Garantizar que los terminales de pago, las transacciones y las aplicaciones sean seguras - primera parte

· Libro blanco
broken image

Dos expertos en seguridad de PAX repasan la creciente complejidad en torno a la seguridad transaccional y por qué -con el auge de las soluciones Android SmartPOS- la tecnología, las personas y los procesos son más importantes que nunca.

broken image

El primero de una serie de blogs de seguridad de dos partes

Los delincuentes reconocen la oportunidad de comprometer los sistemas de pago para cometer fraude. A nivel mundial, las pérdidas por fraude en los pagos (de todo tipo) se han triplicado desde 2012 a $34 mil millones y se espera que aumenten a más de $40 mil millones en 2027. Estas pérdidas afectan a las instituciones financieras, los comerciantes, los consumidores y la sociedad en general; y las bandas criminales a menudo usan los fondos para fines como tráfico de drogas, lavado de dinero, financiación del terrorismo o para explotar a personas vulnerables. Por ello, la seguridad debe ser la prioridad número uno para todos dentro de la industria de pagos.

PAX Technology entiende comparte esta premisa y coloca la seguridad en el centro de todo lo que hacemos. Diseñamos productos altamente seguros para proteger a nuestros clientes y sus usuarios finales, asegurando que los datos confidenciales de los clientes sean inaccesibles. Hemos obtenido la certificación ISO/IEC 27001, que es la más ampliamente adoptada a nivel internacional para la gestión de seguridad. Manejamos una estructura de gestión de seguridad de varios niveles en toda nuestra organización, supervisada por un Comité de Gestión de Seguridad de la Información que informa directamente a la junta. La responsabilidad del día a día se ha asignado a un grupo de seguridad de la información con representación de todos los departamentos y se les ha otorgado un estatuto para cuidar los detalles de seguridad en todas las etapas del ciclo de vida del producto, los procesos internos y los aspectos relacionados con las personas. Cada una de las regiones globales de PAX Technology tiene a alguien designado para desempeñar el cargo de Director de Seguridad de Productos, Director de Cumplimiento de Seguridad o similar.

La seguridad se basa en la tecnología, los procesos y las personas

La seguridad de la tecnología de pago abarca mucho más que el diseño del hardware; el software tiene cada vez más importancia. La creación de tecnología altamente segura depende de procesos efectivos y personas cualificadas. Es útil pensar en una analogía de un taburete de tres patas donde se elimina la estabilidad si alguna de las tres patas se ve comprometida. Los delincuentes siempre buscan explotar el eslabón más débil y adaptan continuamente su perfil de ataque para cometer el fraude. Estamos comprometidos a seguir invirtiendo cada vez más en garantizar que nuestros productos y servicios ofrezcan los más altos niveles de seguridad.

broken image

Los cinco pilares de seguridad de PAX Technology

En PAX, pensamos en la seguridad dentro de cinco pilares discretos y discutiremos cada uno de ellos en esta serie de blogs de dos partes. Nuestras responsabilidades de seguridad han aumentado a medida que la gama de productos se ha ampliado con nuevas categorías de soluciones.

  1. Seguridad del dispositivo (hardware y software): dispositivos de pago, comerciantes y IoT
  2. Seguridad de servicios de valor añadido
  3. Sistema de gestión de dispositivos y seguridad del mercado
  4. Gestión de vulnerabilidades
  5. Protección de la privacidad

En la Parte 2 de este blog de seguridad, veremos la seguridad de las aplicaciones y el Marketplace, la gestión de vulnerabilidades y la protección de la privacidad.

Seguridad del dispositivo

Los terminales de pago deben cumplir con múltiples estándares industriales rigurosos establecidos por las redes de pago internacionales, ya sea trabajando juntos a través de los auspicios del Consejo de Normas de Seguridad (PCI SSC) de la Industria de Tarjetas de Pago (PCI), EMVCo (propiedad de 6 marcas de tarjetas internacionales), o individualmente, además de cumplir con los requisitos y/o estándares regionales y del adquirente. Estas evaluaciones de seguridad abarcan todo el ecosistema de pagos (productos y servicios), ya que todos los aspectos están intrínsecamente vinculados.

broken image

Los requisitos de seguridad del punto de interacción (POI) de la seguridad de transacciones con PIN de PCI (PCI PTS) son los requisitos globales más importantes para nosotros. Esta lista completa de requisitos de seguridad garantiza la seguridad para la protección del PIN de los consumidores y el manejo seguro en todas las etapas del procesamiento de transacciones. Abarca el diseño de hardware, el cifrado, la gestión de claves y el desarrollo de software. Hasta la fecha, hemos logrado 86 certificaciones para nuestros modelos de dispositivos, de las cuales 17 son la última versión, PCI PTS 6.x. Esto posiciona a PAX como líder en seguridad y demuestra nuestro compromiso de ser uno de los primeros en adoptar los estándares PCI PTS más actualizados para brindarles a nuestros clientes la confianza de maximizar la protección de seguridad. Nuestros productos incluyen módulos de seguridad a prueba de manipulaciones y utilizan procesadores de seguridad dedicados. Los asesores de seguridad calificados QSA aprobados por PCI, realizan evaluaciones detalladas para confirmar el cumplimiento de las especificaciones de PCI. Todos los nuevos dispositivos de pago lanzados por PAX, por supuesto, estarán certificados PCI PTS.

Además, PAX ha certificado 14 productos contra un estándar de seguridad internacional adicional creado por el Consorcio de Evaluación y Certificación de Seguridad Común (Common.SECC) que se requiere en el Reino Unido, Alemania y un número creciente de países, el más popular de los cuales es el líder en ventas A920Pro (la creciente popularidad de los terminales de pago con Android se discutió en nuestra primera serie de blogs ). La evaluación exhaustiva de la seguridad de TI es realizada por laboratorios de seguridad acreditados utilizando la metodología Common Criteria (CC) estandarizada por ISO que brinda garantía de seguridad independientemente de la aplicación que se ejecute en el dispositivo.

broken image

Nuestros terminales de pago también están certificados según los estándares EMVCo Nivel 1 y 2 para la aceptación segura de tarjetas con chip con y sin contacto. Todos los clientes de PAX esperan estas certificaciones, y tenemos un buen historial de superarlas exitosa y rápidamente para evitar demoras en el lanzamiento de nuevos productos y la disponibilidad del cliente. La implementación global de la tecnología Chip & PIN y los estándares EMV ha reducido drásticamente el nivel de fraude cometido en un entorno presencial, lo que hace que los delincuentes busquen objetivos más fáciles y cambien su atención al comercio electrónico.

Cuando las marcas internacionales introducen nuevas certificaciones, como la certificación Enhanced Contactless (Ecos) de Mastercard, PAX se asegura de que la última generación de sus dispositivos de pago estén certificados, como el PINpad inteligente Android A35 multilínea. Reconocemos la necesidad de certificaciones de seguridad y estamos orgullosos de la profunda experiencia en seguridad que hemos acumulado dentro del grupo PAX y la comunidad PAX más amplia de partners de canal global e integradores de sistemas de pago , así como el diseño seguro de nuestros productos y la eficiencia en completar evaluaciones

Durante muchos años, también nos hemos asegurado de que nuestros dispositivos estén validados según el estándar Mastercard Terminal Quality Management (TQM) que analiza la seguridad y el rendimiento generales del hardware del terminal de pago.

Los productos PAX también completan acreditaciones y certificaciones exhaustivas con adquirentes y/o procesadores en todo el mundo, para ayudar a garantizar que las transacciones de pago siempre se procesen de forma segura. Las principales instituciones financieras (IF) han completado evaluaciones de riesgo detalladas sobre nuestros productos y servicios, y estas revisiones exhaustivas confirman los altos niveles de seguridad proporcionados por las soluciones PAX.

En última instancia, nuestros clientes son responsables de cumplir con el estándar de seguridad de datos PCI (PCI DSS), pero los ayudamos brindándoles productos de hardware y software que incorporan características de alta seguridad y que se pueden operar de manera segura. Un ejemplo es nuestro componente de lectura segura e intercambio de datos (SRED) de cifrado de punto a punto (P2PE) certificado por PCI que garantiza que los datos de la cuenta del titular de la tarjeta (sin PIN) se acepten de forma segura en el punto de aceptación y estén protegidos mediante el uso de cifrado de alto nivel. Un número creciente de nuestros clientes está adoptando P2PE para garantizar que los datos del titular de la tarjeta estén encriptados y, para ellos, el módulo SRED de PAX Technology actúa como una capa base para crear una infraestructura P2PE segura.

Los últimos modelos de PinPad de PAX han sido diseñados para admitir una ranura de seguridad Kensington y la capacidad de montar los PED en soportes de montaje seguros. Esto ayuda a ofrecer opciones de seguridad de acceso físico adicionales para nuestros clientes.

Dispositivos comerciales y de IoT

Con la expansión de la línea de productos PAX en dispositivos comerciales inteligentes (EPOS) que integran las operaciones de la tienda y los pagos en una solución todo en uno, ahora tenemos nuevas obligaciones de seguridad que se enfocan en la seguridad de los datos comerciales. Necesitamos asegurar el procesamiento de las ventas, los pedidos, la gestión de inventario, los datos del programa de fidelización, la impresión y las comunicaciones seguras. Esto se maneja por separado del procesamiento de transacciones de pago, pero lo tratamos con la misma importancia. También nos aseguramos de que se incluyan altos niveles de protección de seguridad con nuestra nueva generación de productos Unattended, PayPhone y PayTablet.

Nuestra entrada en el Internet de las cosas (IoT) y el mundo del comercio conectado exigirá igualmente una fuerte seguridad, por lo que estamos diseñando funciones de seguridad de alto nivel apropiadas en estos productos desde el principio, incluidos los marcos de gestión de IoT y la nube segura. Esto incluirá, entre otros aspectos, la autenticación de dispositivos, la integración segura y la comunicación entre dispositivos.

La seguridad del software es clave

Las consideraciones de seguridad se abordan en cada uno de los siete pasos de nuestro proceso de ciclo de vida de desarrollo de software seguro (S-SDLC) y siempre se siguen las mejores prácticas internacionales durante las fases de diseño inicial, análisis de requisitos, desarrollo de software, prueba, lanzamiento y mantenimiento. Estos son revisados por asesores de seguridad calificados (QSA) externos como parte del proceso de certificación PCI. Los procedimientos de lanzamiento de software requieren revisiones separadas del código de seguridad por parte de los equipos de control de calidad (QA) y desarrollo. Ambos equipos deben firmar digitalmente las aplicaciones antes de que se pueda lanzar e implementar cualquier software. El acceso a la documentación confidencial de diseño y seguridad está estrictamente controlado para las personas seleccionadas adecuadamente, los equipos de desarrollo de software se sientan físicamente por separado.

broken image

Nuestros terminales SmartPOS de nueva generación ejecutan una versión especial limitada del sistema operativo Android que llamamos PayDroid. Esto restringe el acceso a funciones como lectores de tarjetas, teclados, cámaras y micrófonos que podrían crear vulnerabilidades de seguridad. También evita que se compartan datos confidenciales de pagos y titulares de tarjetas con aplicaciones que no son de pago y que se ejecutan en el mismo dispositivo. Las nuevas versiones del sistema operativo PayDroid se lanzan regularmente durante todo el año y los parches de seguridad se aplican al menos trimestralmente, o de manera inmediata en caso de ser necesario.

Cifrado y gestión de claves

PAX admite una variedad de criptografías simétricas y asimétricas dentro de nuestros productos para proteger la información confidencial. Estos incluyen, entre otros, Estándar de Cifrado de Datos (DES), RSA, Estándar de Cifrado Avanzado (AES) y Criptografía de Curva Elíptica (ECC). Además, soportamos una variedad de procesos de gestión de claves, que incluyen Triple DES (TDES) /AES Master key/Session key y TDES/AES Derived Unique Key Per Transaction (DUKPT). (Tenga en cuenta que TDES ha quedado obsoleto ).

broken image

Seguridad durante todo el ciclo de vida

PAX cuenta con la certificación del Sistema de gestión de calidad ISO9001, reconocido internacionalmente, que incluye muchos requisitos de seguridad. Nuestro enfoque de la seguridad se aplica a lo largo de todo el ciclo de vida de un producto, desde el diseño inicial, el desarrollo de software, los procesos de fabricación, el envío, la implementación de software, el uso comercial hasta la manipulación en los centros de reparación autorizados.

Asegurando Servicios de Valor Añadido

Ofrecemos una gama de desarrollo de VAS a nuestros clientes, siendo uno de los más importantes un servicio seguro de Inyección de Claves. Mediante este servicio, se carga una clave de seguridad única en cada dispositivo en el momento de la fabricación, lo que garantiza un control total posterior sobre quién puede cargar el software y qué aplicaciones se pueden ejecutar. Operamos el servicio de inyección de clave segura paxRhino en tres centros de carga remota de claves (RKI) ubicados respectivamente en Italia (para Europa, Oriente Medio y África), EE. UU. (para América del Norte y del Sur) y China (para Asia). Cada una de estas instalaciones ultraseguras ha sido inspeccionada y certificada según los estándares PCI. Las capacidades clave de seguridad incluyen: características de seguridad del diseño del edificio, la restricción del acceso a las personas a través de tarjetas electrónicas, sistemas de CCTV equipados con detección de movimiento, uso de módulos de hardware de alta seguridad, restricción de la posibilidad de observación y prevención del paso o envío de información restringida. Nuestros centros RKI también operan sistemas de prevención de intrusos, firewalls y han sido segregados de forma segura de las redes corporativas. RKI ofrece una alternativa altamente segura pero más rentable a la inyección de clave local (LKI), pero también se pueden admitir si el cliente lo prefiere. El servicio RKI también brinda opciones para que los comerciantes controlen el uso de dispositivos dentro de su stock. Además, somos un proveedor de servicios de autoridad de certificación (CA) certificado por PCI y hemos estado proveyendo a los clientes de forma segura con esta capacidad durante varios años.

Es importante destacar que PAX logró la certificación PCI DSS en febrero de 2022 de la plataforma PAXSTORE y el VAS de soporte que suministramos. Esto confirma que contamos con los controles de seguridad de la información necesarios para garantizar que la información y los datos confidenciales se manejen correctamente durante la aceptación, el procesamiento, la transmisión y el almacenamiento y que se evite la fuga de datos. Hemos sido certificados según los 6 objetivos y los 12 requisitos de PCI DSS, con más de 300 elementos en revisión. Nuestro cumplimiento de PCI DSS muestra que contamos con los controles necesarios para administrar los datos del titular de la tarjeta, los procesos de administración de seguridad de la información, el diseño de seguridad de la red, la protección de datos, el monitoreo de seguridad y la administración de vulnerabilidades.

La perspectiva PAX

La primera parte de este blog de seguridad destaca la importancia que PAX otorga a la seguridad y cómo se aplica a nuestros productos, procesos y personas. Diseñamos la seguridad en nuestros productos desde el principio y la consideramos “un todo”. Nuestros dispositivos de pago cumplen con los estándares de seguridad relevantes y han sido certificados por múltiples organismos. Nuestro enfoque es ser proactivos y adoptar rápidamente la última versión de las especificaciones y abordar de inmediato cualquier problema de seguridad que surja.

broken image

Nuestra implementación segura del sistema operativo Android restringe el acceso a datos confidenciales y separa el procesamiento de pagos de las aplicaciones que no son de pago. La seguridad se aborda a lo largo de todo el proceso de desarrollo de software y el módulo SRED proporciona un componente P2PE certificado para los clientes que implementan el cifrado de extremo a extremo. Nuestros VAS como RKI también han sido certificados según las especificaciones PCI. Los principios clave de seguridad que seguimos incluyen: mantener entornos segregados, adoptar las últimas especificaciones de seguridad, aplicar actualizaciones de seguridad y sistemas operativos frecuentes, firmar digitalmente todo el software antes de que pueda implementarse y proteger los datos y las comunicaciones mediante el uso de criptografía segura y administración de claves.

En la segunda parte de este blog de seguridad, explicaremos cómo PAX aborda la seguridad de las aplicaciones y el mercado, la gestión de vulnerabilidades y la protección de la privacidad.

La marca PAX es sinónimo de alta calidad y alta seguridad. Hasta la fecha, los clientes de todo el mundo que utilizan productos PAX nunca han identificado problemas de seguridad en las transacciones de pago; del mismo modo, nunca se ha comprometido ningún dato de pago, nunca se ha retirado ninguna de las certificaciones de PAX Technology, ni se ha identificado tráfico o eventos maliciosos en la actividad de tráfico de la red.

Nuestro Director Regional de Seguridad de productos estará encantado de responder a cualquier otra pregunta que pueda tener.

AnteriorSiguiente
Uso de cookies
Utilizamos cookies para mejorar la experiencia de navegación, la seguridad y la recopilación de datos. Al aceptar, acepta el uso de cookies para publicidad y análisis. Puedes cambiar la configuración de cookies en cualquier momento. Saber Más
Aceptar todo
Ajustes
Rechazar Todos
Ajustes de Cookies
Cookies Necesarias
Estas cookies habilitan funciones básicas como seguridad, administración de redes y accesibilidad. Estas cookies no se pueden desactivar.
Cookies Analíticas
Estas cookies nos ayudan a comprender mejor cómo los visitantes interactúan con nuestro sitio web y nos ayudan a descubrir errores.
Cookies de Preferencias
Estas cookies permiten que el sitio web recuerde las elecciones que has realizado para proporcionar una funcionalidad y personalización mejoradas.
Guardar