När det pratas om säkerhet kring företagskort och betalningar ligger fokus ofta på vad företaget och kortinnehavaren kan göra för att minimera risken för exempelvis ett kortbedrägeri. Lika viktigt är att betalningsleverantören uppfyller sitt säkerhetsåtagande.
-De interna rutinerna och systemen hos en betalningsleverantör är direkt avgörande för hur säkra företagskorten är, säger Thomas Eriksson, säkerhetschef på AirPlus (tidigare Eurocard)
Han förklarar att dagens företagskort generellt är väldigt säkra, vilket till stor del beror på den ständigt pågående digitaliseringen i samhället.
- Digitala betalningssätt har visserligen medfört nya risker kopplat till bedrägerier som exempelvis nätfiske, men det har också gjort att de flesta banker och finansiella institutioner jobbar mer proaktivt med att säkra sina processer och system.
Kollegan John Mossblad, som arbetar med bedrägeribekämpning på AirPlus håller med och tillägger:
- EU:s andra betaltjänstdirektiv, PSD2, som kom för några år sedan, med bland annat kravet på stark kundverifiering vid kortbetalningar har också varit mycket viktig i kampen mot den ekonomiska brottsligheten, säger han.
Vilka rutiner och system som olika betalningsförmedlare använder kan dock variera. Så vad kan du som företagare göra för att få svar på om en betalningsleverantör uppfyller de säkerhetskrav som ni behöver?
John och Thomas föreslår att du ställer följande fyra ”kontrollfrågor”, där den första är grundläggande och de resterande mer kompletterande, beroende på hur noggrann genomlysning av leverantören du vill göra.
Är ni ISO IEC 27001:2022 - eller PCI DSS – certifierade?
- Någon av följande två certifieringar bör vara ett grundkrav för en betalningsleverantör. ISO/IEC 27001:2022 är en internationell standard och ett ramverk för hur organisationer bör hantera information och data. Standarden hjälper organisationer att identifiera risker och hantera dessa på ett strukturerat och effektivt sätt. För att behålla certifieringen krävs årliga, uppföljande revisioner, både interna och externa.
- PCI DSS (Payment Card Industry Data Security Standards), är en säkerhetsstandard som gäller för företag, som accepterar, behandlar, lagrar eller överför kreditkortsuppgifter, så att det sker i en säker IT-miljö och med säkra processer. För att upprätthålla en PCI DSS-certifiering krävs regelbundna säkerhetsbedömningar och revisioner av externa PCI revisorer.
Hur skyddar ni våra transaktioner?
-Hur man följer en kunds transaktioner kan skilja mycket mellan olika betalningsleverantörer. Viktigt är att monitoreringen sker i realtid, dygnet runt, oavsett var betalningen sker. Vilken typ av system används och hur stor del av arbetet sker manuellt respektive automatiskt? En mix av båda arbetssätt är bra, där det ena kan komplettera det andra. Vilken typ av beteenden följer man och hur ser rutinen ut om man ser ett avvikande beteende i en transaktion?
Hur robusta är era system?
- Betydelsefullt är även att få svar på hur motståndskraftiga betalningsleverantörens egna system är för exempelvis en cyberattack? Jobbar man exempelvis regelbundet med att uppdatera och testa sina system och vilka rutiner och processer finns för att snabbt komma igång efter ett eventuellt avbrott? Be dem också beskriva hur de proaktivt arbetar för att förhindra dessa typer av angrepp.
Hur arbetar ni med partners?
-De flesta betalningsleverantörer har någon form av samarbete med en underleverantör. Det innebär att det finns ytterligare en part som har tillgång till exempelvis er transaktionsdata. Ta därför reda på vilka partners betalningsleverantören samarbetar med och hur man skyddar information och tjänster kopplat till dessa. Låt dem också redogöra för hur de följer upp och säkerställer att partners leverans efterlevs.
