Tu, come utente, sei la forma di difesa più importante quando si tratta di proteggere la tua organizzazione e i suoi clienti dai truffatori. Un'azienda dovrà affrontare innumerevoli attacchi da parte di criminali che tentano di rubare i dati ricercati dei titolari di carta e di usarli per scopi fraudolenti.
Assicurarsi di rimanere vigili e agire come "firewall umano" rimane la migliore forma di difesa contro questi truffatori. Seguendo i consigli principali delineati puoi aiutare a salvaguardare i dati sensibili della tua organizzazione e dei tuoi clienti.
Ci sono molti rischi associati alle transazioni senza carta, poiché il cliente e la sua carta non sono presenti quando la transazione ha luogo. Questo è un rischio perché è difficile verificare fisicamente il cliente al momento della transazione. Quando si elaborano transazioni con carta non presente è necessario ottenere sempre il numero della carta, la data di scadenza e il codice di sicurezza della carta. È anche importante ottenere il nome completo del titolare della carta, l'indirizzo e il numero di telefono.
È fondamentale ricordare che non si dovrebbe mai memorizzare l'intero contenuto della banda magnetica o del chip delle carte. I dati sensibili di autenticazione non devono essere memorizzati come il codice di convalida della carta, il codice di valore e il numero di identificazione personale (PIN) o qualsiasi blocco di PIN.
I truffatori useranno "carte contraffatte" per le transazioni senza carta, quindi è essenziale mettere in dubbio qualsiasi numero di carta sequenziale (per esempio, 1234567) e qualsiasi transazione fatta con carte emesse all'estero. È anche buona pratica fare una lista di possibili nomi, indirizzi e indirizzi IP problematici. Queste bandiere rosse possono essere usate da te e dai tuoi colleghi per evidenziare qualsiasi preoccupazione al tuo manager.
Telefono
L'ingegneria sociale, molto semplicemente, è l'arte di manipolare le persone per indurle a fornire informazioni riservate. Può assumere molte forme, ma tutti i tipi di ingegneria sociale sono progettati per ingannare l'utente a fidarsi di qualcuno abbastanza da fargli dare le informazioni che cerca.
Un truffatore potrebbe telefonarti e imitare qualcuno in una posizione di autorità o impersonare un cliente per ottenere le informazioni che vuole. I truffatori potrebbero anche usare il social engineering telefonico come metodo per recuperare password, nomi utente e persino dati di titolari di carta.
Se hai a che fare con i dati dei titolari di carta, devi essere vigile quando hai a che fare con le telefonate e devi fare attenzione a verificare il cliente. Se prendete pagamenti per telefono, fate attenzione a non lasciarvi vulnerabili all'ingegneria sociale. Un metodo per convalidare l'identità di un individuo è riattaccare e richiamare su un numero memorizzato nel sistema della tua azienda. Non richiamare su nessun numero fornito dall'individuo durante la chiamata, o sul numero da cui sta chiamando.
L'email non è considerata un metodo sicuro per inviare o ricevere informazioni sensibili e di conseguenza, le informazioni dei clienti non dovrebbero mai essere inviate via email. Se un cliente ti invia i dati della sua carta via e-mail, devi cancellarli immediatamente senza elaborarli. Dovresti informare il tuo manager delle tue preoccupazioni verbalmente, ma non inoltrare questi dettagli al tuo manager o a qualsiasi altro membro del personale via e-mail.
Download e aggiornamenti
Malware e virus possono essere scaricati tramite e-mail e altre attività online. PCI DSS (Payment Card Industry Data Security Standard) richiede a tutte le aziende che trattano i dati dei titolari di carta di credito di utilizzare un software antivirus su qualsiasi sistema che elabora i dati dei titolari di carta. Questo requisito mira a limitare il fattore di rischio del trattamento dei dati dei titolari di carta.
È fondamentale che la vostra organizzazione mantenga sempre aggiornato il suo software antivirus.
Fax
L'uso di macchine fax per l'invio e la ricezione di dati di titolari di carta non è considerato un metodo sicuro. Se un'unità aziendale deve utilizzare un fax, allora è necessario:
- Usate sempre un fax analogico monouso. Le macchine multifunzione non possono essere utilizzate perché spesso memorizzano tutti i dati che sono stati elaborati.
- Distruggete immediatamente tutte le copie elettroniche e distruggete tutte le copie fisiche una volta che non sono più necessarie per gli scopi aziendali.
- Gli apparecchi fax non devono essere collocati in aree accessibili al pubblico e i fax in entrata non devono essere accessibili a utenti non autorizzati.
Scrivania sgombra
Clear desk è la migliore politica per salvaguardare tutte le informazioni sensibili e confidenziali. Aiuta a ridurre il rischio di una violazione della sicurezza sul posto di lavoro. Una politica di clear desk assicurerà che tutte le informazioni confidenziali saranno rimosse o chiuse a chiave mentre gli oggetti non sono in uso o sono lontani dalla loro scrivania.
E ricordate: ricordatevi sempre di Ctrl+Alt+Canc quando lasciate il vostro posto!
Conclusione
Se la vostra organizzazione ha bisogno di aiuto per educare gli utenti alle frodi e all'importanza di gestire i dati dei titolari di carta, richiedete una demo dei nostri corsi di eLearning su PCI DSS e trattamento dei dati.