Bei Zahlungsabwicklungen unterliegen Unternehmen einigen Compliance-Richtlinien. Die PCI DSS-Vorgaben sehen z.B. einen besonders gesicherten Zugriff auf Netzwerke vor, die sensible Informationen zu Kreditkartenzahlungen enthalten. Gerade für Mitarbeiter, die aus der Ferne auf ein solches Netzwerk zugreifen, gelten hierbei spezielle Vorgaben: Die einfache Anmeldung mit Passwort allein ist gemäß PCI DSS nicht erlaubt.
Zusätzliche Absicherung beim Login
Dementsprechend müssen Unternehmen reagieren und eine zusätzliche Absicherung beim Netzwerk-Login etablieren. Die Zwei-Faktor-Authentifizierung bietet sich hier an. Dass Firmen dafür kostspielige Smartcards oder andere Token für die Legitimierung der Mitarbeiter anschaffen müssen, stößt vielerorts auf Unmut. Als kostensparende und sichere Alternative stehen tokenlose Zwei-Faktor-Authentifizierungslösungen wie SecurAccess bereit. Statt physischen Hardware Token werden Mobiltelefone als Token verwendet. Sobald sich ein Anwender im Netzwerk anmelden möchte, empfängt er per SMS einen Zahlencode, der aus sechs Ziffern besteht. Diesen gibt er zusammen mit seinen Benutzerdaten ein, um sich eindeutig zu legitimieren. Der Passcode ist nur einmal gültig und verfällt sofort nach der Eingabe. Für einen erneuten Netzwerk-Login schickt SecurAccess dem User eine neue Zahlenkombination zu.
„SecurAccess nutzt aus guten Gründen ein Mobiltelefon als Token“, erklärt Steve Watts, Sales und Marketing Director bei SecurEnvoy. „Erstens besitzt nahezu jeder ein Handy oder Smartphone und zweitens trägt es jeder stets bei sich. Hardware-Token werden oft verloren oder von Mitarbeitern zu Hause vergessen. Das verursacht Kosten für den Ersatz und lähmt zudem die Arbeitsprozesse, da sich Angestellte vorerst nicht im Netzwerk legitimieren können. Für Dienstleistungsunternehmen ist die Passcode-Übertragung per SMS somit der günstigste und effizienteste Weg, die PCI DSS-Compliance-Vorgaben einzuhalten.“
Ein Video im SecurEnvoy YouTube-Kanal zeigt, wie die Waliser Transportgesellschaft Arriva SecurAccess für PCI-konforme Zahlungsabwicklungen nutzt.