Da in Ihrem payever Account mitunter sensible Kundendaten eingesehen werden können, ist es unser Anliegen und unsere Pflicht, Ihren Account und die darin enthaltenen Daten bestmöglich zu schützen.
Wir befolgen daher gängige Best Practices und Empfehlungen von entsprechend auf diese Thematik spezialisierten Stellen (z.B. OWASP).
Im Folgenden finden Sie eine kurze Übersicht der Maßnahmen, die wir zu Ihrer Sicherheit und der Ihrer Kund:innen anwenden:
Pwned: Prüfung bei Passwort-Vergabe
Wenn Sie erstmalig oder im Zuge eines Passwort-Resets ein Passwort bei uns festlegen, gleichen wir das von Ihnen gewählte Passwort im Hintergrund automatisiert mit sogenannten Pwned-Datenbanken ab (das sind Listen mit Passwörtern, die im Zuge von Hackerangriffen in der Vergangenheit schon einmal von anderen Websiten gestohlen wurden). Ist Ihr Passwort auf einer dieser Pwned-Listen zu finden, lehnen wir das Passwort zu Ihrer eigenen Sicherheit ab (auch wenn es ansonsten alle Passwortkriterien, wie z.B. Großbuchstabe, Kleinbuchstabe, Zahl, Sonderzeichen etc.) erfüllt. Stattdessen fordern wir Sie auf, ein neues Passwort zu vergeben.
Sicherheitsvorkehrungen bei falscher Passwort-Angabe
Um Ihren Account vor Bruteforce Attacken (Versuche von Hackern, mittels unzähliger Rateversuche Ihr Passwort schließlich zu erraten) zu schützen, erlaubt unsere Plattform keine größere Anzahl an Fehlversuchen innerhalb kürzerer Zeiträume.
Daher wird Ihnen nach einigen Fehlversuchen zusätzlich zur Passworteingabe ein Captcha angezeigt, welches Sie korrekt lösen müssen. Geben Sie das Passwort dann korrekt ein und lösen auch das Captcha richtig, werden Sie eingeloggt. Unternehmen Sie ab diesem Zeitpunkt allerdings noch weitere erfolglose Versuche, das Passwort korrekt einzugeben, oder lösen wiederholt das Captcha inkorrekt, kann es zu einer Sperrung Ihres Accounts kommen.
Wenn Sie gesperrt wurden, können Sie sich jederzeit wieder selbst entsperren, indem Sie ihr Passwort zurücksetzen. Klicken Sie dazu auf Passwort vergessen, um eine E-Mail mit einem Reset-Link zu erhalten (an die E-Mail-Adresse, mit der Sie sich bei uns registriert haben). Bitte klicken Sie diesen Link zeitnah an und vergeben Sie zügig ein neues Passwort, da der Link aus Sicherheitsgründen nur kurze Zeit gültig ist. Ist Ihr Link bereits abgelaufen, klicken Sie erneut auf Passwort vergessen, um einen neuen Link zu erhalten.
Zwei-Faktor-Authentifizierung (2FA)
Um unautorisierten Zugriff auf Ihren Account weitestgehend auszuschließen, fordern wir Sie zur zusätzlich Eingabe eines Einmal-Codes auf, wenn Sie sich in einer uns noch unbekannten Konstellation (fremde IP bzw. fremdes Gerät) in Ihren Account einloggen. Sie erhalten den besagten Code per E-Mail (an die E-Mail-Adresse, mit der Sie sich bei uns registriert haben). Bitte geben Sie diesen Code innerhalb von fünf Minuten ein, um Ihren Login abzuschließen. Nach fünf Minuten läuft der Code ab, Sie können aber mit einem Klick auf Erneut senden einen neuen Code anfordern.
Nutzerverwaltung
Im Sinne der Betrugsprävention und der Datensparsamkeit empfehlen wir Ihnen dringend, unsere Nutzerverwaltung zu verwenden. Um jeder Person in (oder auch außerhalb) Ihrer Organisation, die auf Ihren payever Account Zugriff haben soll, einen eigenen Zugang einzurichten. Jede:r Nutzer:in kann sich mit seiner oder ihrer eigenen E-Mail-Adresse und seinem oder ihrem eigenen Passwort einloggen.
Bitte geben Sie Usern nur die Rechte, die sie wirklich benötigen (Sie haben hier die Möglichkeit, einzelne Apps auszuwählen und innerhalb der Apps wiederum auszuwählen, welche Aktionen der User dort ausführen darf). Denken Sie daran, in regelmäßigen Abständen Ihre User-Übersicht auf inzwischen ausgeschiedene (nicht mehr für Sie tätige) Personen zu überprüfen und die ggf. entsprechenden User aus Ihrem Account zu löschen.
Es ist nicht vorgesehen, dass mehrere Kolleg:innen sich Zugänge teilen und parallel darin arbeiten - unsere Plattform erlaubt pro Zugang immer nur einen Login gleichzeitig (d.h. wenn Kolleg:in A an seinem Rechner eingeloggt ist und Kolleg:in B sich dann an einem anderen Gerät mit der selben E-Mail-Adresse und demselben Passwort wie Kolleg:in A einloggt, wird Kolleg:in A automatisch ausgeloggt, und wenn diese:r sich daraufhin neu einloggt, wird wiederum Kolleg:in B automatisch ausgeloggt, usw.).