Sicherheitsrisiken, auf die Finanzteams achten sollten

Egal, ob Sie CFO oder Junior-Mitglied eines Finanzteams sind, Risikomanagement geht alle etwas an. Die Sicherheit von Finanzmitteln zu gewährleisten, hat in jedem Unternehmen höchste Priorität. Um Sicherheitslücken vorzubeugen, gilt es allerdings zu wissen, wo genau Teams nach solchen Ausschau halten sollten.

Wir präsentieren also: Drei der größten Sicherheitsrisiken, wenn es um Unternehmensfinanzen geht, einschließlich der Maßnahmen, die Pleo ergreift, um solchen entgegenzuwirken.

Warum Sie Ihre Finanzen nicht allein einer Bank anvertrauen sollten

Erinnern Sie sich, an den Zusammenbruch der Silicon Valley Bank (SVB) im März? Es kam zu einem der schnellsten Bank-Runs – und der schnellsten Rettung von Einleger:innen – überhaupt. Über 200 Milliarden USD hatte die SVB an Krediten vergeben. Ein Großteil der Kundschaft hatte sich ausschließlich auf sie als Hauptbank verlassen.

Es gibt einen Grund, warum Leute davor warnen, alle ihre Eier in einen Korb zu legen. Gerät eine Bank in Schwierigkeiten oder kommt es zu anderweitigen Problemen, steht alles Geld auf dem Spiel. So erklärt sich auch, warum über 42 Milliarden USD an nur einem Tag von SVB abgehoben wurden – die Gerüchteküche war bereits am Brodeln.

Das Abhängen von einer einzigen Bank birgt Risiken.

Gleichzeitig gibt es keinen Ansatz, Gelder zwischen verschiedenen Bankkonten aufzuteilen, der für alle Unternehmen gleich gut geeignet ist. 

Eine Strategie ist es, ein Girokonto für tägliche Ausgaben und ein Sparkonto für Notfallmittel zu haben. Ein Teil Ihrer Ersparnisse kann auf einem Konto mit fester Laufzeit aufbewahrt werden (da diese in der Regel höhere Zinssätze bieten) und ein anderer Teil auf einem Konto, auf das Sie jederzeit leicht zugreifen können. Kommt es zu Schwierigkeiten, können Sie Gelder leicht auf eines Ihrer anderen Konten übertragen.

Auch Pleo pflegt Beziehungen zu mehreren Banken. Außerdem arbeiten wir nur mit Banken zusammen, die als systemrelevant eingestuft werden (was bedeutet, dass die Regierung eher bereit ist, einzuspringen, wenn sie drohen zu kollabieren).

Der Großteil unserer Gelder wird bei J.P. Morgan gehalten. Die Überweisung von Rechnungsbeträgen erfolgt durch unsere Zusammenarbeit mit Banking Circle so schnell wie möglich. Möchten Sie Ihrem Pleo-Wallet Geld entnehmen und auf ein anderes Bankkonto überweisen, dauert es maximal drei Werktage, bis das Geld auf diesem Bankkonto eingeht.

Betrugsvorsorge ist besser als Betrugsnachsorge

Leider werden die Methoden, die Kriminelle anwenden, um an Ihre persönliche oder geschäftliche Daten zu gelangen, immer raffinierter. In Deutschland werden 9 von 10 Unternehmen Opfer von Datendiebstahl, Spionage oder Sabotage.

1. Starke Kundenauthentifizierung

Eine Möglichkeit, die Daten Ihrer Kundschaft zu schützen, besteht darin, nur Tools zu verwenden, die eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) nutzen. SCA ist eine europäische Vorschrift, die Betrug reduzieren und Zahlungen sicherer machen soll. Sie beinhaltet den Einbau einer zusätzlichen Authentifizierungsebene in Checkout-Prozesse, wie zum Beispiel die Zwei-Faktor-Authentifizierung (2FA).

Wenn Sie sich bei Pleo anmelden, ist es uns wichtig, sicherzugehen, dass es wirklich Sie sind, die sich anmelden. Unser Log-in-Flow erfordert daher einen weiteren Authentifizierungsfaktor, auf den andere Unternehmen gerne mal verzichten. Auch wenn es unsere Kunden und Kundinnen einige Sekunden mehr kostet sich anzumelden, am Ende macht das unseren Log-in-Prozess überdurchschnittlich Phishing-resistent.

2. PCI DSS

Technologieanbieter wie Pleo sollten darüber hinaus den Payment Card Industry Data Security Standard (PCI DSS) erworben haben. Dies ist ein strenger Maßstab, der eine sichere Umgebung für Finanzen und Daten gewährleistet. 

Eine der Anforderungen, die der PDI DSS an Pleo stellt, ist zum Beispiel, dass wir die Kartendaten unserer Kundschaft nicht vollständig einsehen können. Das bedeutet, dass es für uns keine Möglichkeit gibt, auf CSV-Nummern zuzugreifen.

Hatten wir schon erwähnt, dass wir jedes Jahr die höchste Stufe der PCI-DSS-Prüfung bestehen? Wir nehmen die Sicherheit Ihrer Finanzen wirklich ernst und führen deswegen auch regelmäßige Penetrationstests durch, um etwaige Sicherheitslücken zu finden und zu schließen.

3. Schnelle Handlungsmöglichkeiten

Es lohnt sich, Prozesse zu implementieren, um schnelles Handeln zu ermöglichen.

Mit Pleo können Sie Karten sofort sperren, entsperren und Nutzer:innen schnell und einfach anlegen und wieder entfernen. Diese Funktion ist auch praktisch, wenn jemand Ihr Unternehmen verlässt.

Achtung vor den Schattenseiten der Abhängigkeit von Dritten

Für viele Unternehmen ist es normal, sich beim Datenmanagement auf Dritte zu verlassen. Diesen Unternehmen sollte allerdings auch bewusst sein, dass alle beteiligten Parteien für etwaige Probleme verantwortlich sind – unabhängig davon, wer die Due-Diligence-Prüfung durchführt.

Es empfiehlt sich also für jede Person oder jedes Unternehmen, mit dem Sie ein Geschäft eingehen, eine eigene Überprüfung der Geschäftsbeziehungen durchzuführen. Auf diese Weise können Sie potenzielle Risiken selbst identifizieren, bewerten und nur mit denjenigen Geschäfte machen, die Ihnen ein gutes (bzw. sicheres) Gefühl geben.

Auch Pleo führt seine eigenen Due-Diligence-Prüfungen durch. Für unsere Kundschaft bedeutet das, dass sie nicht in den Kundenstamm eines anderen Unternehmens eingegliedert wird (also nicht in ein größeres Kartenprogramm, das sich eventuell negativ auf Sie auswirkt).

Technisch von anderen abhängig zu sein ist eine Sache, eine andere ist es, von den Regulierungen anderer abhängig zu sein.

Verlassen Sie sich bei der Regulierung auf ein anderes Unternehmen, betreffen alle Änderungen von Vorschriften, Steuern, Zinssätzen usw. auch Sie. 

Pleo ist deswegen Teil von Pleo Financial Services, einem Finanzunternehmen, das von der dänischen Finanzaufsicht FSA reguliert wird. Die Existenz von Pleo Financial Services bedeutet, dass wir unsere eigenen Compliance- und Betrugsvorschriften durchsetzen können und eine enge Beziehung zur Finanzaufsichtsbehörde unterhalten. Außerdem sind wir nicht dem Risiko ausgesetzt, von anderen für Versäumnisse in der Unternehmensführung verantwortlich gemacht zu werden. (Und wir sind sehr wählerisch bei den wenigen Dritten, mit denen wir zusammenarbeiten).

Dass wir zusätzlich die aktuelle DSGVO-Gesetzgebung vollständig einhalten, ist eigentlich keine Option, sondern Gesetz. Bei Nichteinhaltung drohen Geldstrafen in Höhe von 20 Millionen EUR oder, falls höher, bis zu vier Prozent des weltweiten Umsatzes.

Aber was genau bedeutet die Einhaltung der DSGVO-Gesetzgebung genau für unsere Kundschaft?

• Wir verarbeiten personenbezogene Daten nie länger als nötig.
• Wir verwenden Kundendaten nur für das, was gesetzlich erlaubt ist. 
• Wir geben Kundendaten nicht ohne Zustimmung an Website-Marketing-Agenturen weiter oder verwenden sie für Newsletter usw. 
• Alle Ausweisdokumente, die Kunden und Kundinnen während der Überprüfung hochladen, werden sicher in AWS gespeichert und sind nur für unser Compliance-Team zugänglich.

Für weitere Informationen lesen Sie gerne unsere Cookie-Richtlinie.

Möchten Sie mehr über die Sicherheit unserer Firmenkarten und Maßnahmen zur Betrugsbekämpfung erfahren? Scrollen Sie nach ganz unten in den Footer und klicken Sie auf „Betrugsvermeidung". Dort finden Sie einen praktischen Leitfaden, der Ihnen unseren Ansatz bezüglich Sicherheit und Betrug näherbringt.