La reciente violación de datos de Macy's, en la que los piratas informáticos pudieron robar la información personal y de pago del cliente, es un recordatorio de que las compras en línea y minoristas pueden ser riesgosas.
Considere cómo el pirateo de la tienda Target en 2014 fue una de las mayores violaciones de datos del sistema de punto de venta (POS) en la historia de los Estados Unidos que expuso más de 70 millones de registros de clientes a los piratas informáticos y le costó el trabajo al CEO y CIO del minorista.
Más tarde se reveló que el ataque podría haberse evitado si Target hubiera implementado la función de erradicación automática dentro de su sistema anti-malware FireEye.
Con el Black Friday de esta temporada acercándose rápidamente, las organizaciones deberían tomarse en serio la protección de sus sistemas POS.
Afortunadamente, la realidad es que la mayoría de los ataques a POS se pueden evitar.
Sí, existen muchas amenazas para los sistemas POS, pero ahora existen tantas formas de combatir estas amenazas.
Independientemente del método que utilice, asegúrese de que su empresa tenga una red privada virtual (VPN) para proteger los datos que viajan de un lado a otro en la red de su empresa.
Siga leyendo para conocer las seis formas en que su empresa puede protegerse contra las intrusiones en los puntos de venta.
1.
Use un iPad para POS
La mayoría de los ataques antes mencionados han sido el resultado de aplicaciones de malware cargadas en la memoria del sistema POS.
Los piratas informáticos pueden cargar en secreto aplicaciones de malware en los sistemas POS y luego robar datos, sin que el usuario o el comerciante se den cuenta de lo que sucedió.
El punto importante a tener en cuenta aquí es que se debe ejecutar una segunda aplicación (además de la aplicación POS), de lo contrario, el ataque no puede ocurrir.
Es por eso que iOS tradicionalmente ha facilitado menos ataques.
Debido a que iOS solo puede ejecutar completamente una aplicación a la vez, este tipo de ataques rara vez ocurren en dispositivos fabricados por Apple.
"Una de las ventajas de Windows es tener varias aplicaciones ejecutándose a la vez", dijo Chris Ciabarra, cofundador de la plataforma POS Revel Systems.
"Microsoft no quiere que esa ventaja desaparezca ...
pero ¿por qué crees que Windows se bloquea todo el tiempo? Todas esas aplicaciones se ejecutan y usan toda tu memoria".
Para ser justos, Revel Systems vende sistemas POS diseñados específicamente para iPad, por lo que a Ciabarra le interesa impulsar el hardware de Apple.
Sin embargo, hay una razón por la que rara vez, si es que alguna vez, oye hablar de ataques POS que ocurren en sistemas POS específicos de Apple.
¿Recuerdas cuando se presentó el iPad Pro? Todos se preguntaban si Apple permitiría una verdadera funcionalidad multitarea, lo que permitiría que dos aplicaciones se ejecutaran simultáneamente a plena capacidad.
Incluso en su versión más reciente, Apple aún ha dejado esta función fuera del último iPad Pro ($ 899.00 en Amazon) , para disgusto de todos, excepto de aquellos usuarios que probablemente ejecuten software POS en sus dispositivos.
2.
Utilice el cifrado de un extremo a otro
Empresas como Verifone ofrecen software diseñado para garantizar que los datos de sus clientes nunca estén expuestos a piratas informáticos.
Estas herramientas cifran la información de la tarjeta de crédito en el momento en que se recibe en el dispositivo POS y una vez más cuando se envía al servidor del software.
Esto significa que los datos nunca son vulnerables, independientemente de dónde los piratas informáticos puedan estar instalando malware.
"Quieres una verdadera unidad encriptada punto a punto", dijo Ciabarra.
"Desea que los datos vayan directamente de la unidad a la puerta de enlace.
Los datos de la tarjeta de crédito ni siquiera tocarán la unidad POS".
3.
Instale Antivirus en el sistema POS
Esta es una solución simple y obvia para prevenir ataques a POS.
Si desea asegurarse de que el malware dañino no se infiltre en su sistema, instale el software de protección de endpoints en su dispositivo.
Estas herramientas escanearán el software en su dispositivo POS y detectarán archivos o aplicaciones problemáticos que deben eliminarse de inmediato.
El software lo alertará sobre áreas problemáticas y lo ayudará a comenzar el proceso de limpieza requerido para garantizar que el malware no resulte en el robo de datos.
4.
Bloquee sus sistemas
Aunque es muy poco probable que sus empleados utilicen sus dispositivos POS para fines nefastos, todavía hay mucho potencial para trabajos internos o incluso simplemente errores humanos que causen problemas masivos.
Los empleados pueden robar dispositivos con software POS instalado, o dejar el dispositivo accidentalmente en la oficina o en una tienda, o perder el dispositivo.
Si los dispositivos se pierden o son robados, cualquier persona que acceda al dispositivo y al software (especialmente si no siguió la regla 2 anterior) podrá ver y robar los registros de los clientes.
Para asegurarse de que su empresa no sea víctima de este tipo de robo, asegúrese de bloquear todos sus dispositivos al final de la jornada laboral.
Tenga en cuenta todos los dispositivos todos los días y asegúrelos en un lugar al que solo tengan acceso unos pocos empleados seleccionados.
5.
Evite conectar su POS a redes externas
Los piratas informáticos más peligrosos pueden comprometer los sistemas de forma remota y no necesitan estar en una tienda minorista para desviar información valiosa de negocios y clientes.
Los sistemas que se conectan a redes externas son más susceptibles a los ataques de piratas informáticos.
Algunos que pueden haberse infiltrado en sistemas externos con software que permanece inactivo hasta que se conectan con un POS.
Considere mantener las cosas internas y seguras, use una red corporativa para manejar tareas críticas como el procesamiento de pagos.
6.
Cumpla con PCI de arriba a abajo
Además de administrar sus sistemas POS, querrá cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) en todos los lectores de tarjetas, redes, enrutadores, servidores, carritos de compras en línea e incluso archivos en papel.
El PCI Security Standards Council sugiere que las empresas monitoreen activamente y realicen un inventario de los activos de TI y los procesos comerciales para detectar cualquier vulnerabilidad.
El Consejo también sugiere eliminar los datos de los titulares de tarjetas a menos que sea absolutamente necesario, y mantener la comunicación con los bancos y las marcas de tarjetas para garantizar que no ocurran problemas o que ya hayan ocurrido.
Puede contratar asesores de seguridad calificados para revisar periódicamente su negocio y determinar si está siguiendo o no los estándares de PCI.
Si le preocupa dar acceso a sus sistemas a un tercero, el Consejo proporciona una lista de evaluadores certificados.
7.
Contratar expertos en seguridad
"El CIO no va a saber todo lo que sabrá un experto en seguridad", dijo Ciabarra.
"El CIO no puede mantenerse actualizado sobre todo lo que está sucediendo en seguridad.
Pero la única responsabilidad de un experto en seguridad es mantenerse al día en todo".
Si su empresa es demasiado pequeña para contratar a un experto en seguridad dedicado además de un ejecutivo de tecnología, entonces al menos querrá contratar a alguien con una profunda experiencia en seguridad que sepa cuándo es el momento de pedir ayuda a un tercero.