Numery sprzedaży w górę? Teraz jest czas na zmniejszenie ryzyka oszustw związanych z kartami kredytowymi.

Rob Bertke, starszy wiceprezes ds. badań i rozwoju, Sage Payment Solutions

Według raportu Departamentu Handlu USA z 13 marca, sprzedaż detaliczna wzrosła w lutym o 1,1%, do 421,4 mld dolarów, co oznacza największy wzrost powierzchni handlowej od września ubiegłego roku. Podwyższone liczby sprzedaży oznaczają dodatkowe transakcje kartami kredytowymi, a co za tym idzie, zwiększone ryzyko oszustw.

Ostatni raport Javelin Strategy & Research wykazał, że od 2010 r. liczba oszustw związanych z kartami kredytowymi wzrosła alarmująco o 87% i przyniosła łączne straty w wysokości około 6 mld USD. Pomimo rosnącej liczby dowodów na tę rosnącą epidemię, straty spowodowane oszustwami związanymi z kartami kredytowymi pozostały przysłowiowym słoniem na sali dla wielu firm.

Organizacje muszą zwiększyć swoją świadomość tego rosnącego zagrożenia i dość prostych kroków, które mogą podjąć, aby się przygotować. Oto pięć wskazówek dla przedsiębiorstw każdej wielkości, o których należy pamiętać podczas poruszania się w klimacie gospodarczym w 2013 roku i później:

1. Natychmiast zająć się każdym naruszeniem. Ważne jest, aby zrozumieć, że nawet jeśli podjęte zostaną wszystkie ostrożne, konserwatywne kroki i zainstalowane zostanie najlepsze zabezpieczenie przetwarzania płatności, naruszenie może nadal mieć miejsce. Jeśli tak się stanie, należy dysponować szczegółową dokumentacją sprzedaży karty kredytowej, do której można powrócić w celu ponownego prześledzenia swoich kroków. Pomoże to w określeniu, kiedy i gdzie naruszenie miało miejsce oraz ograniczy możliwość dodatkowych strat. Co więcej, właściwa ocena początkowego ataku może ostatecznie dostarczyć informacji o źródle naruszenia.

2. Utrzymanie zgodności z branżą kart płatniczych (PCI). Nie tylko jest to niezgodne z przepisami dotyczącymi marek kart, jeśli nie jesteś zgodny z PCI przy przyjmowaniu kart kredytowych lub debetowych, ale jest to również bezwzględna konieczność w dzisiejszym klimacie gospodarczym. Upewnij się, że bezpieczeństwo Twojego oprogramowania do przetwarzania płatności jest aktualne i posiada certyfikat Payment Application Data Security Standard (PA-DSS) oraz że Twoja firma otrzymuje certyfikat Payment Card Industry Data Security Standard (PCI-DSS).

Certyfikacja PCI zapewnia poziom zaufania i pewności, że procesor dopuścił i przyjął solidny zestaw najlepszych praktyk w zakresie zabezpieczenia przetwarzanych informacji podczas dokonywania płatności kartą kredytową. Nie ma tu żadnej srebrnej kuli. Jesteś odpowiedzialny za ochronę informacji dotyczących kart kredytowych swoich klientów, tak samo jak powinieneś chronić wszystkie dane swoich klientów.

Wymagana głębokość audytu będzie zależeć od wielkości przedsiębiorstwa i systemów, ale pełny audyt PCI zaoferuje kartę wyników dla całego środowiska płatności w przedsiębiorstwie, w tym wszystkich podłączonych aplikacji back-office, pozwalając na dokonanie krytycznych zmian zanim złodzieje ujawnią luki w zabezpieczeniach.

3. W przypadku wszystkich danych wrażliwych należy stosować szyfrowanie typu “end-to-end”. Szyfrowanie typu “end-to-end” (E2EE) sprowadza się zasadniczo do szyfrowania danych przesyłanych z jednego urządzenia do drugiego. Zaczyna się od urządzeń do przechwytywania płatności i przechodzi aż do autoryzowania transakcji. Technologia E2EE zapobiega elektronicznemu kradzieżowi danych z konta karty oraz zmniejsza koszty i wpływ na Twoją firmę w celu uzyskania certyfikatu PCI. Mobilne urządzenia płatnicze firmy, terminale kart kredytowych, aplikacje programowe i portale płatności online wymagają wbudowanej funkcji szyfrowania podczas przesyłania informacji o kliencie. Twoja firma powinna wybrać dostawcę zaawansowanych technicznie płatności. Poszukaj partnera, który obsługuje technologię E2EE. Musisz tu zrównoważyć koszty w stosunku do produktu i usługi. Korzystanie z usług taniego dostawcy może odbywać się kosztem ograniczonej funkcjonalności produktu, potencjalnych luk bezpieczeństwa i niższego poziomu obsługi klienta.

4. Zapobiegać manipulacjom. Upewnij się, że wszyscy pracownicy, którym powierzono odpowiedzialność za przyjmowanie kart kredytowych i debetowych od klientów, dobrze rozumieją wygląd i funkcjonalność urządzeń do przetwarzania płatności, z których korzystają. Oszuści często próbują manipulować sprzętem do przetwarzania płatności firmy w celu kradzieży informacji o kartach kredytowych. Zmieniony sprzęt zazwyczaj składa się z niewielkiego kawałka sprzętu, który jest fizycznie podłączony do samego terminalu. Uważny pracownik, który wie, czego szukać, powinien być w stanie łatwo zidentyfikować dodatkowy element dołączony do urządzenia lub dziwnie działające oprogramowanie.

5. Powstrzymać się od przechowywania numerów kart kredytowych. Aby uniknąć jednego z największych zagrożeń związanych ze zgodnością PCI, należy zrobić wszystko, co w naszej mocy, aby nie przechowywać numerów kart kredytowych. Poszukaj dostawcy usług płatniczych, którego platforma została zaprojektowana w taki sposób, aby informacje o kartach kredytowych nigdy nie były przechowywane w Twojej firmie ani w oprogramowaniu biznesowym. Twój dostawca powinien być w stanie przetworzyć transakcję, a następnie przechowywać informacje o kartach kredytowych klientów w bezpiecznym “skarbcu” w chmurze. Powinien on dostarczyć Ci zaszyfrowany identyfikator, tak więc gdy chcesz przeprowadzić kolejną transakcję dla tego samego klienta, Twoje oprogramowanie może przekazać dostawcy płatności zaszyfrowany identyfikator, tak aby Twoja firma nigdy nie miała kontaktu z przechowywanymi danymi karty kredytowej.

Rozsądny jest zdrowy poziom optymizmu ekonomicznego, ale krytyczne jest podjęcie niezbędnych środków ostrożności w celu ochrony aktywów i bezpieczeństwa Twojej firmy. Zastosuj te wskazówki, aby upewnić się, że oszuści z kart kredytowych nie mają możliwości kradzieży owoców twojej pracy.

O autorze:

Rob Bertke jest starszym wiceprezesem ds. badań i rozwoju w Sage Payment Solutions, oddziale Sage North America. Od piętnastu lat firma Bertke działa w branży płatności komercyjnych i handlu elektronicznego business-to-business. W 1995 r. pomógł Wachovia Bank wprowadzić na rynek pierwsze produkty z zakresu kart komercyjnych, tworząc rozwiązanie technologiczne do kodowania transakcji kartowych w księdze głównej (GL) oraz raportowania informacji zarządczych. Opuścił Wachovię w 1997 roku, aby dołączyć do zespołu American Express Technical Consulting, gdzie był członkiem komitetu ANSI X12 opracowującego transakcje elektronicznej wymiany danych specyficznej dla kart (EDI) oraz pełnił funkcję menedżera produktu i konsultanta technicznego dla kluczowych inicjatyw e-commerce.