Siamo un'azienda di medie dimensioni. Recentemente, uno dei rappresentanti del dipartimento delle finanze ha sollevato una domanda sull'uso delle carte di credito per effettuare acquisti on-line tra i diversi reparti della nostra azienda.
La sua preoccupazione riguarda casi in cui una persona del dipartimento X richiede di effettuare un acquisto da un sito direttamente dal suo computer dell'ufficio. La ragione per farlo è avere accesso diretto ad alcuni dati sensibili necessari al momento dell'acquisto.
Attualmente, un rappresentante finanziario si avvicina all'ufficio del dipendente e fornisce il numero CC.
Ovviamente, il rischio deriva dalle informazioni CC memorizzate in quella sessione associata al profilo utente nell'archivio online. Diversi scenari di rischio aumentano in questo modo se l'utente effettua accidentalmente più acquisti con tali informazioni CC, se tali informazioni sono trapelate o se l'account utente è compromesso.
Abbiamo proposto soluzioni come l'utilizzo di carte di credito prepagate, Verified-by-Visa o safetypay, che richiede l'accettazione di acquisti (Finance Dpt) da parte di qualcun altro dopo aver inviato un ordine di acquisto (Utente Dpt che acquista). Tuttavia, non tutti i negozi online accettano questi metodi di pagamento, nemmeno Verified-by-Visa.
La soluzione alternativa è far firmare all'acquirente un modulo in cui Dpt. X accetta tutte le responsabilità derivanti dall'uso di questa carta di credito aziendale. Ciononostante, riteniamo che questa misura manchi del fattore di prevenzione che una strategia di sicurezza delle informazioni deve comprendere.
Qualsiasi aiuto?