Vous, en tant qu'utilisateur, êtes la forme de défense la plus cruciale lorsqu'il s'agit de protéger votre organisation et ses clients contre les fraudeurs. Une entreprise est confrontée à d'innombrables attaques de criminels qui tentent de voler les données recherchées des titulaires de cartes et de les utiliser à des fins frauduleuses.
La meilleure défense contre ces fraudeurs consiste à rester vigilant et à agir comme un "pare-feu humain". En suivant ces conseils, vous pouvez contribuer à protéger les données sensibles de votre organisation et de vos clients.
Les transactions sans carte présentent de nombreux risques, car le client et sa carte ne sont pas présents au moment de la transaction. C'est un risque car il est difficile de vérifier physiquement le client au moment de la transaction. Lorsque vous traitez des transactions sans carte, vous devez toujours obtenir le numéro de la carte, sa date d'expiration ainsi que son code de sécurité. Il est également important d'obtenir le nom complet, l'adresse et le numéro de téléphone du titulaire de la carte.
Il est essentiel de se rappeler que vous ne devez jamais stocker le contenu complet de la bande magnétique ou de la puce d'une carte. Les données d'authentification sensibles ne doivent pas être stockées, comme le code de validation de la carte, le code de valeur et le numéro d'identification personnel (PIN) ou tout bloc PIN.
Les fraudeurs utiliseront des "fausses cartes" pour les transactions sans présentation de carte. Il est donc essentiel de s'interroger sur les numéros de cartes séquentiels (par exemple, 1234567) et sur toute transaction effectuée avec des cartes émises à l'étranger. Il est également recommandé de dresser une liste des noms, adresses et adresses IP susceptibles de poser problème. Ces signaux d'alarme peuvent être utilisés par vous et vos collègues pour faire part de vos préoccupations à votre responsable.
Téléphone
L'ingénierie sociale, tout simplement, est l'art de manipuler les gens afin de les amener à fournir des informations confidentielles. Elle peut prendre de nombreuses formes, mais tous les types d'ingénierie sociale sont conçus pour vous amener à faire suffisamment confiance à quelqu'un pour que vous lui donniez les informations qu'il recherche.
Un fraudeur peut vous téléphoner et imiter une personne en position d'autorité ou se faire passer pour un client afin d'obtenir les informations qu'il désire. Les fraudeurs peuvent également utiliser l'ingénierie sociale par téléphone pour récupérer des mots de passe, des noms d'utilisateur, voire des données de titulaires de cartes.
Si vous traitez les données des titulaires de cartes, vous devez être vigilant lors des appels téléphoniques et veiller à vérifier le client. Si vous acceptez des paiements par téléphone, veillez à ne pas vous rendre vulnérable à l'ingénierie sociale. Une méthode pour valider l'identité d'une personne consiste à raccrocher et à rappeler sur un numéro enregistré dans le système de votre entreprise. Ne rappelez pas sur un numéro fourni par la personne pendant l'appel ou sur le numéro d'où elle appelle.
Courriel :
Le courrier électronique n'est pas considéré comme une méthode sûre pour envoyer ou recevoir des informations sensibles et, par conséquent, les informations relatives aux clients ne doivent jamais être envoyées par courrier électronique. Si un client vous envoie les données de sa carte par e-mail, vous devez les supprimer immédiatement sans les traiter. Vous devez informer votre responsable de vos préoccupations verbalement, mais ne transmettez pas ces détails à votre responsable ou à un autre membre du personnel par e-mail.
Téléchargements et mises à jour
Les logiciels malveillants et les virus peuvent être téléchargés par courrier électronique et par d'autres activités en ligne. La norme PCI DSS (Payment Card Industry Data Security Standard) exige que toutes les entreprises qui traitent les données des titulaires de cartes utilisent un logiciel antivirus sur tout système qui traite ces données. Cette exigence vise à limiter le facteur de risque lié au traitement des données des titulaires de cartes.
Il est essentiel que votre organisation maintienne toujours son logiciel antivirus à jour.
Fax
L'utilisation de télécopieurs pour l'envoi et la réception de données de titulaires de cartes n'est pas considérée comme une méthode sûre. Si une unité commerciale doit utiliser un télécopieur, vous devez le faire :
- Utilisez toujours un télécopieur analogique à usage unique. Les appareils multifonctions ne peuvent pas être utilisés car ils stockent souvent toutes les données qui ont été traitées.
- Détruisez immédiatement toute copie électronique et détruisez toute copie physique dès qu'elle n'est plus nécessaire pour les besoins de l'entreprise.
- Les télécopieurs ne doivent pas être placés dans des zones accessibles au public et les télécopies entrantes ne doivent pas être accessibles par des utilisateurs non autorisés.
Bureau clair
Le bureau transparent est la meilleure politique pour protéger toutes les informations sensibles et confidentielles. Elle permet de réduire le risque de violation de la sécurité sur le lieu de travail. Une politique de bureau transparent garantit que toutes les informations confidentielles sont retirées ou mises sous clé lorsque les articles ne sont pas utilisés ou lorsqu'ils ne sont pas sur leur bureau.
Et n'oubliez pas : n'oubliez jamais de faire Ctrl+Alt+Suppr lorsque vous quittez votre siège !
Conclusion
Si votre organisation a besoin d'aide pour sensibiliser les utilisateurs à la fraude et à l'importance du traitement des données des titulaires de cartes, demandez une démonstration de nos cours eLearning sur PCI DSS et le traitement des données.
