از مشتریان خود در برابر کلاهبرداری محافظت کنید

سرقت اطلاعات امروزه تجارتی بزرگ است و هیچ شرکتی از آن مصون نیست. از حملات مجرمان سایبری که تلاش می‌کنند اطلاعات مشتریان را بدزدند تا سوء استفاده کارکنان از اطلاعات مشتریان، چندین حوزه ریسک کلیدی وجود دارد که باید برای حفاظت از اطلاعات مشتریان خود در نظر بگیرید. مشاوره فرهنگی مراحل افزایش امنیت داده‌هایتان را بررسی می‌کند

حفاظت از مشتریان در برابر کلاهبرداری همواره از دغدغه‌های اصلی، به ویژه در صنعت خدمات مالی بوده است. من شاهد و شنونده‌ی بسیاری از نقض‌های امنیتی بوده‌ام که در آن‌ها داده‌های حساس از دست رفته‌اند. متاسفانه، نقض‌های امنیتی بسیار بیشتر از آنچه باید باشد، اتفاق می‌افتند و این مساله، جدیت بسیاری از کسب‌وکارها را در حفاظت از داده‌های مشتریان خود در برابر فرصت‌های روزمره کلاهبرداری زیر سوال می‌برد.

تراشه و پین همیشه برنده نیست.

استفاده از تراشه و پین در راستای کاهش تقلب‌های کارت بانکی گامی موثر بود، اما موارد بسیاری وجود دارد که ارائه اطلاعات کامل کارت از طریق تلفن ضروری است؛ مثلاً پرداخت حق بیمه خودرو یا پرداخت بدهی کارت اعتباری یا فروشگاه. در این موارد، بدون تدابیر امنیتی مناسب، در واقع مشتریان خود را بدون اطلاع در معرض خطر کلاهبرداری قرار می‌دهید.

با وجود اطمینان‌هایی که کسب‌وکار شما به‌صورت آنلاین ارائه می‌دهد، ممکن است در پشت صحنه، نقض‌های امنیتی قابل توجهی بدون کشف باقی بمانند. عده‌ای از مراکز تماس در این مورد گناهکار شناخته شده‌اند و این موضوع، استفاده از تضمین‌های پردازش آنلاین را در حالی که امنیت آفلاین بسیار ضعیف است، زیر سوال می‌برد. و نگران‌کننده‌تر اینکه، اگر مشتریان از نقض امنیتی مرتبط با شرکت شما مطلع شوند، اعتماد خود را به‌طور کامل از دست می‌دهند و مطمئن خواهند شد که همه از این مشکل آگاه شوند.

نقص‌های امنیتی آفلاین آشکار شدند

بر اساس مرکز پاکسازی حقوق حریم خصوصی بین ژانویه ۲۰۰۵ تا ژانویه ۲۰۱۷ بیش از ۹۰۶ میلیون رکورد حاوی اطلاعات حساس به سرقت رفت. این اطلاعات نشان می‌دهند که آسیب‌پذیری‌ها می‌توانند در هر مرحله از فرآیند فروش ظاهر شوند؛ از جمله در دستگاه‌های نقطه فروش، رایانه‌های شخصی یا سرورها، نقاط اتصال بی‌سیم یا برنامه‌های خرید آنلاین، سیستم‌های ذخیره‌سازی کاغذی و انتقال‌های ناامن اطلاعات دارندگان کارت به ارائه‌دهندگان خدمات.

تمرکز بر افزایش امنیت آنلاین، احتمالا باعث شده بسیاری از مشتریان از پروتکل‌های امنیتی آفلاین غافل شوند و در نتیجه مراکز تماس در مورد فرآیندهای آفلاین بی‌توجه شده‌اند. مطمئنم بخش زیادی از مشتریان با دریافت تماس از یک تامین‌کننده معتبر، بدون تامل اطلاعات کارت خود را ارائه می‌دهند، زیرا تصور می‌کنند همان سطح امنیتی که در فضای آنلاین انتظار دارند، در اینجا هم برقرار است. مشتریان نمی‌توانند از فرآیندهای امنیتی مراکز تماس مطلع باشند و در نتیجه روزانه اطلاعات کارت خود، از جمله کد امنیتی و تاریخ انقضا را در اختیار کلاهبرداران بالقوه قرار می‌دهند.

تمرکز بر پروتکل‌های امنیتی وب باعث شده است که اصول اولیه در حوزه‌های عملیاتی داخلی اغلب فراموش شوند. یا بسیاری متوجه شده‌اند که سیاست‌ها و رویه‌ها اجرا شده‌اند، اما پایدار نبوده‌اند، بنابراین امکان نقض استانداردهای صنعتی و خطر کلاهبرداری بارها و بارها پدیدار می‌شود.

مرکزهای تماس هدف آسانی هستند.

مرکز تماس‌هایی که با داده‌های مشتریان سروکار دارند و اطلاعات پرداخت آن‌ها را جمع‌آوری می‌کنند، باید سیاست‌ها و رویه‌های امنیتی دقیقی داشته باشند. جلوگیری از سوء استفاده از اطلاعات مشتری با این حال، هنوز نمونه‌هایی از عملیات وجود دارد که در آن‌ها اجازه استفاده از تلفن همراه در مرکز تماس داده می‌شود و می‌توان داده‌های کارت پرداخت را پس از اتمام تراکنش خاص، در زمان دیگری به‌طور کامل بازیابی کرد.

بی‌بی‌سی برای افشای ضعف‌های روش‌های مراکز تماس، خبرنگاری را به صورت مخفی فرستاد. این خبرنگار به راحتی استخدام شد، آموزش‌های اولیه را دید و خیلی زود مشغول پاسخگویی به تماس‌ها و دستکاری اطلاعات مشتریان شد. موارد مشابه زیادی وجود داشته و من از موردی آگاهم که در آن مرکز تماس با وجود تلفن‌های همراه، اطلاعات کارت‌های اعتباری را از طریق تلفن دریافت می‌کرد. حتی پس از اتمام تراکنش، جزئیات کامل قابل بازیابی بودند و کارمند مرکز تماس می‌توانست بعدا اطلاعات را یادداشت کند.

این خطر زمانی بیشتر می‌شود که کار به خارج از سازمان سپرده شود و سازمان‌ها باید از رعایت کامل استانداردهای امنیتی اطمینان حاصل کنند؛ چرا که اگرچه ممکن است پیمانکار مقصر باشد، اما در نهایت این داده‌های شما هستند و شما باید از آن‌ها محافظت کنید. اما چگونه؟

برای پذیرش پرداخت‌های کارت، استانداردهای ویژه‌ای مانند استاندارد امنیت داده‌های حساب‌های پرداخت (PCI DSS) وجود دارد. PCI DSS مجموعه‌ای از الزامات جامع برای ارتقای امنیت اطلاعات حساب‌های پرداخت است که توسط برندهای بنیانگذار پرداخت ایجاد شده است. شورای استانداردهای امنیتی پرداخت که شامل شرکت‌های American Express، Discover Financial Services، JCB International، MasterCard Worldwide و Visa Inc. International می‌شود تا به اتخاذ گسترده اقدامات امنیتی داده‌های یکسان در سطح جهانی کمک کند.

تمام مراکز تماس باید استانداردهای داده PCI را رعایت کنند، اما برخی سازمان‌ها هنوز به شدت از این دستورالعمل‌ها عقب هستند. بازبینی فرایندهای فعلی خودتان یا فرایندهای شرکت‌های برون‌سپاری‌تان برای سنجش میزان انطباق مرکزتان، ضروری است.

دستورالعمل‌های PCI DSS

1. فایروال را نصب و پیکربندی کنید تا از اطلاعات دارندگان کارت محافظت شود.
2. از رمزهای پیش‌فرض ارائه شده توسط فروشنده برای رمزهای سیستم و سایر پارامترهای امنیتی استفاده نکنید.
3. اطلاعات ذخیره شده دارندگان کارت را محافظت کنید.
4. رمزنگاری اطلاعات دارنده کارت در شبکه‌های عمومی و باز
5. از نرم‌افزار یا برنامه‌های ضدویروس استفاده کنید و آن‌ها را مرتباً به‌روزرسانی نمایید.
6. سیستم‌ها و برنامه‌های امنیتی را توسعه و نگهداری کنید.
7. دسترسی به اطلاعات دارندگان کارت را تنها به افراد و بخش‌های نیازمند محدود کنید.
8. به هر فردی که به کامپیوتر دسترسی دارد، یک شناسه منحصر به فرد اختصاص دهید.
9. دسترسی فیزیکی به اطلاعات دارندگان کارت را محدود کنید.
10. ردیابی و نظارت بر تمام دسترسی‌ها به منابع شبکه و اطلاعات دارندگان کارت.
11. سیستم‌ها و فرآیندهای امنیتی را به‌طور مرتب آزمایش کنید.
12. سیاستی برای امنیت اطلاعات کارمندان و پیمانکاران تدوین و اجرا کنید.

کلاهبرداری در دنیای غیرمجازی همواره موضوع داغی خواهد بود، پس آماده باشید تا با هر مشکلی که ممکن است از بررسی اقدامات امنیتی شما پیش بیاید، روبرو شوید و اقدامات لازم را انجام دهید. نادیده گرفتن مشکل آن را حل نمی‌کند. خبرهای بد خیلی سریع پخش می‌شوند، بنابراین مطمئن باشید که اگر مشکلات را الان حل نکنید، مشتریان از نقض‌های امنیتی باخبر خواهند شد.