Kun puhutaan yrityskorttien ja maksujen turvallisuudesta, keskitytään usein siihen, mitä yritys ja kortinhaltija voivat tehdä minimoidakseen esimerkiksi korttipetosten riskin. Yhtä tärkeää on, että maksupalveluntarjoaja täyttää omat turvallisuusvelvoitteensa.
– Maksupalveluntarjoajan sisäiset käytännöt ja järjestelmät ovat ratkaisevia yrityskorttien turvallisuuden kannalta, sanoo Thomas Eriksson, AirPlus-yrityksen (ent. Eurocard) turvallisuusjohtaja.
Hän selittää, että nykyiset yrityskortit ovat yleisesti ottaen erittäin turvallisia, mikä johtuu pitkälti yhteiskunnan jatkuvasta digitalisaatiosta.
– Digitaaliset maksutavat ovat tuoneet mukanaan uusia riskejä, kuten verkkourkintaa, mutta ne ovat myös saaneet pankit ja rahoituslaitokset ennaltaehkäisemään paremmin turvallisuusprosesseihinsa ja järjestelmiinsä kohdistuvat uhat.
Kollega John Mossblad, jonka työtehtäviin kuuluu petosten ehkäiseminen AirPlus-yrityksessä, on samaa mieltä ja lisää:
– EU:n toinen maksupalveludirektiivi, PSD2, ja erityisesti vaatimus vahvasta tunnistautumisesta korttimaksuissa, on ollut keskeinen työkalu talousrikollisuuden torjunnassa.
Koska eri maksupalveluntarjoajien käytännöt ja järjestelmät voivat vaihdella, yrityksen kannattaa kysyä seuraavat neljä kysymystä varmistaakseen, että turvallisuusvaatimukset täyttyvät:
1. Oletteko ISO/IEC 27001:2022- tai PCI DSS -sertifioituja?
Jompikumpi näistä sertifikaateista tulisi olla vähimmäisvaatimus. ISO/IEC 27001:2022 on kansainvälinen standardi, joka auttaa organisaatioita hallitsemaan tietoturvariskejä. Se helpottaa organisaatioita tunnistamaan riskejä ja hallitsemaan niitä järjestelmällisesti ja tehokkaasti. Sertifikaatin säilyttäminen edellyttää vuosittaisia sisäisiä ja ulkoisia auditointeja.
PCI DSS -turvallisuusstandardi puolestaan takaa, että yritykset, jotka hyväksyvät, käsittelevät, säilyttävät ja siirtävät luottokorttitietoja, toimivat turvallisessa IT-ympäristössä, ja käyttävät turvallisia prosesseja. Sertifikaatin ylläpito vaatii säännöllisiä turvallisuusarviointeja ulkopuolisten tarkastajien toimesta.
2. Miten suojaatte maksutapahtumat?
Maksutapahtumien seuranta vaihtelee palveluntarjoajittain. Tärkeää on, että seuranta tapahtuu reaaliaikaisesti, ympäri vuorokauden. Kysy, mitä järjestelmiä käytetään, kuinka suuri osa työstä on automatisoitu, ja miten poikkeava käyttäytyminen havaitaan ja käsitellään.
3. Kuinka kestäviä järjestelmänne ovat?
Selvitä, kuinka hyvin järjestelmät kestävät esimerkiksi kyberhyökkäyksiä. Kysy, kuinka usein järjestelmiä testataan ja päivitetään, ja millaiset palautumissuunnitelmat ovat käytössä mahdollisten häiriöiden varalta.
4. Miten työskentelette yhteistyökumppaneiden kanssa?
Useimmilla maksupalveluntarjoajilla on alihankkijoita, joilla voi olla pääsy maksutapahtumien tietoihin. Kysy, keiden kanssa he tekevät yhteistyötä ja miten tietoturva varmistetaan myös yhteistyökumppanien osalta. Pyydä myös selvitys siitä, miten heidän toimintaansa valvotaan ja arvioidaan.
