Når man taler om sikkerhed i forhold til firmakort og betalinger, ligger fokus ofte på, hvad virksomheden og kortindehaveren selv kan gøre for at mindske risikoen for fx kortsvindel. Men det er mindst lige så vigtigt, at betalingsudbyderen lever op til sine egne sikkerhedsforpligtelser.
– De interne processer og systemer hos en betalingsudbyder har direkte betydning for, hvor sikre firmakortene er, siger Thomas Eriksson, Sikkerhedschef hos AirPlus (tidligere Eurocard)
Han forklarer, at nutidens firmakort generelt er meget sikre – ikke mindst takket være den vedvarende digitalisering af samfundet.
– Digitale betalingsformer har ganske vist medført nye risici som fx phishing, men det har også betydet, at de fleste banker og finansielle aktører i dag arbejder mere proaktivt med at sikre deres systemer og processer, siger han.
Hans kollega, John Mossblad, hos AirPlus er enig og tilføjer:
– EU’s anden betalingstjenestedirektiv, PSD2, som bl.a. stiller krav om stærk kundeautentifikation ved kortbetalinger, har også spillet en vigtig rolle i kampen mod økonomisk kriminalitet, siger han.
Der kan dog være stor forskel på, hvilke procedurer og systemer de forskellige betalingsudbydere anvender. Så hvad kan du som virksomhed gøre for at få vished om, hvorvidt en udbyder lever op til de sikkerhedskrav, I har brug for?
John og Thomas foreslår, at du stiller følgende fire ”kontrolspørgsmål”. Det første er grundlæggende, mens de øvrige tre afhænger af, hvor dybtgående du ønsker at vurdere leverandøren.
Er I certificerede efter ISO/IEC 27001:2022 eller PCI DSS?
– En af disse to certificeringer bør være et krav til en betalingsudbyder.
ISO/IEC 27001:2022 er en international standard og et rammeværk for, hvordan organisationer bør håndtere information og data. Den hjælper med at identificere og håndtere risici på en struktureret og effektiv måde. For at opretholde certificeringen kræves løbende, både interne og eksterne, revisioner.
– PCI DSS (Payment Card Industry Data Security Standards) er en sikkerhedsstandard, der skal sikre, at virksomheder, som accepterer, behandler, lagrer eller overfører kreditkortoplysninger, gør det i et beskyttet IT-miljø og med trygge processer. For at opretholde en PCI DSS-certificering kræves der regelmæssige sikkerhedsvurderinger og revisioner foretaget af eksterne PCI-revisorer.
Hvordan beskytter I vores transaktioner?
– Metoden for at overvåge transaktioner varierer mellem udbydere. Det vigtige er, at transaktioner overvåges i realtid – døgnet rundt – uanset hvor i verden, de sker. Hvilke systemer anvendes, og hvor stor en del af arbejdet foregår manuelt vs. automatisk? En god kombination af begge er ideel. Hvilken adfærd monitoreres, og hvad sker der, hvis en transaktion skiller sig ud?
Hvor robuste er jeres systemer?
– Det er også vigtigt at forstå, hvor modstandsdygtige udbyderens egne systemer er over for fx cyberangreb. Opdaterer og tester man regelmæssigt? Hvilke procedurer har man for hurtigt at komme op at køre igen efter et eventuelt nedbrud? Bed også om at få forklaret, hvordan udbyderen arbejder proaktivt med cybersikkerhed.
Hvordan arbejder I med underleverandører og partnere?
– De fleste betalingsudbydere samarbejder med én eller flere underleverandører. Det betyder, at endnu en part potentielt har adgang til fx jeres transaktionsdata. Undersøg derfor, hvem udbyderen samarbejder med, og hvordan data og tjenester sikres i det samarbejde. Bed dem også forklare, hvordan de følger op og sikrer, at partnerne lever op til kravene.
