Blog

Protégez vos clients contre la fraude

Le vol de données est une affaire importante de nos jours et aucune entreprise n'est à l'abri. Qu'il s'agisse d'attaques de cybercriminels tentant de voler des informations sur les clients ou d'abus d'informations sur les clients par le personnel, il existe plusieurs domaines clés de risque que vous devez prendre en compte pour vous assurer de protéger les données de vos clients. Derek Bishop, directeur de Culture Consultancy, examine les mesures que vous pouvez prendre pour renforcer la sécurité de vos données.

La protection des clients contre la fraude a toujours été une préoccupation majeure, notamment dans le secteur des services financiers. J'ai vu et entendu parler de nombreuses failles de sécurité qui ont entraîné la perte de données sensibles. Malheureusement, les failles de sécurité sont beaucoup plus fréquentes qu'elles ne devraient l'être, ce qui remet en question le sérieux de nombreuses entreprises lorsqu'il s'agit de protéger les données de leurs clients contre les possibilités de fraude quotidiennes.

La carte à puce et le NIP ne sont pas toujours gagnants

La carte à puce et le code PIN sont un pas dans la bonne direction pour réduire les possibilités de fraude par carte, mais il existe un grand nombre de cas où les détails complets de la carte doivent être fournis par téléphone, par exemple pour payer une assurance automobile ou effectuer un paiement avec une carte de crédit ou de magasin. Dans ces cas, sans les bonnes mesures de sécurité en place, vous pourriez mettre vos clients entre les mains d'un fraudeur sans même vous en rendre compte.

Bien que votre entreprise puisse fournir toutes les garanties en ligne, il se peut que, dans les coulisses, des failles importantes passent inaperçues. Un certain nombre de centres de contact ont été reconnus coupables de ce type d'infraction et cela remet en question l'utilité d'avoir toutes les garanties pour le traitement en ligne, alors que le traitement hors ligne est si peu sûr ! Et plus inquiétant encore, si les clients étaient informés d'une faille de sécurité liée à votre entreprise, ils perdraient toute confiance et s'assureraient que tout le monde est également au courant du problème.

Les failles de sécurité hors ligne exposées

Selon le Privacy Rights Clearinghouse, plus de 906 millions de dossiers contenant des informations sensibles ont été violés entre janvier 2005 et janvier 2017. Ils révèlent que les vulnérabilités peuvent apparaître n'importe où dans le processus de vente et peuvent inclure les TPV (dispositifs de point de vente), les ordinateurs personnels ou les serveurs, les points d'accès sans fil ou les applications d'achat en ligne, dans les systèmes de stockage sur papier et les transmissions non sécurisées des données des titulaires de cartes aux fournisseurs de services.

Peut-être que l'accent mis sur l'amélioration de la sécurité sur le web a conduit de nombreux clients à détourner leur attention des protocoles de sécurité hors ligne et que, par conséquent, les centres d'appels sont devenus trop détendus en ce qui concerne les processus hors ligne. Je suis sûr qu'une grande partie des clients qui reçoivent un appel d'un fournisseur de confiance n'hésiteront pas à fournir les détails de leur carte sur demande, en supposant que la même sécurité qu'ils ont appris à attendre en ligne sera en place ici aussi. En fin de compte, les clients ne peuvent pas savoir quels sont les processus de sécurité mis en place dans le centre d'appels et ils fournissent donc volontiers les détails de leur carte, y compris les codes de sécurité et les dates d'expiration, à des fraudeurs potentiels sur une base quotidienne.

En mettant l'accent sur les protocoles de sécurité pour le web, on a trop souvent oublié certains éléments de base dans les domaines opérationnels internes. Ou bien, ce que beaucoup constatent, c'est que des politiques et des procédures ont été mises en œuvre mais qu'elles n'ont pas été maintenues, de sorte que la possibilité d'une violation des normes du secteur et le risque de fraude réapparaissent encore et encore. 

Les centres d'appel sont une cible facile

Les centres de contact qui traitent les données des clients et recueillent les détails des paiements auprès de ces derniers devraient disposer de politiques et de procédures strictes afin d'empêcher l'utilisation abusive des données des clients. Pourtant, nous voyons encore des exemples d'opérations où les téléphones portables sont autorisés dans le centre de contact et où les données des cartes de paiement peuvent être entièrement récupérées ultérieurement, une fois la transaction spécifique terminée.

La BBC a envoyé un journaliste sous couverture pour exposer les faiblesses des procédures des centres d'appel. Le journaliste a réussi à obtenir un emploi facilement, a reçu une formation de base et avant même de s'en rendre compte, il était au téléphone pour traiter les données des clients. Il y a eu de nombreux autres cas de ce genre et je suis au courant d'un cas où un centre d'appel prenait les détails d'une carte de crédit par téléphone en présence de téléphones portables. Une fois de plus, les détails complets étaient récupérés une fois la transaction terminée afin qu'un agent du centre d'appel puisse revenir en arrière et noter les détails ultérieurement.

Ce risque est d'autant plus grand lorsque le travail est externalisé et que les organisations doivent s'assurer du respect total des normes de sécurité, car si le sous-traitant peut être en infraction, ce sont en fin de compte vos données que vous devez protéger. Mais comment ?

Il existe des normes spécifiques pour l'acceptation des paiements par carte, comme le Payment Card Industry (PCI) DSS. Les normes PCI DSS sont un ensemble d'exigences complètes visant à renforcer la sécurité des données des comptes de paiement. Elles ont été élaborées par les marques de paiement fondatrices du Conseil des normes de sécurité PCI, à savoir American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. International, afin de faciliter l'adoption à grande échelle de mesures cohérentes de sécurité des données à l'échelle mondiale.

Les normes de données PCI devraient être respectées par tous les centres d'appels, mais certaines organisations sont encore loin de respecter leurs directives. Cela vaut la peine de revoir vos processus actuels, ou ceux de vos sous-traitants, pour voir si votre centre est à la hauteur.

Directives PCI DSS

  • Installez et maintenez une configuration de pare-feu pour protéger les données des titulaires de cartes.
  • N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité.
  • Protégez les données stockées des titulaires de cartes.
  • Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics.
  • Utiliser et mettre à jour régulièrement les logiciels ou programmes anti-virus.
  • Développer et maintenir des systèmes et des applications sécurisés.
  • Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître.
  • Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur.
  • Limitez l'accès physique aux données des titulaires de cartes.
  • Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.
  • Tester régulièrement les systèmes et processus de sécurité.
  • Maintenir une politique qui traite de la sécurité de l'information pour les employés et les contractants.

La fraude dans le monde hors ligne sera toujours un sujet d'actualité, alors soyez prêt à faire face à tout problème pouvant résulter de l'examen de vos mesures de sécurité et prenez les mesures appropriées. Ignorer le problème ne le fera pas disparaître. Les mauvaises nouvelles circulent vite, vous pouvez donc être sûr que les clients découvriront les failles de sécurité si vous ne réglez pas les problèmes maintenant.