Som bruger er du den mest afgørende form for forsvar, når det gælder om at beskytte din organisation og dens kunder mod svindlere. En virksomhed vil blive udsat for utallige angreb fra kriminelle, der forsøger at stjæle eftertragtede kortholderdata og bruge dem til svigagtige formål.
Det bedste forsvar mod disse svindlere er fortsat at sikre, at du er på vagt og fungerer som den "menneskelige firewall". Ved at følge de bedste tips kan du hjælpe med at beskytte din organisation og dine kunders følsomme data.
Der er mange risici forbundet med transaktioner uden kort, da kunden og hans kort ikke er til stede, når transaktionen finder sted. Dette er en risiko, da det er svært at verificere kunden fysisk på transaktionstidspunktet. Når du behandler kort-not-present-transaktioner, skal du altid indhente kortnummeret, udløbsdatoen samt kortets sikkerhedskode. Det er også vigtigt at få kortholderens fulde navn, adresse og telefonnummer.
Det er vigtigt at huske, at du aldrig bør gemme hele indholdet af et kort med magnetstribe eller chip. Følsomme autentifikationsdata må ikke gemmes, f.eks. kortvalideringskode, værdikode og personligt identifikationsnummer (PIN) eller PIN-blokeringer.
Svindlere vil bruge "falske kort" til transaktioner med kort, der ikke er til stede, så det er vigtigt at sætte spørgsmålstegn ved alle kortnumre med fortløbende numre (f.eks. 1234567) og alle transaktioner foretaget med kort udstedt i udlandet. Det er også god praksis at lave en liste over mulige problemnavne, adresser og IP-adresser. Disse røde flag kan bruges af dig og dine kolleger til at fremhæve eventuelle bekymringer over for din chef.
Telefon
Social engineering er ganske enkelt kunsten at manipulere folk for at få dem til at give fortrolige oplysninger. Det kan antage mange former, men alle typer social engineering er designet til at narre dig til at stole så meget på nogen, at du giver dem de oplysninger, som de søger.
En svindler kan ringe til dig og efterligne en person i en autoritetsposition eller udgive sig for at være en kunde for at få de oplysninger, som han/hun ønsker. Svindlere kan også bruge social engineering på telefonen som en metode til at få adgangskoder, brugernavne og endda kortholderdata.
Hvis du har med kortholderdata at gøre, skal du være opmærksom, når du modtager telefonopkald, og du skal sørge for at verificere kunden. Hvis du tager imod betalinger over telefonen, skal du være opmærksom på, at du ikke gør dig sårbar over for social engineering. En metode til at validere en persons identitet er at lægge på og besvare opkaldet på et nummer, der er gemt i din virksomheds system. Du må ikke ringe tilbage til dem på et nummer, som personen har oplyst under opkaldet, eller på det nummer, de ringer fra.
E-mail anses ikke for at være en sikker metode til at sende eller modtage følsomme oplysninger, og derfor bør kundeoplysninger aldrig sendes via e-mail. Hvis en kunde sender dig sine kortoplysninger pr. e-mail, skal du slette dem straks uden at behandle dem. Du bør informere din chef mundtligt om dine bekymringer, men du må ikke videresende disse oplysninger til din chef eller andre medarbejdere via e-mail.
Downloads og opdateringer
Malware og virus kan downloades via e-mail og andre onlineaktiviteter. PCI DSS (Payment Card Industry Data Security Standard) kræver, at alle virksomheder, der håndterer kortholderdata, skal bruge et antivirusprogram på alle systemer, der behandler kortholderdata. Dette krav har til formål at begrænse risikofaktoren i forbindelse med behandling af kortindehaveroplysninger.
Det er afgørende, at din organisation altid holder sin antivirus-software opdateret.
Fax
Brug af faxmaskiner til at sende og modtage kortindehaveroplysninger anses ikke for at være en sikker metode. Hvis en forretningsenhed skal bruge en faxmaskine, skal du:
- Brug altid en analog faxmaskine til et enkelt formål. Multifunktionsmaskiner kan ikke bruges, da de ofte gemmer alle de data, der er blevet behandlet.
- Ødelæg straks alle elektroniske kopier, og destruér alle fysiske kopier, når de ikke længere er nødvendige for virksomheden.
- Faxmaskiner må ikke placeres i offentligt tilgængelige områder, og uautoriserede brugere må ikke have adgang til indgående faxer.
Rydde skrivebordet
Clear desk er den bedste politik til at beskytte alle følsomme og fortrolige oplysninger. Det er med til at mindske risikoen for sikkerhedsbrud på arbejdspladsen. En politik for et klart skrivebord sikrer, at alle fortrolige oplysninger fjernes eller låses væk, mens de ikke er i brug eller ikke er på skrivebordet.
Og husk: husk altid at Ctrl+Alt+Slet, når du forlader din plads!
Konklusion
Hvis din organisation har brug for hjælp til at uddanne brugerne om svindel og vigtigheden af at håndtere kortholderdata, kan du anmode om en demo af vores eLearning-kurser om PCI DSS og databehandling.