Video: Punto de Venta VB6 De Proyecto a Ya Instalado(1) (Noviembre 2024)
Esta semana, los ciberdelincuentes rusos violaron más de 330, 000 sistemas de puntos de venta (POS) fabricados por la subsidiaria de Oracle Micros, uno de los tres proveedores de hardware de POS más grandes del mundo. La violación ha expuesto potencialmente datos de clientes en cadenas de comida rápida, tiendas minoristas y hoteles de todo el mundo.
Los ataques POS no son nuevos. Una de las mayores violaciones de datos en la historia de los EE. UU., El pirateo de Target, expuso más de 70 millones de registros de clientes a los piratas informáticos, y le costó el trabajo al CEO y CIO del minorista. En el momento del ataque, se reveló que el ataque podría haberse evitado si Target hubiera implementado la función de erradicación automática dentro de su sistema antimalware FireEye.
La realidad es que la mayoría de los ataques POS pueden evitarse. Existen muchas amenazas para sus sistemas POS, pero hay tantas formas de combatir estos ataques., Enumeraré seis formas en que su empresa puede protegerse contra las intrusiones de POS.
1. Use un iPad para POS
La mayoría de los ataques recientes, incluidos los ataques Wendy's y Target, han sido el resultado de aplicaciones de malware cargadas en la memoria del sistema POS. Los hackers pueden cargar en secreto aplicaciones de malware en los sistemas de punto de venta y luego robar datos, sin que el usuario o el comerciante se den cuenta de lo que sucedió. El punto importante a tener en cuenta aquí es que debe estar ejecutándose una segunda aplicación (además de la aplicación POS), de lo contrario el ataque no puede ocurrir. Es por eso que iOS ha facilitado tradicionalmente menos ataques. Debido a que iOS solo puede ejecutar completamente una aplicación a la vez, este tipo de ataques rara vez ocurren en dispositivos hechos por Apple.
"Una de las ventajas de Windows es tener múltiples aplicaciones ejecutándose a la vez", dijo Chris Ciabarra, CTO y cofundador de Revel Systems. "Microsoft no quiere que esa ventaja desaparezca… pero ¿por qué crees que Windows se bloquea todo el tiempo? Todas esas aplicaciones se están ejecutando y usan toda tu memoria".
Para ser justos, Revel Systems vende sistemas POS diseñados específicamente para iPad, por lo que a Ciabarra le interesa impulsar el hardware de Apple. Sin embargo, hay una razón por la que rara vez, si es que alguna vez, escuchas de ataques POS que ocurren en sistemas POS específicos de Apple. ¿Recuerdas cuando se presentó el iPad Pro? Todos se preguntaban si Apple habilitaría la verdadera funcionalidad multitarea, lo que permitiría que dos aplicaciones se ejecuten simultáneamente a plena capacidad. Apple dejó esta característica fuera del iPad Pro, para disgusto de todos, excepto aquellos usuarios que probablemente ejecuten el software POS en sus nuevos dispositivos.
2. Use cifrado de extremo a extremo
Empresas como Verifone ofrecen software diseñado para garantizar que los datos de sus clientes nunca estén expuestos a los piratas informáticos. Estas herramientas cifran la información de la tarjeta de crédito en el momento en que se recibe en el dispositivo POS y una vez más cuando se envía al servidor del software. Esto significa que los datos nunca son vulnerables, independientemente de dónde los piratas informáticos puedan instalar malware.
"Usted quiere una verdadera unidad cifrada punto a punto", dijo Ciabarra. "Desea que los datos vayan directamente de la unidad a la puerta de enlace. Los datos de la tarjeta de crédito ni siquiera tocarán la unidad POS".
3. Instale el antivirus en el sistema POS
Esta es una solución simple y obvia para prevenir ataques POS. Si desea asegurarse de que el malware dañino no se infiltre en su sistema, instale el software de protección de punto final en su dispositivo.
Estas herramientas escanearán el software en su dispositivo POS y detectarán archivos o aplicaciones problemáticos que deben eliminarse de inmediato. El software lo alertará sobre áreas problemáticas y lo ayudará a comenzar el proceso de limpieza requerido para garantizar que el malware no provoque el robo de datos.
4. Bloquee sus sistemas
Aunque es muy poco probable que sus empleados usen sus dispositivos POS para propósitos nefastos, todavía hay mucho potencial para trabajos internos o incluso solo un error humano para causar problemas masivos. Los empleados pueden robar dispositivos con el software POS instalado en ellos, o accidentalmente dejar el dispositivo en la oficina o en una tienda, o perder el dispositivo. Si los dispositivos se pierden o son robados, cualquier persona que acceda al dispositivo y al software (especialmente si no siguió la regla # 2 anterior) podrá ver y robar los registros de los clientes.
Para asegurarse de que su empresa no sea víctima de este tipo de robo, asegúrese de bloquear todos sus dispositivos al final de la jornada laboral. Contabilizó todos los dispositivos todos los días y asegúrelos en un lugar al que solo tengan acceso algunos empleados seleccionados.
5. Sea compatible con PCI de arriba a abajo
Además de administrar sus sistemas POS, querrá cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) en todos los lectores de tarjetas, redes, enrutadores, servidores, carritos de compras en línea e incluso archivos en papel. El Consejo de Estándares de Seguridad PCI sugiere que las compañías monitoreen activamente y hagan un inventario de los activos de TI y los procesos comerciales para detectar cualquier vulnerabilidad. El Consejo también sugiere eliminar los datos del titular de la tarjeta a menos que sea absolutamente necesario, y mantener la comunicación con los bancos y las marcas de tarjetas para garantizar que no ocurran problemas o que ya hayan ocurrido.
Puede contratar asesores de seguridad calificados para revisar periódicamente su negocio y determinar si está siguiendo o no los estándares PCI. Si le preocupa dar acceso a un tercero a sus sistemas, el Consejo proporciona una lista de asesores certificados.
6. Contratar expertos en seguridad
"El CIO no va a saber todo lo que un experto en seguridad sabrá", dijo Ciabarra. "El CIO no puede mantenerse actualizado sobre todo lo que sucede en seguridad. Pero la única responsabilidad de un experto en seguridad es mantenerse actualizado sobre todo".
Si su empresa es demasiado pequeña para contratar a un experto en seguridad dedicado además de un ejecutivo de tecnología, al menos querrá contratar a alguien con una profunda experiencia en seguridad que sepa cuándo es el momento de buscar ayuda de un tercero.
