado ou cartões de crédito pré-pagos como forma de pagamento
  • Implemente sistemas rigorosos de detecção de fraude de cartão de crédito para garantir que o cliente que apresenta o instrumento de pagamento seja um usuário autorizado - Revise os relatórios financeiros das agências de crédito
  • Valide as credenciais e o histórico dos clientes em locais confiáveis, como agências de relatórios comerciais de negócios.

Sugestões de práticas recomendadas pós-compra do cliente

Conheça seu cliente após a compra

É a prática recomendada implementar o monitoramento de uso para serviços, mesmo que esses serviços não sejam cobrados por consumo. Mas essa prática é especialmente verdadeira para serviços cobrados por consumo, como o Azure, em que a cobrança ocorre após o uso.

  • Com base na estratégia de "conhecer seu cliente", os parceiros devem trabalhar em estreita colaboração com os clientes para entender as necessidades comerciais fundamentais de seu uso de serviços em nuvem.
  • Evite dar aos clientes acesso total de administrador às assinaturas sem primeiro implementar controles de mitigação de risco, como as práticas recomendadas neste guia.
  • Para monitorar o uso no nível do cliente para as várias necessidades de negócios do cliente, use o Portal de Gerenciamento do Microsoft Azure e os recursos de relatório de uso disponíveis.
  • Assine novos alertas de segurança, que é uma das muitas maneiras pelas quais a Microsoft oferece suporte aos parceiros na proteção dos locatários de seus clientes. Os alertas devem ser investigados e corrigidos rapidamente Se necessário, os parceiros podem suspender os recursos afetados do Azure ou as assinaturas do Azure para atenuar um problema

Cobrança

No programa Provedor de Soluções na Nuvem, a Microsoft não cobra o cliente final. O parceiro é obrigado a configurar e processar o faturamento.

Os parceiros devem implementar os seguintes protocolos em seu processo de cobrança:

  • Proteja os pagamentos adiantados antes do faturamento, solicitando que os clientes enviem pré-pagamentos para financiar a atividade de sua conta
  • Evite aceitar instrumentos de pagamento de alto risco, como cartões pré-pagos ou de valor armazenado, pois o valor nos cartões não pode ser verificado e pode não ser suficiente para cobrir os custos de compra do cliente
  • Monitore de perto os pagamentos dos clientes e as contas a receber antigas, aplique agressivamente processos de cobrança padronizados para atrasos ou falta de pagamento, incluindo a suspensão de assinaturas e serviços até que os pagamentos dos saldos pendentes sejam recebidos

Notificações da Microsoft

A Microsoft implementou um serviço de notificação e é crucial que os parceiros mantenham os endereços de email associados aos administradores de assinatura atualizados regularmente:

  • Os parceiros devem desenvolver e implementar processos para receber, revisar, agir e responder rapidamente às notificações da Microsoft, conforme necessário
  • Se a Microsoft detectar atividades incomuns, a Microsoft enviará notificações aos parceiros nos seguintes cenários:
    • Quando as assinaturas são suspeitas ou determinadas como violando a Política de Uso Aceitável para Serviços Online, e/ou;
    • Quando as assinaturas estão associadas a atividades suspeitas (como fraude/pirataria) e representam um risco imediato para a Microsoft, parceiros e/ou clientes
  • As notificações dos clientes são enviadas no portal do Azure por meio da folha Integridade do Serviço do Azure. Saiba como configurar alertas no artigo Criar alertas do log de atividades em notificações de serviço usando o portal do Azure
  • Notificações gerais por e-mail de abuso: os e-mails são enviados para administradores e proprietários de azsafety@microsoft.com assinaturas. Sugere-se que você adicione o endereço de azsafety@microsoft.com e-mail à sua lista de remetentes seguros para evitar que e-mails importantes entrem na pasta de spam.

Observação

Os parceiros devem usar métodos adicionais para detectar uso anômalo e atividades suspeitas e não depender apenas de notificações da Microsoft.

Aplicação da Política de Uso Aceitável

  • Como parte de seu contrato com a Microsoft, espera-se que os parceiros e seus clientes cumpram a Política de Uso Aceitável, conforme descrito nos Termos de Serviços Online.
  • Quando a Microsoft detecta ou toma conhecimento de atividades de parceiros ou clientes que confirmamos ou suspeitamos que violem a Política de Uso Aceitável, a Microsoft toma medidas de imposição.
  • Violações da Política de Uso Aceitável podem resultar na suspensão dos Serviços Online - a suspensão pode ser imediata, se necessário. Caso contrário, a Microsoft notificará os parceiros solicitando que uma ação seja tomada e/ou sobre ações de imposição já executadas pela Microsoft.

Notificações e ações esperadas

A Microsoft faz esforços razoáveis para notificar os parceiros se uma assinatura associada ao cliente estiver mostrando atividades arriscadas ou suspeitas.*

Os parceiros devem avaliar os clientes que violam a Política de Uso Aceitável para determinar se eles representam riscos adicionais para seus negócios.

Notificações e/ou ações esperadas**
Atividades que representam um risco imediato para a Microsoft, parceiros e/ou clientes
  • A Microsoft notificará o parceiro por meio do portal do Azure ou do portal do Partner Center sobre a assinatura de alto risco
  • O parceiro deve INVESTIGAR e SUSPENDER todas as outras assinaturas de cliente da conta do cliente se for determinado pelo parceiro como fraudulento
  • A Microsoft pode DESABILITAR assinaturas de alto risco imediatamente***
Atividades de segurança suspeitas em andamento
  • Embora seja responsabilidade do parceiro implementar e manter controles de risco de detecção e prevenção de fraudes, a Microsoft pode NOTIFICAR o parceiro, por email, sobre a atividade suspeita
  • A Microsoft pode DESABILITAR assinaturas de alto risco se nenhuma ação for executada pelo parceiro
  • No futuro, a Microsoft poderá oferecer outras ferramentas e/ou recursos de detecção para parceiros
Violação da política de uso aceitável
  • A Microsoft notificará o parceiro por email sobre a violação
  • O parceiro SUSPENDERÁ o ativo ofensivo e responderá à notificação da Microsoft dentro de 48 horas ou no próximo dia útil
  • A Microsoft pode DESABILITAR assinaturas de alto risco se nenhuma ação for executada pelo parceiro

*Os parceiros não devem depender exclusivamente das notificações da Microsoft. Use outros métodos de monitoramento para detectar o comportamento anômalo dos clientes.
**As notificações por e-mail são enviadas aos administradores listados da assinatura. Os parceiros devem garantir que as informações de contato por e-mail sejam atualizadas regularmente.
Certas violações podem resultar na suspensão imediata e/ou desativação da assinatura infratora.

Quando os parceiros detectam uso suspeito

Os parceiros são financeiramente responsáveis pelas compras fraudulentas de seus clientes e pelo não pagamento dos serviços adquiridos. Os parceiros devem implementar controles de mitigação de risco de prevenção e detecção de fraudes, como as sugestões descritas neste guia.

  • Se um parceiro detectar proativamente atividades suspeitas, ele deverá investigar imediatamente e tomar as medidas apropriadas para mitigar o risco:
    • A investigação pode incluir a revisão da atividade de login da conta do cliente, histórico de pagamentos de faturas, alterações frequentes nos instrumentos de pagamento e/ou padrões de uso de assinaturas anteriores, conforme sugerido como práticas recomendadas anteriormente
    • As ações de mitigação podem incluir a correção de identidades comprometidas, a limpeza de recursos comprometidos e o fortalecimento da postura de segurança. Para obter mais informações, consulte O que você deve fazer se uma assinatura do Azure for comprometida?
  • Os parceiros também podem enviar uma Solicitação de Serviço no Partner Center se tiverem outras dúvidas ou preocupações sobre atividades suspeitas

Próximas etapas

Examine os seguintes guias: