home » blog » kennis beveilig uw bedrijfsvoering

Kennis: Beveilig uw bedrijfsvoering

Door Olaf Kok op 23 september 2016

U werkt er hard aan om uw omzet te verhogen, het systeem van een betaalprovider helpt u hierbij. Een vaak ondergewaarde stap is de beveiliging van uw account. Stel iemand heeft toegang tot mijn account, wat zijn dan de gevaren? Een vraag die ik mijzelf regelmatig stel. Een tweede vraag die direct opkomt is: vragen mijn collega’s (de technische ontwikkelaars of de dame van de receptie) zich hetzelfde wel eens af? Als laatste stap: hoe denken onze gebruikers, de eCommerce ondernemers, over de gevolgen van fraude met een online account bij hun betalingsprovider?

Geprikkeld door nieuwsgierigheid ben ik op onderzoek uitgegaan. Flink geschrokken van de resultaten ben ik begonnen aan dit schrijven. Aan het einde vindt u drie pijnlijke vragen, beantwoord deze vragen oprecht. Bekijk de moeite die het kost om alle antwoorden ontkennend te kunnen beantwoorden en weeg dit af tegen het gevolg van ongeautoriseerde toegang.

"Domino's lekt 600.000 klantgegvens, emailadressen, telefoonnummers, wachtwoorden en aflevergevens."

Risico's bij onrechtmatige toegang

Wat zou er kunnen gebeuren als uw login gegevens op straat komen te liggen? Zomaar een paar gedachten…

Uw bedrijfsdata ligt op straat. Niet alleen uw persoonlijke profiel maar ook het aanbod van diensten of producten en de bijbehorende omzet.
Er kunnen refunds (terugboekingen) worden uitgevoerd of overboekingen worden gedaan naar rekeningen van derden.
Uw uitbetaalrekening kan worden gewijzigd.
Er kunnen extra opties worden geactiveerd of gedeactiveerd.
Gegevens van uw klanten kunnen worden geëxporteerd en publiek worden gemaakt.

Naast een financiële catastrofe loopt u kans op een flinke deuk in uw imago.

Sterk wachtwoord

Een van de basisbeginselen is het bewaken van een veilig wachtwoord. Hackers proberen vaak door middel van ‘brute force’ tests toegang te verkrijgen tot bepaalde accounts. Ze gebruiken hierbij simpelweg lijsten vol wachtwoorden waarmee ze proberen in te loggen. Nu weet u direct waarom wij u verplichten een sterk wachtwoord te nemen.

"Wist u dat 99,0% van alle gebruikte zwakke wachtwoorden samen te voegen zijn tot een lijst van 10.000 stuks!"

Lees ook eens: dit artikel over de hack op LinkedIn.

Wijzig regelmatig uw wachtwoord?

Hierover zijn de meningen verdeeld. Veel banken en partijen waarmee wij samenwerken vereisen het regelmatig wijzigen van een wachtwoord, Persoonlijk vind ik dit onzin. Elke keer een ander wachtwoord levert gemakzucht op, minder sterke wachtwoorden worden gekozen en soms worden slechts wat getallen toegevoegd om verder te kunnen. Tot op heden is deze verplichting nog opgenomen in Pay.nl met een verlooptijd van 6 maanden.

Bron: https://www.security.nl/posting/463989.

Gebruik het slechts op één plek.

Nu vele partijen overgaan op emailadres en wachtwoord als inlog, is het riskant om hetzelfde wachtwoord ook elders te gebruiken.

U bent niet alleen afhankelijk van de betrouwbaarheid van de externe partij, want wat doet zij met uw wachtwoord? Maar zeker ook van de beveiliging van de data. Wat als een hacker uw wachtwoord te pakken krijgt via deze partij?

2 factor authenticatie

Het is bijna onmogelijk om te garanderen dat niemand je wachtwoord weet. Daarnaast is het mogelijk om via de knop: 'wachtwoord vergeten' bij vele sites (ook bij Pay.nl) om alsnog je wachtwoord op te vragen of te herstellen. Dus al heb je jouw account nog zo goed beveiligd, verlies je je wachtwoord van je mail, of vergeet je uit te loggen, dan heeft een derde alsnog toegang tot je account.

Daarom zijn wij van mening dat elk account beveiligd moet zijn met een 2 factor authenticatie. Bijvoorbeeld door bepaalde IP adressen te whitelisten of te werken met een SMS pincode bericht als buiten de vertrouwde omgeving toegang moet worden verkregen.

Iedere persoon één account

Het is een enorm cliché maar de meest voorkomende alerts uit ons systeem komen door mensen die toch hun wachtwoord delen met derden. Dit komt voor bij collega’s onderling, bij webbouwers of externen die bijvoorbeeld marketing uitvoeren.

Heel simpel, uw collega of zakelijke relatie is een persoon en dient een eigen account te hebben. Met dit account krijgt hij toegang tot de informatie van uw bedrijf. Hiermee kan hij inloggen en bepaalde acties uitvoeren. Mocht er ooit discussie komen over een uitgevoerde actie, dan kan dit worden nagezocht. Verlaat een medewerker de onderneming, dan blokkeert u de toegang, zonder wachtwoorden te hoeven wijzigen.

Niet meer rechten dan noodzakelijk

Wat niet bekend is kan ook niet gelekt worden. Geef een persoon dus nooit meer rechten dan strikt noodzakelijk.

Via het Admin Panel van Pay.nl kunt u specifieke rechten instellen voor iedere medewerker die toegang heeft tot het merchant account. Zo kunt u er bijvoorbeeld voor zorgen dat een webbouwer geen toegang heeft tot financiële gegevens.

CONCLUSIE

Nu ik de laatste alinea op papier zet, probeer ik het wat relativeren. In de afgelopen 10 jaar als internet ondernemer in de betalingswereld is daadwerkelijk gelukte fraude slechts sporadisch voorgekomen. Echter met de enorme groei van het internet, een steeds groter worden aantal online ondernemers en het gemak waarmee eindgebruiker kunnen betalen (en dat is alleen maar goed), moet de dag een keer komen dat er iemand een foutje maakt.

Zorg dat u het beter voor elkaar hebt dan uw concullega en dan gaat dit scenario hopelijk aan u voorbij.

De pijnlijke vraag

Na het lezen van mogelijke risico’s is het tijd om uw eigen beleid te evalueren. Beantwoord de volgende vragen eerlijk en pas zo nodig uw voorkeuren in Pay.nl aan.