Da in Ihrem payever-Account mitunter sensible Kundendaten eingesehen werden können, ist es unser Anliegen und unsere Pflicht, Ihren Account und die darin enthaltenen Daten bestmöglich zu schützen.
Wir befolgen daher gängige Best Practices und Empfehlungen entsprechend auf diese Thematik spezialisierten Stellen (z.B. OWASP).
Im Folgenden finden Sie eine kurze Übersicht der Maßnahmen, die wir zu Ihrer Sicherheit und der Ihrer Kunden anwenden:
Pwned Prüfung bei Passwort-Vergabe
Wenn Sie erstmalig oder im Zuge eines Passwort-Resets ein Passwort bei uns festlegen, gleichen wir das von Ihnen gewählte Passwort im Hintergrund automatisiert mit sogenannten "Pwned"-Datenbanken ab (das sind Listen mit Passwörtern, die im Zuge von Hackerangriffen in der Vergangenheit schon einmal von anderen Websiten gestohlen wurden). Ist ihr Passwort auf einer dieser Pwned-Listen zu finden, lehnen wir das Passwort zu Ihrer eigenen Sicherheit ab (auch wenn es ansonsten alle Passwortkriterien, wie z.B. Großbuchstabe, Kleinbuchstabe, Zahl, Sonderzeichen) erfüllt. Stattdessen fordern wir Sie auf, ein neues Passwort zu vergeben.
Sicherheitsvorkehrungen bei falscher Passwort-Angabe
Um Ihren Account for Bruteforce Attacken (Versuche von Hackern, mittels unzähliger Rate-Versuche ihr Passwort schließlich zu erraten) zu schützen, erlaubt unsere Plattform keine größere Anzahl an Fehlversuchen innerhalb kürzerer Zeiträume.
Daher wird Ihnen nach einigen Fehlversuchen zusätzlich zur Passworteingabe ein Captcha angezeigt, welches Sie korrekt lösen müssen. Geben Sie das Passwort dann korrekt ein und lösen auch das Captcha richtig, werden Sie ohne weiteres eingeloggt. Unternehmen Sie ab diesem Zeitpunkt allerdings noch weitere erfolglose Versuche, das Passwort korrekt einzugeben, oder lösen wiederholt das Captcha inkorrekt, kann es zu einer Sperrung Ihres Accounts kommen.
Wenn Sie gesperrt wurden, können Sie sich jederzeit wieder selbst entsperren, indem Sie ihr Passwort zurücksetzen. Klicken Sie dazu auf "Passwort vergessen", um eine Email mit einem Reset-Link zu erhalten (an die Email, mit der Sie sich bei uns registriert haben). Bitte klicken Sie diesen Link zeitnah an und vergeben Sie zügig ein neues Passwort, da der Link aus Sicherheitsgründen nur kurze Zeit gültig ist. Ist ihr Link bereits abgelaufen, klicken Sie erneut auf "Passwort vergessen", um einen neuen Link zu erhalten.
Zwei Faktor Authentifizierung (2FA)
Um unautorisierten Zugriff auf Ihren Account weitestgehend auszuschließen, fordern wir Sie zur zusätzlich Eingabe eines Einmal-Codes auf, wenn Sie sich in einer uns noch unbekannten Konstellation (fremde IP bzw. fremdes Gerät) in Ihren Account einloggen. Sie erhalten den besagten Code per Email (an die Email, mit der Sie sich bei uns registriert haben). Bitte geben Sie ihn innerhalb von fünf Minuten ein, um Ihren Login abzuschließen. Nach fünf Minuten läuft der Code ab, Sie können aber mit einem Klick auf "Erneut senden" einen neuen Code anfordern.
Nutzerverwaltung
Im Sinne der Betrugsprävention und der Datensparsamkeit empfehlen wir Ihnen dringend, unsere Nutzerverwaltung zu verwenden. Um jeder Person in (oder auch außerhalb) Ihrer Organisation, die auf Ihren payever-Account Zugriff haben soll, einen eigenen Zugang einzurichten. Jeder Nutzer kann sich mit seiner eigenen Email-Adresse und seinem eigenen Passwort einloggen.
Bitte geben Sie Usern nur die Rechte, die diese wirklich benötigen (Sie haben hier die Möglichkeit, einzelne Apps auszuwählen und innerhalb der Apps wiederum auszuwählen, welche Aktionen der User dort ausführen darf). Denken Sie daran, in regelmäßigen Abständen Ihre User-Übersicht auf inzwischen ausgeschiedene (nicht mehr für Sie tätige) Personen zu überprüfen und die ggf. entsprechenden User aus Ihrem Account zu löschen.
Es ist nicht vorgesehen, dass mehrere Kollegen sich Zugänge teilen und parallel darin arbeiten - unsere Plattform erlaubt pro Zugang immer nur einen Login gleichzeitig (d.h. wenn Kollege A an seinem Rechner eingeloggt ist und Kollege B sich dann an einem anderen Gerät mit der selben Email und dem selben Passwort wie Kollege A einloggt, wird Kollege A automatisch ausgeloggt, und wenn dieser sich daraufhin neu einloggt, wird wiederum Kollege B automatisch ausgeloggt, usw.).