Sie als Nutzer sind die wichtigste Verteidigungslinie, wenn es darum geht, Ihr Unternehmen und seine Kunden vor Betrügern zu schützen. Ein Unternehmen ist unzähligen Angriffen von Kriminellen ausgesetzt, die versuchen, die begehrten Karteninhaberdaten zu stehlen und für betrügerische Zwecke zu verwenden.
Die beste Verteidigung gegen diese Betrüger ist es, wachsam zu sein und als "menschliche Firewall" zu agieren. Wenn Sie die oben genannten Tipps befolgen, können Sie die sensiblen Daten Ihres Unternehmens und Ihrer Kunden schützen.
Es gibt viele Risiken im Zusammenhang mit kartenlosen Transaktionen, da der Kunde und seine Karte bei der Transaktion nicht anwesend sind. Dies stellt ein Risiko dar, da es schwierig ist, den Kunden zum Zeitpunkt der Transaktion physisch zu überprüfen. Bei der Abwicklung von Transaktionen mit nicht-gegenwärtigen Karten müssen Sie immer die Kartennummer, das Gültigkeitsdatum und den Sicherheitscode der Karte abfragen. Es ist auch wichtig, den vollständigen Namen, die Adresse und die Telefonnummer des Karteninhabers zu erfahren.
Denken Sie unbedingt daran, dass Sie niemals den gesamten Inhalt des Magnetstreifens oder Chips einer Karte speichern dürfen. Sensible Authentifizierungsdaten dürfen nicht gespeichert werden, wie z. B. der Kartenprüfcode, der Wertcode, die persönliche Identifikationsnummer (PIN) oder PIN-Blöcke.
Betrüger verwenden "gefälschte Karten" für Transaktionen, bei denen die Karte nicht anwesend ist. Daher ist es wichtig, alle fortlaufenden Kartennummern (z. B. 1234567) und alle Transaktionen, die mit im Ausland ausgestellten Karten getätigt wurden, zu hinterfragen. Es empfiehlt sich auch, eine Liste möglicher problematischer Namen, Adressen und IP-Adressen zu erstellen. Anhand dieser "roten Fähnchen" können Sie und Ihre Kollegen Ihren Vorgesetzten auf eventuelle Bedenken hinweisen.
Telefon
Social Engineering ist ganz einfach die Kunst, Menschen zu manipulieren, um sie dazu zu bringen, vertrauliche Informationen preiszugeben. Es kann viele Formen annehmen, aber alle Arten von Social Engineering zielen darauf ab, Sie dazu zu bringen, jemandem so viel Vertrauen zu schenken, dass Sie die gesuchten Informationen preisgeben.
Ein Betrüger könnte Sie anrufen und sich als eine autorisierte Person ausgeben oder sich als Kunde ausgeben, um an die gewünschten Informationen zu gelangen. Betrüger könnten auch Social Engineering am Telefon als Methode nutzen, um Passwörter, Benutzernamen und sogar Karteninhaberdaten zu erlangen.
Wenn Sie mit Daten von Karteninhabern zu tun haben, müssen Sie bei Telefonanrufen wachsam sein und darauf achten, dass der Kunde verifiziert wird. Wenn Sie Zahlungen per Telefon entgegennehmen, sollten Sie darauf achten, dass Sie sich nicht anfällig für Social Engineering machen. Eine Methode zur Überprüfung der Identität einer Person besteht darin, aufzulegen und den Anrufer unter einer im System Ihres Unternehmens gespeicherten Nummer zurückzurufen. Rufen Sie nicht unter einer Nummer zurück, die der Anrufer während des Gesprächs angegeben hat, oder unter der Nummer, von der er angerufen hat.
E-Mail gilt nicht als sichere Methode zum Versenden oder Empfangen sensibler Daten, weshalb Kundendaten niemals per E-Mail versendet werden sollten. Wenn ein Kunde Ihnen seine Kartendaten per E-Mail schickt, müssen Sie diese sofort löschen, ohne sie zu bearbeiten. Informieren Sie Ihren Vorgesetzten mündlich über Ihre Bedenken, aber leiten Sie diese Informationen nicht per E-Mail an Ihren Vorgesetzten oder einen anderen Mitarbeiter weiter.
Downloads und Aktualisierungen
Malware und Viren können über E-Mails und andere Online-Aktivitäten heruntergeladen werden. PCI DSS (Payment Card Industry Data Security Standard) verlangt von allen Unternehmen, die mit Karteninhaberdaten arbeiten, die Verwendung einer Antivirensoftware auf allen Systemen, die Karteninhaberdaten verarbeiten. Diese Anforderung zielt darauf ab, den Risikofaktor bei der Verarbeitung von Karteninhaberdaten zu begrenzen.
Es ist wichtig, dass Ihr Unternehmen seine Antiviren-Software immer auf dem neuesten Stand hält.
Fax
Die Verwendung von Faxgeräten für das Senden und Empfangen von Karteninhaberdaten gilt nicht als sichere Methode. Wenn eine Geschäftseinheit ein Faxgerät verwenden muss, müssen Sie dies tun:
- Verwenden Sie immer ein analoges Einzweck-Faxgerät. Multifunktionsgeräte können nicht verwendet werden, da sie oft alle verarbeiteten Daten speichern.
- Vernichten Sie alle elektronischen Kopien unverzüglich und vernichten Sie alle physischen Kopien, sobald sie für geschäftliche Zwecke nicht mehr benötigt werden.
- Faxgeräte dürfen nicht in öffentlich zugänglichen Bereichen aufgestellt werden, und eingehende Faxe dürfen für Unbefugte nicht zugänglich sein.
Schreibtisch aufräumen
Ein aufgeräumter Schreibtisch ist die beste Maßnahme zum Schutz aller sensiblen und vertraulichen Informationen. Sie trägt dazu bei, das Risiko eines Sicherheitsverstoßes am Arbeitsplatz zu verringern. Eine "Clear Desk"-Richtlinie stellt sicher, dass alle vertraulichen Informationen entfernt oder weggeschlossen werden, wenn die Gegenstände nicht in Gebrauch sind oder sich nicht auf dem Schreibtisch befinden.
Und denken Sie daran: Denken Sie immer daran, Strg+Alt+Entf zu drücken, wenn Sie Ihren Platz verlassen!
Schlussfolgerung
Wenn Ihr Unternehmen Unterstützung bei der Aufklärung der Benutzer über Betrug und die Bedeutung des Umgangs mit Karteninhaberdaten benötigt, fordern Sie eine Demo unserer eLearning-Kurse zu PCI DSS und Datenverarbeitung an.
