Video: Point of Sale System Architecture and Security (Nobyembre 2024)
Sa linggong ito, ang mga cybercriminals ng Russia ay kumalas ng higit sa 330, 000 point-of-sale (POS) system na ginawa ng Oracle subsidiary Micros - isa sa tatlong pinakamalaking vendor ng POS sa buong mundo. Ang paglabag ay potensyal na nakalantad ang data ng customer sa mga mabilis na kadena ng pagkain, mga tindahan ng tingi, at mga hotel sa buong mundo.
Ang mga pag-atake ng POS ay hindi bago. Isa sa mga pinakamalaking paglabag sa data sa kasaysayan ng US, ang Target hack, nakalantad ng higit sa 70 milyong talaan ng customer sa mga hacker, at gastos ang CEO ng tingi at CIO ang kanilang mga trabaho. Sa oras ng pag-atake, isiniwalat na ang pag-atake ay maiiwasan kung ipinatupad ng Target ang tampok na auto-eradication sa loob ng FireEye anti-malware system.
Ang katotohanan ay ang karamihan sa mga pag-atake ng POS ay maiiwasan. Maraming mga banta sa iyong mga system ng POS ngunit mayroong maraming mga paraan upang labanan ang mga pag-atake na ito., Ililista ko ang anim na mga paraan upang mapangalagaan ng iyong kumpanya laban sa panghihimasok sa POS.
1. Gumamit ng isang iPad para sa POS
Karamihan sa mga kamakailang pag-atake, kabilang ang mga pag-atake ng Wendy at Target, ay bunga ng mga aplikasyon ng malware na na-load sa memorya ng system ng POS. Ang mga hacker ay maaaring lihim na mag-upload ng mga apps ng malware sa mga system ng POS at pagkatapos ay i-pilfer ang data, nang walang gumagamit o negosyante na natanto ang nangyari. Ang mahalagang punto na dapat tandaan dito ay dapat na tumatakbo ang isang pangalawang app (bilang karagdagan sa POS app), kung hindi, hindi maganap ang pag-atake. Ito ang dahilan kung bakit pinapagana ng iOS ang mas kaunting pag-atake. Dahil ang iOS ay magagawang ganap na magpatakbo ng isang app nang sabay-sabay, ang mga ganitong uri ng pag-atake ay bihirang mangyari sa mga aparatong gawa sa Apple.
"Ang isa sa mga pakinabang ng Windows ay ang pagkakaroon ng maraming mga app na tumatakbo nang sabay-sabay, " sabi ni Chris Ciabarra, CTO at cofounder ng Revel Systems. "Hindi nais ng Microsoft ang bentahe na umalis … ngunit bakit sa palagay mo nag-crash ang Windows sa lahat ng oras? Lahat ng mga app ay tumatakbo at ginagamit ang lahat ng iyong memorya."
Upang maging patas, ang mga Revel System ay nagbebenta ng mga POS system na partikular na idinisenyo para sa iPad, kaya sa interes ni Ciabarra na itulak ang hardware ng Apple. Gayunpaman, mayroong isang kadahilanan na bihira ka, kung dati, naririnig ang mga pag-atake ng POS na nagaganap sa mga sistema ng tiyak na Apple. Tandaan kung kailan ipinakita ang iPad Pro? Nagtataka ang lahat kung paganahin ng Apple ang totoong pag-andar ng maraming bagay, na magbibigay-daan sa dalawang apps na sabay na tumakbo nang buong kapasidad. Iniwan ng Apple ang tampok na ito sa iPad Pro, higit sa chagrin ng lahat maliban sa mga gumagamit na malamang na magpatakbo ng POS software sa kanilang mga bagong aparato.
2. Gumamit ng End-to-End Encryption
Ang mga kumpanya tulad ng Verifone ay nag-aalok ng software na idinisenyo upang garantiya ang data ng iyong customer ay hindi nalantad sa mga hacker. Ang mga tool na ito ay naka-encrypt ng impormasyon sa credit card sa pangalawa natanggap ito sa aparato ng POS at sa sandaling muli itong ipinadala sa server ng software. Nangangahulugan ito na ang data ay hindi kailanman mahina laban, anuman ang kung saan maaaring mai-install ng mga hacker ang malware.
"Gusto mo ng isang totoong point-to-point na naka-encrypt, " sabi ni Ciabarra. "Gusto mong dumiretso ang data mula sa yunit patungo sa gateway. Ang data ng credit card ay hindi rin hawakan ang yunit ng POS."
3. I-install ang Antivirus sa POS System
Ito ay isang simple at malinaw na solusyon para maiwasan ang pag-atake ng POS. Kung nais mong tiyakin na ang mapaminsalang malware ay hindi nagpapabagal sa iyong system, mag-install ng software na proteksyon ng endpoint sa iyong aparato.
Ang mga tool na ito ay mai-scan ang software sa iyong POS aparato at tuklasin ang may problemang mga file o apps na kailangang maalis agad. Babalaan ka ng software sa pag-problema sa mga lugar at tulungan mong simulan ang proseso ng paglilinis na kinakailangan upang masiguro ang malware ay hindi nagreresulta sa pagnanakaw ng data.
4. I-lock ang Iyong Mga System
Bagaman hindi lubos na malamang na gagamitin ng iyong mga empleyado ang iyong mga aparato ng POS para sa mga hindi magandang layunin, marami pa ring potensyal para sa mga trabaho sa loob o kahit na ang pagkakamali lamang ng tao upang maging sanhi ng napakalaking problema. Ang mga empleyado ay maaaring magnakaw ng mga aparato na may software na POS na naka-install sa kanila, o hindi sinasadyang iwanan ang aparato sa opisina o sa isang tindahan, o mawala ang aparato. Kung nawala o ninakaw ang mga aparato, sinumang mai-access ang aparato at software (lalo na kung hindi mo sumunod sa panuntunan # 2 sa itaas) ay maaaring tingnan at magnakaw ng mga tala sa customer.
Upang matiyak na ang iyong kumpanya ay hindi nabiktima sa ganitong uri ng pagnanakaw, tiyaking i-lock ang lahat ng iyong mga aparato sa pagtatapos ng araw ng pagtatrabaho. Accounted para sa lahat ng mga aparato sa bawat araw, at mai-secure ang mga ito sa isang lugar na walang sinuman ngunit ang isang piling ilang empleyado ay may access.
5. Maging PCI-Compliant mula sa Nangungunang hanggang sa Ibabang
Bilang karagdagan sa pamamahala ng iyong mga system ng POS, nais mong sumunod sa Payment Card Industry Data Security Standard (PCI DSS) sa lahat ng mga mambabasa ng card, network, router, server, online shopping cart, at kahit na mga file ng papel. Ang PCI Security Standards Council ay nagmumungkahi ng mga kumpanya na aktibong subaybayan at kumuha ng imbentaryo ng mga assets ng IT at mga proseso ng negosyo upang makita ang anumang kahinaan. Iminumungkahi din ng Konseho na alisin ang data ng cardholder maliban kung kinakailangan, at mapanatili ang komunikasyon sa mga bangko at tatak ng card upang matiyak na walang mga isyu na nangyari o naganap na.
Maaari kang umarkila ng mga kwalipikadong tagasuri ng seguridad upang regular na suriin ang iyong negosyo upang matukoy kung sinusunod mo o sinusunod ang mga pamantayan sa PCI. Kung nababahala ka tungkol sa pagbibigay ng pag-access ng iyong mga system sa isang ikatlong partido, ang Konseho ay nagbibigay ng isang listahan ng mga sertipikadong tagatasa.
6. Mga Eksperto sa Hire Security
"Hindi malalaman ng CIO ang lahat na malalaman ng isang dalubhasa sa seguridad, " sabi ni Ciabarra. "Ang CIO ay hindi maaaring manatiling napapanahon sa lahat ng nangyayari sa seguridad. Ngunit ang nag-iisang responsibilidad ng isang dalubhasa sa seguridad ay upang manatiling napapanahon sa lahat."
Kung ang iyong kumpanya ay napakaliit na umarkila ng isang nakatuong dalubhasa sa seguridad bilang karagdagan sa isang executive ng teknolohiya, mas gusto mong umarkila ng isang tao na may malalim na background sa seguridad na malalaman kung oras na upang maabot ang isang third party para sa tulong.
