Garantizar que los terminales de pago, las transacciones y las aplicaciones sean seguras - segunda parte
Dos expertos en seguridad de PAX repasan la creciente complejidad en torno a la seguridad transaccional y por qué -con el auge de las soluciones Android SmartPOS- la tecnología, las personas y los procesos son más importantes que nunca.
El segundo de una serie de blogs de seguridad de dos partes
En la primera parte de este blog de seguridad, explicamos la gran importancia que la tecnología PAX le da a la seguridad y cómo esto se aplica en toda la organización a nuestros productos, procesos y personas. Analizamos cómo se aseguran nuestros dispositivos tanto desde el punto de vista del hardware como del software, las numerosas certificaciones que hemos obtenido y cómo se protegen nuestros servicios de valor agregado (VAS), como la inyección remota de claves (RKI).
En esta segunda parte, consideramos la seguridad de aplicaciones y Marketplace, la gestión de vulnerabilidades y la protección de la privacidad.
Seguridad de aplicaciones y Marketplace
Nuestros dispositivos SmartPOS Android ejecutan múltiples aplicaciones simultáneamente. Estos son administrados por PAXSTORE, que es nuestro App Store seguro además de la plataforma de administración de dispositivos. (Para comprender el valor de PAXSTORE y el nuevo mundo de las aplicaciones Android SmartPOS para comerciantes, lea el segundo blog de nuestra serie).
Nunca se comparten datos confidenciales desde una aplicación de pago de un terminal PAX a una aplicación que no es de pago. Esto simplemente no es posible ya que los datos solo se envían utilizando protocolos de mensajes definidos. La arquitectura y los controles de seguridad implementados dentro de PAXSTORE aseguran que se evite el acceso no autorizado. Se requiere la 'firma digital triple' de las aplicaciones por parte del desarrollador de la aplicación, el propietario del merchant y PAX antes de que se pueda implementar cualquier software en los dispositivos. Este enfoque significa que el implementador de terminales tiene un papel intrínseco que desempeñar en la cadena de responsabilidades de seguridad. La inyección de claves segura en el momento de la fabricación garantiza aún más que el acceso esté restringido a usuarios legítimos.
Cada aplicación de software está sujeta a revisiones de seguridad integrales para garantizar que ningún malware o virus termine en los dispositivos PAX. Todo el software desarrollado por PAX Technology es revisado por dos equipos separados y luego verificado utilizando nuestro servicio AppScan para verificar las debilidades de seguridad.
PAXSTORE se implementó en la infraestructura en la nube de Amazon Web Services (AWS), brindando múltiples niveles de protección de seguridad , incluido el control de acceso e infraestructura. Esto significa que se utilizarán diferentes direcciones IP, ya que el front-end de la nube de AWS utiliza direcciones IP dinámicas (en lugar de estáticas) y un rango de direcciones IP variadas. Se pueden crear instancias independientes seguras de PAXSTORE y los usuarios con licencia tienen control total sobre qué aplicaciones se pueden implementar.
Una función de seguridad clave (opcional) que ofrece PAX es la geolocalización. Esto rastrea la ubicación física de cada dispositivo a una posición precisa y proporciona una notificación en tiempo real y un bloqueo automático si el dispositivo se detecta fuera de la zona de límites de seguridad acordada. Los servicios de ubicación geográfica ofrecidos por PAX son administrados por dos proveedores de servicios muy respetados, uno ubicado en América del Norte y el otro en China; los clientes pueden elegir cuál prefieren.
El soporte para múltiples aplicaciones (pago y no pago) en un solo dispositivo y las nuevas funciones disponibles en el sistema operativo Android significan que se debe aumentar la comprensión de la seguridad para identificar el uso legítimo. Las diferencias en el funcionamiento de los productos SmartPOS no significan que deba haber un problema de seguridad. Por ejemplo, Android captura muchos más elementos de datos que los sistemas operativos de terminales heredados y los comparte con PAXSTORE. Por lo tanto, los tamaños de los paquetes de datos variarán según varios criterios, incluidos el tipo de modelo, la versión de la aplicación, el protocolo del procesador, la actividad de la terminal, el rendimiento de la red inalámbrica y para fines de administración legítima de la terminal y mantenimiento preventivo.
Una revisión de seguridad independiente detallada realizada a fines de 2021 por la conocida Unidad 42 de Palo Alto Networks Inc. confirmó que nunca se identificó tráfico ni eventos maliciosos en la actividad de tráfico de red que revisaron en las soluciones PAX.
Gestión de vulnerabilidades
PAX Technology opera un procedimiento integral de gestión de vulnerabilidades que sigue los estándares internacionales ISO/IEC 30111 e ISO/IEC 29147. Se han establecido procesos y flujos de trabajo en las cuatro fases de: identificación, verificación, reparación y divulgación de vulnerabilidades.
Esto incluye monitorear sitios web de noticias y seguridad, bases de datos de vulnerabilidades conocidas públicamente e interactuar con comunidades profesionales de seguridad de datos. También monitoreamos activamente la información y las inquietudes relacionadas con las bibliotecas de código abierto y de terceros que utilizamos.
La verificación de vulnerabilidades incluye la investigación de informes recibidos de socios y clientes, generados a través del programa de divulgación de vulnerabilidades de PAX o encontrados durante la etapa de desarrollo del producto. Las evaluaciones de impacto de vulnerabilidad y la reparación se completan de inmediato para todos los productos que no están al final de su vida útil (EOL). Las divulgaciones se publican en boletines y en el portal de atención al cliente para proporcionar información sobre las acciones recomendadas y las actualizaciones de software adecuadas.
Además, los recursos especializados internos y externos se encargan continuamente de realizar pruebas de penetración en productos y servicios, con el objetivo de identificar y eliminar vulnerabilidades antes de que se conviertan en un problema de seguridad. Se utilizan metodologías y tecnologías de prueba de última generación porque entendemos que los ciberdelincuentes siempre están buscando vulnerabilidades. PAX Technology aprende constantemente de los resultados de las pruebas de penetración y vulnerabilidad, actualizando nuestros procesos y diseños en consecuencia para garantizar que los productos PAX brinden los niveles más altos posibles de protección de seguridad.
Protección de la privacidad
En PAX, damos gran importancia a la protección de la privacidad, siguiendo un marco de gestión de la privacidad que abarca asuntos como la privacidad desde el diseño, la protección de terceras empresas, las solicitudes de los interesados, las evaluaciones de impacto y los procedimientos de respuesta a incidentes. Siempre nos aseguramos de que nuestros productos cumplan con los requisitos reglamentarios, incluido el RGPD de la Unión Europea, la LGPD de Brasil y la PDPA de Singapur .
Nuestro trabajo de protección de la privacidad cubre productos de software, dispositivos terminales, PAXSTORE y el servicio VAS que brinda inteligencia comercial a los clientes para el posterior análisis de datos.
La perspectiva PAX
PAX Technology otorga gran importancia a todos los aspectos de la seguridad y aplica esto a todos los productos de hardware y software, servicios de valor añadido, procesos internos y gestión de personas. Reconocemos nuestras responsabilidades y, en consecuencia, diseñamos la seguridad en nuestros productos desde el principio y consideramos el tema de la seguridad de manera integral. Realizamos auditorías de seguridad anuales como parte de nuestros procesos y buscamos mejorar constantemente los niveles de protección de seguridad.
Nuestra red global de clientes también tiene obligaciones de seguridad y responsabilidad final por PCI DSS. Deben comprobar y firmar digitalmente las aplicaciones, asegurándose de que cuentan con la experiencia en seguridad necesaria para la implementación de las soluciones Android SmartPOS de última generación.
Ofrecemos un marketplace de aplicaciones seguro y, a través de la firma digital , garantizamos que solo las aplicaciones verificadas se puedan instalar en los dispositivos. Nuestra reciente certificación PCI DSS confirma aún más la seguridad de nuestras implementaciones PAXSTORE en todo el mundo.
La gestión de vulnerabilidades, las pruebas de penetración y la gestión de la privacidad son otros elementos cubiertos como parte de nuestros procedimientos generales de seguridad. Seguimos invirtiendo más dinero y recursos en estas áreas.
La marca PAX es sinónimo de alta calidad y alta seguridad. Hasta la fecha, los clientes de todo el mundo que utilizan productos PAX nunca han identificado problemas de seguridad en las transacciones de pago; del mismo modo, nunca se ha comprometido ningún dato de pago, nunca se ha retirado ninguna de las certificaciones de PAX Technology, ni se ha identificado tráfico o eventos maliciosos en la actividad de tráfico de la red.
Nuestro Director Regional de Seguridad de Productos estará encantado de responder a cualquier otra pregunta que pueda tener.