سرقت اطلاعات امروزه تجارتی بزرگ است و هیچ شرکتی از آن مصون نیست. از حملات مجرمان سایبری که تلاش میکنند اطلاعات مشتریان را بدزدند تا سوء استفاده کارکنان از اطلاعات مشتریان، چندین حوزه ریسک کلیدی وجود دارد که باید برای حفاظت از اطلاعات مشتریان خود در نظر بگیرید. مشاوره فرهنگی مراحل افزایش امنیت دادههایتان را بررسی میکند
حفاظت از مشتریان در برابر کلاهبرداری همواره از دغدغههای اصلی، به ویژه در صنعت خدمات مالی بوده است. من شاهد و شنوندهی بسیاری از نقضهای امنیتی بودهام که در آنها دادههای حساس از دست رفتهاند. متاسفانه، نقضهای امنیتی بسیار بیشتر از آنچه باید باشد، اتفاق میافتند و این مساله، جدیت بسیاری از کسبوکارها را در حفاظت از دادههای مشتریان خود در برابر فرصتهای روزمره کلاهبرداری زیر سوال میبرد.
تراشه و پین همیشه برنده نیست.
استفاده از تراشه و پین در راستای کاهش تقلبهای کارت بانکی گامی موثر بود، اما موارد بسیاری وجود دارد که ارائه اطلاعات کامل کارت از طریق تلفن ضروری است؛ مثلاً پرداخت حق بیمه خودرو یا پرداخت بدهی کارت اعتباری یا فروشگاه. در این موارد، بدون تدابیر امنیتی مناسب، در واقع مشتریان خود را بدون اطلاع در معرض خطر کلاهبرداری قرار میدهید.
با وجود اطمینانهایی که کسبوکار شما بهصورت آنلاین ارائه میدهد، ممکن است در پشت صحنه، نقضهای امنیتی قابل توجهی بدون کشف باقی بمانند. عدهای از مراکز تماس در این مورد گناهکار شناخته شدهاند و این موضوع، استفاده از تضمینهای پردازش آنلاین را در حالی که امنیت آفلاین بسیار ضعیف است، زیر سوال میبرد. و نگرانکنندهتر اینکه، اگر مشتریان از نقض امنیتی مرتبط با شرکت شما مطلع شوند، اعتماد خود را بهطور کامل از دست میدهند و مطمئن خواهند شد که همه از این مشکل آگاه شوند.
نقصهای امنیتی آفلاین آشکار شدند
بر اساس مرکز پاکسازی حقوق حریم خصوصی بین ژانویه ۲۰۰۵ تا ژانویه ۲۰۱۷ بیش از ۹۰۶ میلیون رکورد حاوی اطلاعات حساس به سرقت رفت. این اطلاعات نشان میدهند که آسیبپذیریها میتوانند در هر مرحله از فرآیند فروش ظاهر شوند؛ از جمله در دستگاههای نقطه فروش، رایانههای شخصی یا سرورها، نقاط اتصال بیسیم یا برنامههای خرید آنلاین، سیستمهای ذخیرهسازی کاغذی و انتقالهای ناامن اطلاعات دارندگان کارت به ارائهدهندگان خدمات.
تمرکز بر افزایش امنیت آنلاین، احتمالا باعث شده بسیاری از مشتریان از پروتکلهای امنیتی آفلاین غافل شوند و در نتیجه مراکز تماس در مورد فرآیندهای آفلاین بیتوجه شدهاند. مطمئنم بخش زیادی از مشتریان با دریافت تماس از یک تامینکننده معتبر، بدون تامل اطلاعات کارت خود را ارائه میدهند، زیرا تصور میکنند همان سطح امنیتی که در فضای آنلاین انتظار دارند، در اینجا هم برقرار است. مشتریان نمیتوانند از فرآیندهای امنیتی مراکز تماس مطلع باشند و در نتیجه روزانه اطلاعات کارت خود، از جمله کد امنیتی و تاریخ انقضا را در اختیار کلاهبرداران بالقوه قرار میدهند.
تمرکز بر پروتکلهای امنیتی وب باعث شده است که اصول اولیه در حوزههای عملیاتی داخلی اغلب فراموش شوند. یا بسیاری متوجه شدهاند که سیاستها و رویهها اجرا شدهاند، اما پایدار نبودهاند، بنابراین امکان نقض استانداردهای صنعتی و خطر کلاهبرداری بارها و بارها پدیدار میشود.
مرکزهای تماس هدف آسانی هستند.
مرکز تماسهایی که با دادههای مشتریان سروکار دارند و اطلاعات پرداخت آنها را جمعآوری میکنند، باید سیاستها و رویههای امنیتی دقیقی داشته باشند. جلوگیری از سوء استفاده از اطلاعات مشتری با این حال، هنوز نمونههایی از عملیات وجود دارد که در آنها اجازه استفاده از تلفن همراه در مرکز تماس داده میشود و میتوان دادههای کارت پرداخت را پس از اتمام تراکنش خاص، در زمان دیگری بهطور کامل بازیابی کرد.
بیبیسی برای افشای ضعفهای روشهای مراکز تماس، خبرنگاری را به صورت مخفی فرستاد. این خبرنگار به راحتی استخدام شد، آموزشهای اولیه را دید و خیلی زود مشغول پاسخگویی به تماسها و دستکاری اطلاعات مشتریان شد. موارد مشابه زیادی وجود داشته و من از موردی آگاهم که در آن مرکز تماس با وجود تلفنهای همراه، اطلاعات کارتهای اعتباری را از طریق تلفن دریافت میکرد. حتی پس از اتمام تراکنش، جزئیات کامل قابل بازیابی بودند و کارمند مرکز تماس میتوانست بعدا اطلاعات را یادداشت کند.
این خطر زمانی بیشتر میشود که کار به خارج از سازمان سپرده شود و سازمانها باید از رعایت کامل استانداردهای امنیتی اطمینان حاصل کنند؛ چرا که اگرچه ممکن است پیمانکار مقصر باشد، اما در نهایت این دادههای شما هستند و شما باید از آنها محافظت کنید. اما چگونه؟
برای پذیرش پرداختهای کارت، استانداردهای ویژهای مانند استاندارد امنیت دادههای حسابهای پرداخت (PCI DSS) وجود دارد. PCI DSS مجموعهای از الزامات جامع برای ارتقای امنیت اطلاعات حسابهای پرداخت است که توسط برندهای بنیانگذار پرداخت ایجاد شده است. شورای استانداردهای امنیتی پرداخت که شامل شرکتهای American Express، Discover Financial Services، JCB International، MasterCard Worldwide و Visa Inc. International میشود تا به اتخاذ گسترده اقدامات امنیتی دادههای یکسان در سطح جهانی کمک کند.
تمام مراکز تماس باید استانداردهای داده PCI را رعایت کنند، اما برخی سازمانها هنوز به شدت از این دستورالعملها عقب هستند. بازبینی فرایندهای فعلی خودتان یا فرایندهای شرکتهای برونسپاریتان برای سنجش میزان انطباق مرکزتان، ضروری است.
دستورالعملهای PCI DSS
- فایروال را نصب و پیکربندی کنید تا از اطلاعات دارندگان کارت محافظت شود.
- از رمزهای پیشفرض ارائه شده توسط فروشنده برای رمزهای سیستم و سایر پارامترهای امنیتی استفاده نکنید.
- اطلاعات ذخیره شده دارندگان کارت را محافظت کنید.
- رمزنگاری اطلاعات دارنده کارت در شبکههای عمومی و باز
- از نرمافزار یا برنامههای ضدویروس استفاده کنید و آنها را مرتباً بهروزرسانی نمایید.
- سیستمها و برنامههای امنیتی را توسعه و نگهداری کنید.
- دسترسی به اطلاعات دارندگان کارت را تنها به افراد و بخشهای نیازمند محدود کنید.
- به هر فردی که به کامپیوتر دسترسی دارد، یک شناسه منحصر به فرد اختصاص دهید.
- دسترسی فیزیکی به اطلاعات دارندگان کارت را محدود کنید.
- ردیابی و نظارت بر تمام دسترسیها به منابع شبکه و اطلاعات دارندگان کارت.
- سیستمها و فرآیندهای امنیتی را بهطور مرتب آزمایش کنید.
- سیاستی برای امنیت اطلاعات کارمندان و پیمانکاران تدوین و اجرا کنید.
کلاهبرداری در دنیای غیرمجازی همواره موضوع داغی خواهد بود، پس آماده باشید تا با هر مشکلی که ممکن است از بررسی اقدامات امنیتی شما پیش بیاید، روبرو شوید و اقدامات لازم را انجام دهید. نادیده گرفتن مشکل آن را حل نمیکند. خبرهای بد خیلی سریع پخش میشوند، بنابراین مطمئن باشید که اگر مشکلات را الان حل نکنید، مشتریان از نقضهای امنیتی باخبر خواهند شد.