Vídeo: Sistema PDV - Ponto de Venda | Funcionalidade 𝘃𝗵sys (Outubro 2024)
Nesta semana, os cibercriminosos russos violaram mais de 330.000 sistemas de ponto de venda (POS) fabricados pela subsidiária Oracle, Micros - um dos três maiores fornecedores de hardware de PDV do mundo. A violação potencialmente expôs dados de clientes em redes de fast food, lojas de varejo e hotéis em todo o mundo.
Os ataques de POS não são novos. Uma das maiores violações de dados da história dos Estados Unidos, o Target hack, expôs mais de 70 milhões de registros de clientes a hackers e custou ao CEO e ao CIO do varejista seus empregos. No momento do ataque, foi revelado que o ataque poderia ter sido evitado se a Target tivesse implementado o recurso de erradicação automática dentro do sistema anti-malware FireEye.
A realidade é que a maioria dos ataques de POS pode ser evitada. Existem muitas ameaças aos seus sistemas de PDV, mas existem muitas maneiras de combater esses ataques., Listarei seis maneiras pelas quais sua empresa pode se proteger contra invasões de POS.
1. Use um iPad para POS
A maioria dos ataques recentes, incluindo os ataques Wendy's e Target, foram resultado de aplicativos de malware carregados na memória do sistema POS. Os hackers podem carregar secretamente aplicativos de malware nos sistemas de PDV e depois furtar dados, sem que o usuário ou o comerciante perceba o que aconteceu. O ponto importante a ser observado aqui é que um segundo aplicativo deve estar em execução (além do aplicativo POS), caso contrário, o ataque não poderá ocorrer. É por isso que o iOS tradicionalmente facilita menos ataques. Como o iOS é capaz de executar completamente um aplicativo por vez, esses tipos de ataques raramente ocorrem em dispositivos fabricados pela Apple.
"Uma das vantagens do Windows é ter vários aplicativos em execução ao mesmo tempo", disse Chris Ciabarra, CTO e cofundador da Revel Systems. "A Microsoft não quer que essa vantagem desapareça… mas por que você acha que o Windows trava o tempo todo? Todos esses aplicativos estão rodando e usando toda a sua memória".
Para ser justo, a Revel Systems vende sistemas de PDV projetados especificamente para o iPad, por isso é do interesse da Ciabarra empurrar o hardware da Apple. No entanto, há uma razão para você raramente, ou nunca, ouvir ataques de POS ocorrendo em sistemas POS específicos da Apple. Lembra quando o iPad Pro foi lançado? Todos se perguntaram se a Apple ativaria a verdadeira funcionalidade multitarefa, o que permitiria que dois aplicativos rodassem simultaneamente em plena capacidade. A Apple deixou esse recurso fora do iPad Pro, para grande desgosto de todos, exceto dos usuários que provavelmente executavam o software POS em seus novos dispositivos.
2. Use criptografia de ponta a ponta
Empresas como a Verifone oferecem software projetado para garantir que os dados de seus clientes nunca sejam expostos a hackers. Essas ferramentas criptografam as informações do cartão de crédito no segundo em que são recebidas no dispositivo POS e mais uma vez quando são enviadas ao servidor do software. Isso significa que os dados nunca estão vulneráveis, independentemente de onde os hackers possam estar instalando malware.
"Você quer uma verdadeira unidade criptografada ponto a ponto", disse Ciabarra. "Você deseja que os dados sejam enviados diretamente da unidade para o gateway. Os dados do cartão de crédito nem sequer tocam na unidade POS."
3. Instale o antivírus no sistema POS
Esta é uma solução simples e óbvia para impedir ataques de POS. Se você deseja garantir que malware prejudicial não se infiltre no seu sistema, instale o software de proteção de terminal no seu dispositivo.
Essas ferramentas analisam o software no seu dispositivo POS e detectam arquivos ou aplicativos problemáticos que precisam ser removidos imediatamente. O software alertará você sobre as áreas problemáticas e o ajudará a iniciar o processo de limpeza necessário para garantir que o malware não resulte em roubo de dados.
4. Bloqueie seus sistemas
Embora seja altamente improvável que seus funcionários usem seus dispositivos de PDV para fins nefastos, ainda há muito potencial para trabalhos internos ou mesmo apenas erro humano para causar problemas enormes. Os funcionários podem roubar dispositivos com o software POS instalado ou deixar o dispositivo acidentalmente no escritório ou em uma loja, ou perdê-lo. Se os dispositivos forem perdidos ou roubados, qualquer pessoa que acessar o dispositivo e o software (especialmente se você não seguiu a regra nº 2 acima) poderá visualizar e roubar os registros dos clientes.
Para garantir que sua empresa não seja vítima desse tipo de roubo, certifique-se de bloquear todos os seus dispositivos no final do dia de trabalho. Responsabilizou-se por todos os dispositivos todos os dias e proteja-os em um local ao qual ninguém além de alguns funcionários selecionados tenha acesso.
5. Seja compatível com PCI de cima para baixo
Além de gerenciar seus sistemas de PDV, você deve cumprir o PCI DSS (Padrão de segurança de dados do setor de cartões de pagamento) em todos os leitores de cartões, redes, roteadores, servidores, carrinhos de compras on-line e até arquivos em papel. O PCI Security Standards Council sugere que as empresas monitorem ativamente e façam inventário de ativos de TI e processos de negócios para detectar qualquer vulnerabilidade. O Conselho também sugere a eliminação dos dados do titular do cartão, a menos que seja absolutamente necessário, e a manutenção da comunicação com bancos e marcas de cartão para garantir que nenhum problema ocorra ou já tenha ocorrido.
Você pode contratar assessores de segurança qualificados para revisar periodicamente seus negócios para determinar se você está seguindo ou não os padrões PCI. Se você estiver preocupado em fornecer acesso de seus sistemas a terceiros, o Conselho fornece uma lista de avaliadores certificados.
6. Contrate especialistas em segurança
"O CIO não vai saber tudo o que um especialista em segurança saberá", disse Ciabarra. "O CIO não pode manter-se atualizado sobre tudo o que está acontecendo na segurança. Mas a responsabilidade exclusiva de um especialista em segurança é manter-se atualizado sobre tudo".
Se sua empresa é pequena demais para contratar um especialista em segurança dedicado, além de um executivo de tecnologia, você desejará contratar alguém com um profundo conhecimento de segurança que saberá quando é hora de procurar ajuda de terceiros.
