Skip to main content

Навігація

Каталог

Обізнаність з безпеки Конфіденційність і відповідність Безпека AI та LLM Реальні інциденти
Безпека застосунків Скоро
Безпека API Скоро
Безпека хмари Скоро

Можливості

Інтерактивне 3D-навчання SCORM Cloud LMS Людський ризик-скоринг Ризик-орієнтована автоматизація Усі можливості

Симуляції

Фішинг-симуляції Смішинг-симуляції
Вішинг-симуляції Скоро

Компанія

Партнери Про нас Блог

Правова інформація

Безпека та відповідність Політика конфіденційності Умови використання
English Українська
Замовити демо

Тренінг з кібербезпеки для рітейлу

Інтерактивні симуляції, що відповідають PCI DSS v4.0, для продавців-консультантів, інженерів e-commerce та команд клієнтського обслуговування. Фішинг, BEC, e-skimming, смішинг та OAuth-сценарії, повʼязані з вимогою PCI 12.6 щодо навчання.

Чому рітейлу потрібно більше, ніж щорічне відео з PCI

Рітейл має найбільшу розподілену робочу силу серед усіх секторів, окрім гостинності. Продавці-консультанти, оператори контакт-центрів, e-commerce розробники та фінансовий персонал по-різному взаємодіють з даними платежів, PII клієнтів або рахунками постачальників. Verizon DBIR щороку відносить рітейл до топсекторів за соціальною інженерією та проникненнями з викраденими обліковими даними.

PCI DSS v4.0 вимога 12.6 встановлює обовʼязковий тренінг з обізнаності з безпеки при наймі та принаймні раз на 12 місяців для кожної людини з доступом до середовища даних карток. Нові підвимоги v4.0 (12.6.2 і 12.6.3) виходять за межі записів про проходження, націлюючи на цільовий тренінг з фішингостійкості та контент, специфічний до загроз. Закони штатів про конфіденційність додають додаткові обовʼязки.

RansomLeak пропонує тренінг, що відповідає PCI 12.6, FTC Safeguards Rule, CCPA/CPRA та очікуванням щодо тренінгу з конфіденційності у Техасі, Вірджинії та Колорадо. Інтерактивні 3D-симуляції відпрацьовують рішення, з якими реально стикається персонал рітейлу: BEC з рахунком постачальника, попередження про впровадження скрипту в стилі Magecart, смішинг про повернення доставки, OAuth-запит на повний доступ до Shopify.

Шаблони загроз, специфічні для рітейлу

1

BEC для шахрайства з рахунками постачальників

Фінансові команди рітейлу оплачують тисячі рахунків постачальників на місяць, що робить їх цілями BEC з найвищим коефіцієнтом конверсії. Тренінг відпрацьовує крок перевірки, що ловить перенаправлений переказ до того, як він залишить банк.

2

E-skimming і атаки Magecart

Веб-скімерний код у стилі Magecart впроваджується на сторінки оплати через скомпрометовані сторонні скрипти і tag manager. Інженерам і персоналу site reliability потрібно розпізнавати шаблони несанкціонованих змін скриптів і попередження content security policy.

3

Шахрайство з подарунковими картами і поверненнями (відгалуження BEC)

Зловмисники видають себе за керівників, які просять клієнтський сервіс завантажити подарункові картки або обробити масові повернення. Передовий персонал потребує звички перевірки, що не зривається під тиском від фейкового CFO.

4

Credential stuffing на програмах лояльності

Перевикористані паролі з минулих витоків перетворюють акаунти лояльності на товар для перепродажу. Команди безпеки рітейлу потребують тренінгу персоналу з виявлення сигналів захоплення акаунтів та пояснення ризику клієнтам без вигадування фактів.

5

Зловживання OAuth у сторонніх застосунках

Маркетплейси застосунків Shopify, Salesforce Commerce та BigCommerce є високооборотними OAuth-поверхнями. Персонал, що встановлює застосунки, має навчитися читати запити на дозволи, відмовлятися від інтеграцій з надмірними правами і повідомляти безпеці про підозрілу поведінку застосунку.

Фреймворки відповідності, які охоплює ця сторінка

Відповідність регуляціям, що визначають більшість рішень про закупівлю в галузі рітейлу.

PCI DSS v4.0 (вимога 12.6)

Вимога 12.6 встановлює обовʼязковий тренінг з обізнаності з безпеки при наймі та щорічно для кожної людини з доступом до середовища даних карток. Підвимоги 12.6.2 і 12.6.3 додають цільовий тренінг з фішингостійкості та контент, специфічний до загроз.

FTC Safeguards Rule

Поправлений FTC Safeguards Rule застосовується до рітейлерів, що пропонують фінансування, магазинні картки або розширені плани оплати. Тренінг персоналу є одним із названих елементів програми інформаційної безпеки за 16 CFR § 314.4(e).

CCPA / CPRA

Каліфорнія вимагає, щоб персонал, який обробляє запити споживачів, був навчений правам конфіденційності та обробці запитів за CCPA § 1798.135(a)(3) і нормам впровадження CPRA.

Читати статтю

Закони штатів про конфіденційність (TX, VA, CO)

Texas TDPSA, Virginia VCDPA та Colorado CPA включають очікування щодо безпеки даних, які повʼязані з тренінгом персоналу. Рітейлери, що працюють у різних штатах, потребують єдиної програми, яка задовольняє найсуворіший варіант.

GDPR (для клієнтів з ЄС)

Будь-який рітейлер, що відправляє товари або просуває їх в ЄС, підпадає під вимоги безпеки GDPR Article 32, які включають тренінг персоналу з обробки даних, реагування на витоки та законної обробки.

Підібрані вправи для галузі рітейлу

Вибрано з каталогу 100+ вправ і пріоритезовано саме для цієї галузі.

Виявлення фішингових електронних листів

Менеджери магазинів і корпоративний персонал отримують найбільший обсяг фішингових листів у рітейлі. Це найвпливовіша вправа для всіх ролей.

Читати посібник

Компрометація бізнес-електронної пошти

Адаптовано для фінансів, платежів і керування магазинами, де відбувається шахрайство з рахунками постачальників і подарунковими картами. Включає крок перевірки, що ловить перенаправлені перекази.

Читати посібник

Смішинг (SMS-фішинг)

Телефони клієнтського сервісу і продавців-консультантів переповнені смішингом про повернення доставки і оновлення відправлень. Відпрацьовує реакцію «повідомити, не торкатися».

Читати посібник

Вішинг (голосовий фішинг)

Хелп-деск і агенти контакт-центру стикаються зі схемами зворотного дзвінка з проханнями скинути облікові дані та завантажити подарункові картки. Тренування відмови від розголошення по телефону.

Читати посібник

Захист від соціальної інженерії

Магазинні, складські і корпоративні ролі стикаються з претекстингом від фейкових аудиторів, постачальників і корпоративного ІТ. Формує звичку «перевірити поза каналом».

Читати посібник

Ризики OAuth у сторонніх застосунках

Платформи e-commerce працюють на маркетплейсах застосунків. Інженери і персонал мерчандайзингу мають читати запити на дозволи перед наданням доступу Shopify, Salesforce або BigCommerce.

Читати посібник
Переглянути повний каталог 100+ вправ

Загрози, які охоплює ця програма

Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.

Phishing

Ransomware

Social Engineering

Поширені запитання

Чи відповідає тренінг RansomLeak вимозі PCI DSS v4.0 12.6?

Так. Каталог відповідає вимозі PCI DSS v4.0 12.6, включно з 12.6.2 (перегляд тренінгу принаймні щорічно і за потреби) і 12.6.3 (тренінг із загроз і слабких місць, ознак компрометації та реагування). Записи про проходження експортуються у форматах, прийнятних для QSA.

Як часто має проводитися PCI-тренінг у рітейлі?

PCI DSS v4.0 вимагає тренінгу при наймі та принаймні раз на 12 місяців для кожної людини з доступом до середовища даних карток. Більшість рітейлерів проводять щорічне повне оновлення плюс квартальні мікромодулі та щомісячні фішинг-симуляції. RansomLeak підтримує всі три ритми.

Кому в рітейлерській організації потрібен цей тренінг?

Кожному співробітнику з доступом до середовища даних карток. Це включає продавців-консультантів, які працюють з POS, агентів контакт-центру, що обробляють повернення і подарункові картки, e-commerce інженерів, фінансовий персонал, ІТ і SOC-команди, а також корпоративний маркетинг, якщо вони працюють з даними CRM або лояльності. Підрядники і сезонний персонал мають паралельні зобовʼязання.

Як ви працюєте з розподіленими магазинами і сезонним персоналом?

Вправи запускаються в будь-якому сучасному браузері без встановлення. Мобільне відтворення підтримує планшети у підсобці і персональні пристрої для сезонного персоналу. Групи призначень та проходження SCORM синхронізуються з вашою LMS, тож районні менеджери можуть відстежувати охоплення на рівні магазину в реальному часі.

Чи інтегрується платформа з нашою LMS або HRIS?

Кожна вправа експортується як SCORM 1.2 та 2004, протестовано з 50+ LMS, включно з Cornerstone, Workday, SAP SuccessFactors, Moodle, Docebo та Litmos. Для рітейлерів без центральної LMS автономна хмарна платформа пропонує SSO, MFA, аналітику в реальному часі та готову до аудиту звітність.

Як виглядають аудиторські докази для QSA?

Записи про проходження по кожному співробітнику, оцінки, час виконання, рольові призначення та карти охоплення тем. Звіти експортуються у PDF, CSV та Excel для перевірки QSA. Сторінка карти відповідності повʼязує кожну вправу з конкретною вимогою і підвимогою PCI DSS.

Як це допомагає з Magecart і e-skimming?

Вправи з OAuth у сторонніх застосунках, розширень браузера і shadow IT відпрацьовують інженерні і мерчандайзингові рішення, що запобігають потраплянню скімерного коду на сторінку оплати. Персонал вчиться розпізнавати несанкціоновані зміни tag manager, підозрілі попередження CSP та встановлення застосунків з надмірними правами.

Першоджерела

Цитовані вище.

Дотичні матеріали

Тренінг з компрометації бізнес-електронної пошти

Читати статтю

Посібник з фішингових симуляцій

Читати статтю

Що таке смішинг у кібербезпеці?

Читати статтю

Посібник з тренінгу з обізнаності з безпеки

Читати статтю

Вимоги до тренінгу співробітників за GDPR

Читати статтю

Подивіться RansomLeak в дії

Спробуйте безкоштовні вправи або замовте демо, щоб побачити аналітику, експорт SCORM, SSO та індивідуальний контент у вашому середовищі.

Замовити демо Спробувати безкоштовні вправи