MEJORES PRÁCTICAS DE INDUSTRIA

Transcripción

1 MEJORES PRÁCTICAS DE INDUSTRIA A continuación se relacionan las mejores prácticas y recomendaciones en prevención de fraude, extractadas de los diferentes mapas de operación y riesgo desarrollados por Incocrédito. RESTAURANTES 1 Recurso Humano: a) Los comercios deben realizar un riguroso y completo proceso de selección y contratación en donde se incluyan actividades de verificación de personal, validación de la situación financiera del trabajador, verificación de referencias laborales y personales, revisión de la documentación, antecedentes penales, estudio de seguridad, visita domiciliaria etc. b) Establecer un control que permita mantener actualizada la base de datos de los trabajadores, meseros, cajeros y demás personal, con el fin tener datos reales de lugar de vivienda, estados financieros y situación personal particular. esto permite al comercio conocer con que recurso humano cuenta para el tema de servicio y prevención de fraude. c) Sensibilizar a los funcionarios sobre los riesgos que se corren en el desarrollo de las actividades para las cuales fueron contratados, dar a conocer las consecuencias laborales y judiciales (Ley 1273 de 2009), que estas tienen con el fin de poder delegar compromisos y responsabilidades so pena de sanciones administrativas y penales. d) Los comercios deben Diseñar, implementar y divulgar, un programa de capacitación dentro del proceso de inducción de cada aspirante donde permanentemente se abarquen temas que se relacionan con la validación de documentos públicos, tarjetas de crédito y ventas seguras, garantizando que este tipo de información llegue a todo el personal que participa en el proceso.

2 2 Desarrollo de la labor: a) Los comercios deben tener en cuenta las recomendaciones y los reglamentos de las franquicias en donde se expone la obligación del comercio en la validación y verificación de los documentos que participan en un proceso de venta con tarjeta debito y crédito. b) Se debe definir el procedimiento a seguir en caso que un funcionario de punto de venta se encuentre ante una situación de posible fraude como identificación de documentos o tarjetas falsas y ante situaciones de riesgo físico como robos y demás, esto con el fin de proteger la integridad física de los empleados y reducir también las pérdidas económicas que por estas situaciones se puedan presentar. c) Analizar de acuerdo con la experiencia obtenida en cada punto de venta, cual es el proceso que le agrega mayor dinamismo y seguridad a la operación de pagos a través de cajeros, meseros o administradores utilizando tarjetas debito y crédito. d) Es recomendable que el comercio documente, divulgue y exija a sus funcionarios el cumplimiento de políticas claras donde se consignen las funciones y responsabilidades de los funcionarios autorizados para el manejo del datafono en cuanto a las reversiones y cierres diarios. Se recomienda que este tipo de privilegios sean exclusivamente de manejo de los administradores y cajeros. e) Se sugiere que cada comercio encargue un responsable en la administración de estos datafonos para cada punto de venta. f) Evitar al máximo la rotación de meseros en diferentes puntos de venta con el fin de evitar 3 En el servicio de domiciliación: a) Se recomienda asignar un datafono exclusivo por cada domiciliario. b) Desarrollar e implementar un proceso diario de validación del inventario de datafonos asignados al punto de venta. c) Garantizar la custodia de estos dispositivos en horarios no hábiles. Dirección de Apoyo Preventivo - Incocrédito 2

3 4 Control de la información: a) Establecer un proceso seguro en el embalaje, transporte y entrega de la documentación sensible que soporta toda la operación de los restaurantes. b) Desarrollar, implementar y divulgar políticas de seguridad informática que prevengan la fuga de información así como la instalación de programas no deseados que puedan conllevar a situaciones de fraude y pérdidas económicas en las áreas administrativas de los comercios. c) Paras el proceso de compensación entre el comercio y el banco se sugiere que la entidad financiera no remita el número completo de la tarjeta de crédito, práctica que está prohibida por circular 052 y la norma PCI DSS. GRANDES SUPERFICIES 1 Recurso Humano: a) Para el proceso de selección de personal se recomienda que el comercio establezca una selección de perfiles definidos para el cargo y las funciones que se llevan a cabo en los puntos de venta. b) Los comercios deben realizar un riguroso y completo proceso de selección y contratación en donde se incluyan actividades de verificación de personal, validación de la situación financiera del trabajador, verificación de referencias laborales y personales, revisión de la documentación, antecedentes penales, estudio de seguridad, visita domiciliaria etc. c) Establecer un control que permita mantener actualizada la base de datos de los funcionarios, cajeros, administradores y demás personal, con el fin tener datos reales de lugar de vivienda, estados financieros y situación personal particular. esto permite al comercio conocer con que recurso humano cuenta para el tema de servicio y prevención de fraude. d) Sensibilizar a los funcionarios sobre los riesgos que se corren en el desarrollo de las actividades para las cuales fueron contratados, dar a conocer las consecuencias Dirección de Apoyo Preventivo - Incocrédito 3

4 laborales y judiciales (Ley 1273 de 2009), que estas tienen con el fin de poder delegar compromisos y responsabilidades so pena de sanciones administrativas y penales. e) Brindar capacitaciones en temas de seguridad en el proceso de venta con tarjetas tales como, Documentos públicos, características de seguridad de las tarjetas credito, ventas seguras, grafología y dactiloscopia y demás que la organización considere. 2 Desarrollo de la labor: a) Desarrollar, implementar y divulgar políticas de seguridad tanto informáticas como físicas, donde se definan claramente los roles y funciones de cada empleado y las atribuciones que por perfil cada uno de ellos tiene, como el acceso a las bóvedas de custodia de efectivo donde el acceso debe ser restringido para el personal no autorizado. b) Implementar controles de acceso físico para las aéreas restringidas en caso de ser indispensable el acceso de personal ajeno a la dependencia. c) Identificar y documentar los P.O.S. o cajas de mayor riesgo para asignar a ellas funcionarios con experiencia y capacidad de identificar una situación de fraude cuando esta se presente y saber cómo actuar en casos determinados. d) Se debe definir el procedimiento a seguir en caso que un funcionario de punto de venta se encuentre ante una situación de posible fraude como identificación de documentos o tarjetas falsas y ante situaciones de riesgo físico como robos y demás, esto con el fin de proteger la integridad física de los empleados y reducir también las pérdidas económicas que por estas situaciones se puedan presentar. e) Realizar un Análisis de los incidentes reportados como fraude en donde se pueda identificar la caja y el cajero que se encontraba de turno en el momento del siniestro. Identificar plenamente el código de los datafonos con las cajas. 3 En el servicio de domiciliación: a) Mantener un inventario completo de los datafonos existentes en cada punto y establecer un control que permita identificar quien lo usa en los casos de domiciliaciones. Dirección de Apoyo Preventivo - Incocrédito 4

5 b) Implementar un servicio postventa en caso de domiciliaciones que permita garantizar la calidad prestada al cliente y de la misma manera validar la autenticidad de la transacción. c) El comercio debe analizar de acuerdo con la experiencia obtenida en el servicio de domiciliación cual es el proceso que le agrega mayor dinamismo y seguridad a la operación; recepción de pagos anticipados, pagos reales efectivos o responsabilidad contractual del proveedor de entregas. 4 Control de la información: a) El comercio puede elaborar clausulas contractuales donde se prohíba a cada funcionario el porte y utilización de dispositivos electrónicos que permitan el copiado de información de tarjetas Bancarias, so pena de sanciones administrativas. Sin perjuicio de las acciones penales a que haya lugar. b) Desarrollar, implementar y divulgar políticas de seguridad informática que prevengan la fuga de información así como la instalación de programas no deseados que puedan conllevar a situaciones de fraude y pérdidas económicas en las áreas administrativas de los comercios. c) Utilizar las cámaras de vigilancia como un medio visual para hacer seguimiento a la forma en que los cajeros realizan las transacciones con tarjetas de crédito. ESTACIONES DE SERVICIO 1 Recurso Humano: a) Para el proceso de selección de personal se recomienda que el comercio establezca una selección de perfiles definidos para el cargo y las funciones que se llevan a cabo en los puntos de venta. b) Los comercios deben realizar un riguroso y completo proceso de selección y contratación en donde se incluyan actividades de verificación de personal, validación de la situación financiera del trabajador, verificación de referencias laborales y Dirección de Apoyo Preventivo - Incocrédito 5

6 personales, revisión de la documentación, antecedentes penales, estudio de seguridad, visita domiciliaria etc. c) Establecer un control que permita mantener actualizada la base de datos de los funcionarios, cajeros, administradores y demás personal, con el fin tener datos reales de lugar de vivienda, estados financieros y situación personal particular. Esto permite al comercio conocer con que recurso humano cuenta para el tema de servicio y prevención de fraude. d) Sensibilizar a los funcionarios sobre los riesgos que se corren en el desarrollo de las actividades para las cuales fueron contratados, dar a conocer las consecuencias laborales y judiciales (Ley 1273 de 2009), que estas tienen con el fin de poder delegar compromisos y responsabilidades so pena de sanciones administrativas y penales. e) Brindar capacitaciones en temas de seguridad en el proceso de venta con tarjetas tales como, Documentos públicos, características de seguridad de las tarjetas credito, ventas seguras, grafología y dactiloscopia y demás que la organización considere. 2 Desarrollo de la labor: a) El comercio debe contar con manuales e instructivos que faciliten la labor del agente de servicio en cada isla, para el procedimiento de ventas con tarjeta de credito y efectivo. Así mismo es importante implementar la validación de este control en forma permanente por la parte administrativa. b) En el evento de transacciones fraudulentas, se debe analizar la posibilidad del reintegro del valor del fraude por parte del Agente de Servicio según los niveles de cumplimiento del funcionario a los procedimientos definidos. c) También es recomendable implementar un mecanismo de control que permita monitorear permanentemente la custodia de efectivo por parte de los agentes de servicio y minimizar al máximo el riesgo de robo o fraude por incumplimiento de las normas. d) De igual forma establecer un procedimiento de comunicación en el que se establezcan las acciones a seguir ante la evidencia de una posible situación sospechosa de fraude. Dirección de Apoyo Preventivo - Incocrédito 6

7 e) El comercio debe implementar un control que permita identificar al agente de servicio que realizo una transacción con tarjeta, hora, valor y surtidor donde se realizo la venta. 3 Control de la información: a) El comercio puede elaborar clausulas contractuales donde se prohíba a cada funcionario el porte y utilización de dispositivos electrónicos que permitan el copiado de información de tarjetas Bancarias, so pena de sanciones administrativas. Sin perjuicio de las acciones penales a que haya lugar. b) Estar en cumplimiento con las normas de seguridad informática (ISO-27001, circular 052 de la superfinanciera, Norma PCI DSS), las cuales no permiten el almacenamiento de información confidencial del cliente como números de tarjetas e credito. c) Desarrollar, implementar y divulgar políticas de seguridad informática que prevengan la fuga de información así como la instalación de programas no deseados que puedan conllevar a situaciones de fraude y pérdidas económicas en las áreas administrativas de las estaciones de servicio. d) Utilizar las cámaras de vigilancia como un medio visual para hacer seguimiento a la forma en que los agentes de servicio realizan las transacciones con tarjetas de crédito. AGENCIAS DE VIAJE 1 Recurso Humano: a) Para el proceso de selección de personal se recomienda que el comercio establezca una selección de perfiles definidos para el cargo y las funciones que se llevan a cabo en la agencia. b) Los comercios deben realizar un riguroso y completo proceso de selección y contratación en donde se incluyan actividades de verificación de personal, validación de la situación financiera del trabajador, verificación de referencias laborales y personales, revisión de la documentación, antecedentes penales, estudio de seguridad, visita domiciliaria etc. Dirección de Apoyo Preventivo - Incocrédito 7

8 c) Establecer un control que permita mantener actualizada la base de datos de los funcionarios, cajeros, administradores y demás personal, con el fin tener datos reales de lugar de vivienda, estados financieros y situación personal particular. Esto permite al comercio conocer con que recurso humano cuenta para el tema de servicio y prevención de fraude. d) Sensibilizar a los funcionarios sobre los riesgos que se corren en el desarrollo de las actividades para las cuales fueron contratados, dar a conocer las consecuencias laborales y judiciales (Ley 1273 de 2009), que estas tienen con el fin de poder delegar compromisos y responsabilidades so pena de sanciones administrativas y penales. e) Brindar capacitaciones en temas de seguridad en el proceso de venta con tarjetas tales como, Documentos públicos, características de seguridad de las tarjetas credito, ventas seguras, grafología y dactiloscopia y demás que la organización considere. 2 Desarrollo de la labor: 2.1 Ventas Presenciales: a) Se recomienda que las agencias implementen mecanismos que permitan la identificación de un cliente cuando se trate de una venta no presencial. b) Desarrollar sistemas que permitan realizar análisis a las transacciones recibidas y validar números de tarjetas con altos volúmenes de transacciones fraccionadas en un periodo de tiempo relativamente corto. c) Se deben fijar políticas claras en relación con los topes máximos para la venta en cuanto a cantidad de productos y valores. (ejp. Una sola tarjeta compra más de 40 productos). d) Generar señales de alerta a transacciones recurrentes de diferentes números de tarjeta a una misma dirección. e) Generar señales de alerta a múltiples transacciones de un mismo cliente con diferentes tarjetas, desde distintos comercios. f) Realizar una mayor validación a transacciones con tarjetas internacionales fijar parámetros claros. Dirección de Apoyo Preventivo - Incocrédito 8

9 g) Segmentar los clientes por nivel de riesgo según los productos adquiridos, teniendo en cuenta la zona de entrega y la Zona de residencia que registre el cliente (Venta de servicios, Productos electrónicos, electrodomésticos, licores, etc). h) De acuerdo con su experiencia debe tener mayor atención a los productos y/o servicios de mayor riesgo. Ejp. Compra de vuelos nacionales de un tarjetahabiente extranjero con destino a terceras personas. i) Uso de listas de referencia y lista VIP: Generar un archivo plano con el historial de las dirección, teléfono y demás información que se considere diferente a la información transaccional y propia de la tarjeta. La cual debe ser utilizada como validación antes de generar el proceso de autorización de operaciones con tarjetas internacionales y nacionales. 2.2 Ventas No Presenciales (Internet): a) La página Web del comercio debe ser una página segura certificada por una empresa idónea y reconocida como es el caso de Certicamaras en Colombia. b) La información del tarjeta habiente debe viajar por un canal dedicado (VPN) o Red privada virtual (Virtual Private Network) c) La información debe ser encriptada con software de alto nivel y reconocimiento, la norma PCI DSS exige la utilización de Triple DES o AES. d) Certificarse con los sistemas de tarjetas para realizar transacciones seguras por Internet. e) Hacer validaciones con el cliente vía telefónica. f) El comercio debe conocer bien a su cliente. g) Tener controles apropiados para clientes que olvidan sus contraseñas. h) Proteger la información con SSL. i) Conocer los países riesgoso, para el caso de transacciones internacionales j) Servicio de atención telefónica 7 x 24. k) Soporte en línea para casos donde se requiera asistencia por parte del cliente l) Una línea 1800 para atender inquietudes del cliente, sino se comunicara con su Banco. Dirección de Apoyo Preventivo - Incocrédito 9

10 m) Políticas de facturación y de cambios, reembolsos y cancelaciones. n) Uso de antivirus para evitar la instalación de troyanos o virus que faciliten el robo de información. Dirección de Apoyo Preventivo - Incocrédito 10

11 2.2.1 Monitoreo De Direcciones IP a) Múltiples transacciones con una sola tarjeta/cuenta en un período corto de tiempo. b) Múltiples tarjetas usadas desde una misma dirección IP en un periodo corto de tiempo. c) Monitoreo de direcciones IP vs. direcciones de entrega de mercancía d) Múltiples transacciones en una tarjeta o números de tarjeta similares con una sola dirección de facturación, pero con diferentes direcciones de entrega. e) Es importante definir la procedencia de la transacción e igualmente la validación de la lista negra por direcciones de entrega. f) Validar los Cookies contra la información de dirección IP almacenada anteriormente debido al cambio dinámico de las direcciones IP. 3 Control de la información: a) La administración de la información debe estar en áreas seguras. b) Realizar seguimiento estricto al manejo y control de información en servidores y equipos de cómputo. c) No almacenar información Financiera de tarjetahabientes, bases de datos que puedan comprometer al comercio como punto de compromiso por fuga de información. d) Informar al cliente de las políticas y normas de seguridad para realizar transacciones en la página de una manera segura. e) Cumplir con estándares de seguridad información como PCI. Dirección de Apoyo Preventivo - Incocrédito 11