A BalaBit IT Security biztonsági cég tegnapi közleményében figyelmeztetett arra, hogy véleményük szerint szigorúbb szabályozásra lenne szükség a Széchenyi Pihenőkártyák ( rövid néven: SZÉP Kártyák) fizetési metódusát illetően, amely jobban védi a kártyatulajdonosok személyes adatait. A BalaBit úgy véli, hogy jelenleg a felhasználóknak rendkívül elővigyázatosnak kell lenniük a kártya használata és tárolása során, ha azt szeretnék, hogy a munkáltató által azon elhelyezett összeg a rendelkezésükre álljon, és ne kerüljön illetéktelen kezekbe.

Jelen pillanatban 355 ezer SZÉP Kártya van forgalomban Magyarországon, amelyeken a munkáltató béren kívüli juttatásként évi 450 ezer forintot helyezhet el kedvezményes adózással dolgozói számára. A szoros határidővel bevezetett SZÉP Kártyák használata során azonban számos olyan alkalom adódhat, amikor kártyaadataink illetéktelen kezekbe kerülhetnek – a BalaBit szakértői szerint erre nyújthat megoldást például a PCI-DSS-hez (Payment Card Industry Data Security Standard) hasonló szabályozás, amely a kártyaadatokat tároló, feldolgozó és továbbító szervezetekre vonatkozik és a visszaélések csökkentését célozza.

Mire kell odafigyelniük a SZÉP kártya tulajdonosoknak?

A BalaBit a mostani helyzetet elemezve rámutatott a kritikus pontokra, és ezekkel kapcsolatban összegyűjtötte tanácsait, melyek a SZÉP Kártyán tárolt adatok biztonságos megőrzését szolgálják.

Aktiválás

A használat megkezdése előtt a SZÉP Kártyát aktiválni kell. Ehhez szükséges a kártyaszám és kibocsátótól függően vagy egy TeleKód (a kártyaszám utolsó 3 jegye) és a születési dátumunk, vagy egy jelszó (ami az egyik szolgáltató esetén a születési dátumunk, másik esetben az adószámunk). A születési dátum az egyik legkönnyebben megszerezhető személyes adat, például a közösségi profilokon rendszeresen szerepel. Tehát bárki, aki tudja a kártyaszámunkat és az iWiW-en vagy Facebookon megnézi a születési dátumunkat, aktiválhatja a SZÉP kártyánkat – ez a forgalomban lévő SZÉP Kártyák mintegy 80 %-át érinti.

Tipp: Ha már megkaptuk a kártyát, rendszeresen ellenőrizzük az egyenleget akkor is, ha még nem akarjuk használni. Ha aktiváltuk, első dolgunk legyen, hogy a 3 jegyű TeleKódot vagy a jelszót megváltoztassuk, ahogy a szolgáltatók is javasolják. Kártyaszámunkat csak az elfogadóhelyeken adjuk meg és kezeljünk gondosan minden olyan bizonylatot, amin a kártyaszámunk szerepel.

Személyes fizetés

A SZÉP Kártyák – bár a technológia ezt lehetővé tenné, és a mágnes csíkkal működő bankkártyák esetében széles körben el is terjedt – nem rendelkeznek magasabb szintű biztonsági azonosítóval (például PIN-kód). Az elfogadóhelyeken azonban ellenőrizhetik a személyazonosságot. Azonosítási pont lehet még a kártyabirtokos aláírása, amelynek szerepelnie kell a kártya hátulján (aláírás hiányában a kártya érvénytelen). Ha személyesen fizetünk vele, az egyik bizonylatot alá kell írnunk, így az aláírást a pénztáros összevetheti a kártyán szereplővel.

Tipp: Fontos, hogy minden egyes tranzakció után várjuk meg és gondosan tegyük el a bizonylatokat. Két bizonylatot kapunk, az egyiket aláírva vissza kell adnunk, a másik pedig a saját példányunk. Fokozottan ügyeljünk rá, hogy a saját példányunkat ne hagyjuk ott, ne dobjuk a legközelebbi papírkosárba, ugyanis mindkét bizonylat tartalmazza az aktuális egyenlegünk mellett a teljes 16 jegyű kártyaszámunkat (nincsenek kicsillagozott karakterek mint a bankkártyás fizetés esetén), a kibocsátó nevét és lejáratot, amelyek ismeretében az interneten bárki rendelhet a kontónkra.

Nagyításhoz klikk! a képre

Internetes fizetéshez elegendő a kártyaszám és a lejárati dátum

Online fizetés esetén még a személyes fizetésnél is kevesebb az azonosítási lehetőség, ami egyúttal azt is jelenti, hogy több a lehetőség a visszaélésre. Online vásárlás esetén a fizetés módjának kiválasztjuk a SZÉP Kártyát. Ekkor 4 adatot kérnek el: a kártyaszámot, a kártyabirtokos nevét, kibocsátóját és a kártya lejárati dátumát. A gyakorlat sajnos azt mutatja, hogy ha a kártyaszámot és a lejáratot sikerül helyesen beírni, a további mezők üresen hagyhatók vagy elgépelhetők, és a tranzakció is sikeres lesz, az összeget azonnal levonják a kártyánkról. Bár a többi adat megszerzése sem okozhat gondot, ha véletlenül hátrahagytuk a blokkot, azon mind megtalálható. Még blokk nélkül is maximum 6 próbálkozásból sikerrel járhatna bárki: jelenleg 3 kártyakibocsátó van Magyarországon, az OTP, az MKB és a K&H Csoport, ezeket a változókat könnyű cserélni; a SZÉP Kártyák többségét pedig idén gyártották le és bocsátották ki 5 évre, így a kártyák legnagyobb részének lejárata öt év múlva február vagy március lehet. A hónapok elteltével ugyan nő a variációs lehetőség, viszont a próbálkozások száma korlátlan.

Tipp: A kártyánkat biztonságos helyen tároljuk, ahol a kártyaszám sem olvasható le mások által. A kártyaszámot a lehető legkevesebb helyre írjuk fel. Ugyanúgy, mint bankkártyás online fizetés esetén, csak biztonságos számítógépen adjuk meg adatainkat. Rendszeresen ellenőrizzük egyenlegünket, hogy kiszúrjuk a gyanús tranzakciókat. Ha ilyet észlelünk, jelezzük a kibocsátó felé és/vagy tiltsuk le a kártyát! Az új kártya igénylésének költsége 1500 Ft + áfa, amely a munkavállalót terheli, átfutási ideje legalább néhány hét.

Összefoglalva:

• Azonnal cserélje le a jelszót vagy a 3 jegyű TeleKódot a kártya aktiválása után
• Ne dobja ki felelőtlenül a kártyával együtt kapott tájékoztatót
• Soha ne hagyja ott a pénztárnál a blokk másodpéldányát, ha SZÉP Kártyával fizetett! Ne dobja ki felelőtlenül ezeket a bizonylatokat
• A SZÉP Kártya számát ne mondja el másnak
• A SZÉP Kártya lejárati dátumát ne árulja el senkinek
• Rendszeresen ellenőrizze egyenlegét, és tételesen nézze át tranzakcióit
• Ha bármilyen gyanús tranzakciót észlel, jelezze szolgáltatójánál és/vagy tiltsa le SZÉP Kártyáját