什么是销售点安全性?
本文是关于POS系统.
销售点(POS)安全保护处理借记卡和信用卡交易的计算机系统。因为POS系统数据泄露可能包含帐户号码、电子邮件和地址等敏感数据,对于损害控制和商店的声誉来说,数据泄露可能代价高昂。POS系统的安全性不仅适用于店内。许多销售点系统漏洞来自在线商店和通过云访问的信息。
为了保护这些信息,POS系统通常配备了各种安全措施,包括防火墙、入侵检测和防御软件以及加密技术。但是,要确保您的整个系统(从员工到网络)尽可能安全,这取决于您自己。
POS安全威胁
POS系统是黑客的常见目标,因为它们可以用来窃取信用卡和借记卡数据。过时的软件、不安全的网络和不安全的第三方集成,以及设备或密码的盗窃(有时是通过诈骗),都可能使您容易受到攻击。其中包括恶意软件感染、硬件篡改、暴力攻击、网络钓鱼和社交工程以及员工盗窃。
点击此处可了解更多POS安全威胁的类型:
销售点的恶意软件
POS恶意软件攻击通过被破坏的或不安全的系统渗透到POS终端或在线商店,搜索支付卡数据,然后将未加密的数据发送给攻击者。黑客通过不受保护的数据库、程序漏洞或个人访问进入。然后,他们安装恶意软件,在顾客购物时收集他们的信用卡数据和其他个人信息。这些数据可以在黑市上出售,或者用于身份盗窃。
POS恶意软件可能非常复杂,难以检测。通常,一场攻击在被发现前会悄无声息地持续数月或数年。有时,企业只是在执法部门调查另一起欺诈案件时才发现这一点。以下是一些最常见的销售点恶意软件攻击:
- 间谍软件:这种恶意软件将自己上传到POS系统,并将窃取的数据上传到其他地方。BlackPOS及其衍生物Kaptoxa,它们被用于2013目标POS漏洞,都是众所周知的例子。
- 特洛伊:这个软件把自己伪装成一个合法的程序(通常是一个电子邮件链接或文件)进入你的系统并窃取数据。例如,在2014年,楚巴卡木马偷走了超过在两个月内从11个不同国家的45家零售商那里买了4900乐鱼app官网下载入口0张信用卡.
- 的键盘记录程序和撇油器:一些间谍软件通过记录击键来窃取数据。后退POS和海神都有这个能力。这可能是2020年的罪魁祸首,那时提供吉他在线课程的网站TrueFire被黑客入侵.由于它不存储支付卡信息,这些信息很可能是在客户付款时捕获的。
- OAuth劫持:开放身份验证(OAuth)跨第三方服务管理身份和保护在线区域。这让用户拥有临时和安全的访问令牌——例如,允许用户使用Facebook登录帐户。虽然方便,但如果其他授权网站被黑客攻击,它会使您的帐户处于危险之中。MITRE的2022年常见弱点列举(CWE)前25个最危险的软件弱点报告是这样说的它仍然是企业的头号威胁尽管它没有直接提到销售点系统。
- Ransomware:这种恶意软件攻击你的系统,通常会切断公司对电脑、电子邮件和客户订单的访问,但越来越多的案例特征是,如果不支付赎金,就会在网上发布公共信息。在2022年,艾利森水疗酒店经历了这样的攻击,使1500名员工和前员工的信息和2500个预订处于危险之中。勒索软件攻击上升了13%在2021年,最常见的是通过桌面共享和电子邮件。
篡改硬件
黑客可以篡改销售点系统硬件,如读卡器,以窃取数据。例如,这种情况发生在气泵上,这就是为什么它们应该定期检查和密封。然而,随着自助服务站变得更加脆弱,这可能是另一个风险点。
蛮力攻击
黑客可以尝试猜测用于访问POS系统的密码或用户名,从而获得访问权限和窃取数据。他们使用程序以每秒数百次的速度进行猜测。这就是为什么使用强大的密码不仅可以降低被黑客攻击的可能性,而且要限制登录尝试的次数。
网络钓鱼和社会工程攻击
员工盗窃
员工和销售代理也是易受攻击的领域。例如,白袜队损失超过100万美元2016年至2019年期间,两名售票人员制作并出售未经授权的比赛门票。在加拿大,黑客贿赂员工在多家公司“借用”POS机,用一个小时左右的时间来加载刷卡软件。结果损失超过700万美元。
黑客如何进入POS系统?
企业通常不会透露数据泄露是如何发生的,但在大规模数据泄露中,随着时间的推移,零售商会努力保护数据,并与受泄露影响的客户达成和解,细节就会浮出水面。乐鱼app官网下载入口以下是一些最近的例子:
- 倭黑猩猩是通过不安全的云备份被黑的。
- 雅诗兰黛是通过一个没有密码保护的数据库被黑的。
- 卡特的在没有采取安全防范措施的情况下,其第三方供应商Linc缩短了Carter的购买和发货url。
- 猜一猜是通过未指明的"未经授权访问"被黑的
- 餐厅巨大的兰德里的被黑客入侵(据信),当时服务员错误地通过订单输入刷卡,而不是通过支付系统。订单输入未加密。
- 克莱尔的一家时尚配饰店在关闭所有零售店后遭到黑客入侵,黑客保留了claires-assets.com的URL,通过Salesforce乐鱼app官网下载入口发起攻击。
- 迪基的烧烤地点是通过过时的磁条信用卡扫描仪被黑的。黑客可以通过它进入网络调整信用卡指示系统联系一个流氓销售点服务器下载刷卡软件。
- 万豪国际是一次社会工程攻击的受害者,一个匿名黑客组织欺骗了一名员工,让他们进入了自己的系统。
其他漏洞还包括通过蓝牙(尤其是远程打印通道)入侵,贿赂员工将设备借给他们,以及在程序中寻找漏洞。
仅仅因为上述事件发生在大公司身上,并不意味着小企业不会成为目标。乐鱼游戏app下载这些都是媒体关注的对象。POS安全对于小企业来说越来越重要。乐鱼游戏app下载
POS安全的最佳实践
其中一个要求支付卡行业数据安全标准(PCI DSS)在所有销售点(POS)系统上使用杀毒软件。POS防病毒软件帮助保护您的POS系统免受恶意软件和其他网络威胁。然而,这些还不够。以下是防止销售点安全漏洞的其他方法:
- 定期检查刷卡器、电缆或任何其他篡改。保存所有终端及其序列号的列表或照片,以便您可以将它们与物理终端进行比较,以确保它们没有与其他设备交换。这对于自助服务站和加油站尤其重要,因为在这些地方,员工可能没有固定的看守。
- 停止允许刷卡。黑客可以修改信用卡,引导销售点系统下载恶意软件。使用EMV支付工具。如果您必须使用刷卡,请确保它们是最新的。
- 用最新的安全补丁更新软件。各种软件和组件都经常更新,其中可能包括新功能和针对黑客可能利用的漏洞的补丁。
- 在POS设备和所有连接到网络的设备上安装防病毒和恶意软件保护。杀毒软件定期扫描您的系统,识别任何有害的文件或应用程序在您的系统。如果您不确定应该使用哪种软件或如何安装它,请与您的POS软件客户主管交谈。
- 在软件中设置严格的权限。管理员需要访问POS系统的后端,但是您应该只允许必要的权限。其他需要用户权限的员工也应该具有最低级别。供应商可能也需要访问权限。保留一个谁拥有访问权限以及每个访问级别是什么的列表,这样您就可以跟踪任何漏洞以及它们发生在哪里。
- 所有级别的员工都应该使用高强度的密码,并定期更换。最好的密码至少有12个字符,由大写字母、小写字母、数字和像这样的字符组成。或&。它们可以是一个短语(T1m32MK3D0nuts!- - - - - -该做甜甜圈了!),但不应与个人信息挂钩。
- 教员工邮件和短信安全。恶意攻击者通常使用电子邮件试图获得员工或供应商的凭证,但请求也可能通过电话甚至亲自来。员工应该接受培训,了解如何识别钓鱼邮件和其他常见的骗局,以及如何保护他们的登录凭证。例如,没有正式的客户服务或IT工作者会问你的用户名和密码。总是检查。
- 端到端加密。大多数POS系统将为存储在系统中的任何数据包括256位级别的加密,但使用也采用端到端加密的支付网关是一个好主意。这将确保从事务到网关的数据是加密的。
- 你的网络。对于实体店的顾客来说,外部网络是很好的——他们有免费的Wi-Fi,而你很可能会收集到有用的数据。但是,要确保你已经分割了你的网络,因为黑客可以很容易地利用一个系统并获得支付信息。使用内部网络只用于支付处理和业务相关的互联网使用。
- 密切关注系统中的销售点活动。确保销售和库存统计有意义,活动中没有任何异常。此外,如果你的团队使用手持设备接受客户的付款,请确保在一天结束时收集所有设备并将其锁起来。员工盗窃是一个问题,但设备可能在某个时刻丢失或被盗,如果发生这种情况,您需要采取适当的措施。
- 制定一个应急计划。商家应该做好准备,以防POS系统被破坏。
POS安全由谁负责?
最后,数据所有者(商家)要为任何数据泄露负责。因此,即使由于第三方供应商证书被盗而发生数据泄露,您仍有责任弥补损失,包括客户信任的损失。
单击此处查看安全职责的分类。
销售点安全成本
波耐蒙研究所2021年的一项研究发现一次数据泄露的平均损失是400万美元- 17年来最高。乐鱼游戏app下载小企业的情况“更好”:小众保险机构Hiscox表示,数据泄露的平均成本是小企业的从2020年年中到2021年年中为2.5万美元.
尽管如此,代价可能是毁灭性的。Covid之前,60%遭受数据乐鱼游戏app下载泄露的小企业在6个月内倒闭.这就是为什么企业投资销售点安全系统很重要。这些系统可以帮助保护您的客户信息,并帮助您避免代价高昂的数据泄露。
科技分析师高德纳(Gartner)发现,在全球范围内数据安全支出增加2020年至2021年,增长17.5%。大多数POS公司都包含安全功能来帮助保护POS硬件和软件。但是,您可以采取一些额外的步骤来增强安全性,这些步骤与上面的最佳实践和提示一致。
- 杀毒软件:为您的业务系统安装杀毒软件的平均成本约为每年200美元。流行的选择包括McAfee和Norton。
- 防火墙:物理防火墙或路由器可以帮助保护小型企业网络上的数据传输。乐鱼游戏app下载这些都有不同的价格,但你可能要花100到300美元。常用的选择包括SonicWall和Cisco。
- 安全摄像机:拥有一个覆盖销售点终端或设备的任何区域的摄像头是保护它们免受物理篡改的好方法。业务安全系统SimpliSafe、Vivint和ADT等公司提供的套餐每月从9.99美元到59.99美元不等。
- EMV芯片的读者:这是必须的。EMV阅读器的平均成本从每台50美元到1000美元不等。联系你的商家帐户供应商,以确保您拥有最新的支付技术。
- 安全AI和自动化控制:安全人工智能和自动化控制帮助企业更快地检测和遏制数据泄露。这些产品的月费在80到1500美元之间,但通过减少检测和反应时间,他们减少80%的数据泄露成本.
- 退款保障服务:黑客攻击不仅仅是在暗网上暴露泄露的数据。犯罪分子利用这些信息进行欺诈性购买。虽然许多POS系统和支付提供商提供了一些退款保护,但您可能需要考虑更多强大的回退保护服务.大多数都提供定制价格,但有些要求最低月消费在1000美元以上。
如果您的业务受到数据泄露的影响该怎么办
有时,最好的销售点安全措施也无法阻止入侵。当数据泄露发生时,快速有效地做出反应对您的业务非常重要。在这种情况下,时间确实是金钱和声誉。
- 第一步:确定违约的程度。确定哪些系统或网络被破坏,哪些信息被访问。一旦知道了漏洞的程度,就可以开始减轻损害。
- 第二步:通知可能受到影响的客户和员工。让他们知道他们直接受到影响的可能性有多大(比如在这些日期之间或在这家商店使用的卡片)。包括保护自己的建议,比如修改密码或检查他们没有购买的东西。
- 第三步:考虑为客户提供一年的身份盗窃保护。这可能会很贵,但对修复客户的好感大有裨益。
- 第四步:聘请网络安全公司调查违规情况,并采取额外保安措施。
- 第五步:记录所有的交流与数据泄露有关,以便在采取法律行动时可作为证据。
- 第六步:联系联邦贸易委员会(FTC)执法部门和信用机构。执法部门可以帮助调查违规行为,并确定谁应该为此负责。联邦贸易委员会可以就如何处理数据泄露的后果提供资源和建议。信用机构可以帮助企业保护客户的信用信息。
- 第七步:联系保险公司确认是否包括数据泄露。
销售点安全常见问题(FAQ)
当数据泄露时,谁来为欺诈费用买单?
金融机构(银行和支付处理机构)通常承担未经授权的借记卡和信用卡费用的主要责任。然而,这些金融公司可能会将商家告上法庭,以支付保护客户的费用——家得宝与银行达成和解;塔吉特也支付了和解金。其他人则在诉讼中。不过,还有一些人向黑客支付赎金,以防止数据泄露。
我的销售点系统很安全。这就足够了吗?
不。如果您访问您的POS在云或有一个在线商店在您的网站,那么这些也需要安全的黑客。例如,您的计算机或服务器上的病毒可以提取您输入POS系统的密码和其他信息,或获取您的密码直接访问系统。2020年和2021年最常见的数据泄露途径之一是通过不安全的数据库。确保正确地标记、密码并保护POS数据库和备份。
底线
对企业来说,制定全面的安全协议比以往任何时候都更加重要,特别是在涉及销售点安全的情况下。这意味着确保所有用于交易的设备都是最新的,并得到适当的保护,使用强大的密码和认证方法,并定期监测可疑活动。员工还需要接受如何发现潜在威胁并做出相应反应的培训。