Somos una empresa mediana. Recientemente, uno de los representantes del departamento de finanzas planteó una pregunta sobre el uso de tarjetas de crédito para comprar en línea entre los diferentes departamentos de nuestra compañía.
Su preocupación se relaciona con los casos en que una persona del Departamento X solicita realizar una compra desde un sitio directamente desde la computadora de su oficina. La razón para hacerlo es tener acceso directo a algunos datos confidenciales necesarios en el momento de la compra.
Actualmente, un representante de finanzas se acerca a la oficina del empleado y proporciona el número CC.
Obviamente, el riesgo proviene de la información de CC almacenada en esa sesión asociada al perfil de usuario en el almacén en línea. Varios escenarios de riesgo aumentan de esta manera si el usuario realiza más compras con esa información de CC, si se filtra esa información o si la cuenta del usuario está comprometida.
Hemos propuesto soluciones como el uso de tarjetas de crédito prepagas, Verified-by-Visa o safetypay, que requiere la aceptación de compras (Finance Dpt) por parte de otra persona después de enviar una orden de compra (Dpt. Usuario que compra). Sin embargo, no todas las tiendas en línea aceptan estos métodos de pago ni siquiera Verified-by-Visa.
Una solución alternativa es hacer que el comprador firme un formulario donde Dpt. X acepta toda la responsabilidad derivada del uso de esta tarjeta de crédito corporativa. Sin embargo, creemos que esta medida carece del factor de prevención que debe adoptar una estrategia de seguridad de la información.
¿Alguna ayuda?