O utilizador, como utilizador, é a forma mais crucial de defesa quando se trata de proteger a sua organização e os seus clientes contra os autores de fraudes. Uma empresa enfrentará inúmeros ataques de criminosos que estão a tentar roubar dados procurados de titulares de cartões e utilizá-los para fins fraudulentos.
Garantir que se mantém vigilante e actua como "firewall humano" continua a ser a melhor forma de defesa contra estes autores de fraudes. Ao seguir as principais dicas delineadas pode ajudar a salvaguardar os dados sensíveis da sua organização e dos seus clientes.
Existem muitos riscos associados a transacções sem cartão, uma vez que o cliente e o seu cartão não estão presentes quando a transacção tem lugar. Este é um risco, pois é difícil verificar fisicamente o cliente no momento da transacção. Ao processar transacções com cartão não presente deve sempre obter o número do cartão, a data de validade, bem como o código de segurança do cartão. É também importante obter o nome completo, morada e número de telefone do titular do cartão.
É crucial lembrar que nunca se deve armazenar o conteúdo completo de qualquer cartão com banda magnética ou chip. Os dados de autenticação sensíveis não devem ser armazenados, tais como código de validação do cartão, código de valor e número de identificação pessoal (PIN) ou qualquer bloco de PIN.
Os infractores utilizarão "cartões falsificados" para transacções de cartões não presentes, pelo que é essencial questionar quaisquer números sequenciais de cartões (por exemplo, 1234567) e quaisquer transacções feitas a partir de cartões emitidos no estrangeiro. É também boa prática fazer uma lista de possíveis nomes de problemas, endereços e endereços IP. Estas bandeiras vermelhas podem ser utilizadas por si e pelos seus colegas para realçar quaisquer preocupações que possa ter com o seu gestor.
Telefone
A engenharia social, muito simplesmente, é a arte de manipular as pessoas de modo a levá-las a fornecer informações confidenciais. Pode assumir muitas formas, mas todos os tipos de engenharia social são concebidos para o enganar a confiar o suficiente em alguém para que este forneça a informação que procura.
Um defraudador pode telefonar-lhe e imitar alguém numa posição de autoridade ou fazer-se passar por um cliente para obter a informação que este deseja. Os fraudadores podem também utilizar a engenharia social telefónica como método para recuperar palavras-passe, nomes de utilizador e até dados do titular do cartão.
Se lidar com dados do titular do cartão, deve estar vigilante ao lidar com chamadas telefónicas e deve ter o cuidado de verificar o cliente. Se estiver a receber pagamentos por telefone, tenha cuidado para não se deixar vulnerável à engenharia social. Um método de validação da identidade de um indivíduo é desligar e devolver a sua chamada num número que está armazenado no sistema da sua empresa. Não lhes ligue de volta em qualquer número fornecido pelo indivíduo durante a chamada, ou no número de onde ele está a ligar.
O correio electrónico não é considerado um método seguro para enviar ou receber informação sensível e, como resultado, a informação do cliente nunca deve ser enviada por correio electrónico. Se um cliente lhe enviar os dados do seu cartão por correio electrónico, então deverá apagá-los imediatamente sem os processar. Deve informar verbalmente o seu gestor das suas preocupações, mas não encaminhar estes dados para o seu gestor ou qualquer outro membro do pessoal por correio electrónico.
Downloads e actualizações
O malware e os vírus podem ser descarregados através de correio electrónico e outras actividades em linha. O PCI DSS (Payment Card Industry Data Security Standard) requer que todas as empresas que lidam com dados de titulares de cartões de pagamento utilizem um software anti-vírus em qualquer sistema que processe dados de titulares de cartões de pagamento. Este requisito visa limitar o factor de risco do processamento de dados do titular do cartão.
É crucial que a sua organização mantenha sempre actualizado o seu software antivírus.
Fax
A utilização de aparelhos de fax para o envio e recepção de dados do titular do cartão não é considerada um método seguro. Se uma unidade de negócio tiver de utilizar um aparelho de fax, então deverá fazê-lo:
- Utilizar sempre um aparelho de fax analógico com um único objectivo. As máquinas multifunções não podem ser utilizadas porque muitas vezes armazenam todos os dados que foram processados.
- Destruir imediatamente quaisquer cópias electrónicas e destruir quaisquer cópias físicas, uma vez que já não sejam necessárias para fins comerciais.
- Os aparelhos de fax não devem ser colocados em áreas acessíveis ao público e os faxes recebidos não devem ser acessíveis por utilizadores não autorizados.
Limpar secretária
Clear desk é a melhor política para salvaguardar todas as informações sensíveis e confidenciais. Ajuda a reduzir o risco de uma quebra de segurança no local de trabalho. Uma política de balcão limpo assegurará que toda a informação confidencial será removida ou trancada enquanto os artigos não estiverem a ser utilizados ou estiverem fora da sua secretária.
E lembre-se: lembre-se sempre de Ctrl+Alt+Delete quando sair do seu lugar!
Conclusão
Se a sua organização precisar de ajuda na educação dos utilizadores sobre fraude e a importância do tratamento dos dados dos titulares de cartões, solicite uma demonstração dos nossos cursos de eLearning sobre PCI DSS e Tratamento de Dados.