Når sikkerhet rundt firmakort diskuteres, handler det ofte om hva bedriften og den enkelte kortinnehaveren kan gjøre for å redusere risikoen for for eksempel svindel. Men minst like viktig er det at betalingsleverandøren tar ansvar for sine egne sikkerhetsrutiner og systemer.
– Leverandørens interne sikkerhet er helt avgjørende for hvor trygge kortene faktisk er, sier Thomas Eriksson, sikkerhetssjef hos AirPlus (tidligere Eurocard)
Han understreker at dagens firmakort generelt er svært sikre, noe som i stor grad skyldes den stadig pågående digitaliseringen i samfunnet.
– Digitale betalingsmåter medfører selvsagt phishing og andre svindelmetoder, men har samtidig gjort at bransjen jobber langt mer proaktivt med sine prosesser og systemer, sier han.
Hans kollega, John Mossblad, som jobber med bekjempelse av svindel hos AirPlus (tidligere Eurocard) er enig og legger til:
– EUs andre betalingsdirektiv, PSD2, som kom for noen år siden, krever blant annet sterk kundeautentisering ved kortbetalinger. Dette har hatt stor effekt i kampen mot økonomisk kriminalitet, sier han.
Rutiner og systemer varierer fortsatt mellom ulike betalingsformidlere. Så hva kan du som bedriftsleder gjøre for å få svar på om en betalingsleverandør oppfyller de sikkerhetsbehovene dere har?
John og Thomas foreslår at dere stiller følgende fire spørsmål der den første er grunnleggende og de resterende mer inngående, avhengig av hvor grundig gjennomgang av leverandøren dere ønsker å gjøre.
Er dere ISO/IEC 27001:2022- eller PCI DSS-sertifisert?
– En av følgende to sertifiseringer bør være et grunnkrav for en betalingsleverandør. ISO/IEC 27001:2022 er en internasjonal standard og et rammeverk for hvordan organisasjoner bør håndtere informasjon og data. Standarden hjelper organisasjoner med å identifisere risikoer og håndtere disse på en strukturert og effektiv måte. For å beholde sertifiseringen kreves årlige, oppfølgende revisjoner, både interne og eksterne.
– PCI DSS (Payment Card Industry Data Security Standards), er en sikkerhetsstandard for bedrifter som aksepterer, behandler, lagrer eller overfører kredittkortopplysninger, slik at det skjer i et sikkert IT-miljø med sikre prosesser. For å opprettholde en PCI DSS-sertifisering kreves regelmessige sikkerhetsvurderinger og revisjoner av eksterne PCI-revisorer.
Hvordan beskytter dere våre transaksjoner?
– Overvåkning av transaksjoner varierer mellom leverandører. Det er viktig at overvåkningen skjer i sanntid, døgnet rundt, uansett hvor betalingen skjer. Hvilke systemer brukes og hvor mye skjer automatisert versus manuelt? En kombinasjon er ofte best der det ene kan utfylle det andre. Hva slags adferd overvåkes, og hvordan er rutinen hvis det oppdages avvik i en transaksjon?
Hvor robuste er systemene deres?
– Det er viktig å vite hvor motstandsdyktige betalingsleverandørens egne systemer er mot for eksempel cyberangrep. Oppdateres og testes systemene regelmessig og hvilke rutiner og prosesser finnes for rask gjenoppretting etter en eventuell driftsstans? Be leverandøren beskrive både forebyggende tiltak og beredskapsplaner for å forhindre slike angrep.
Hvordan jobber dere med samarbeidspartnere?
– De fleste betalingsleverandører samarbeider med underleverandører, noe som betyr at en tredjepart for eksempel kan ha tilgang til deres transaksjonsdata. Finn ut hvem leverandøren samarbeider med, hvordan informasjonen og tjenester koblet til dette beskyttes. Be også om informasjon om hvordan rutinene er for oppfølging og kvalitetssikring av partnernes leveranser.
