На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 4 июль-август 2013 г.
Тема номера:
Безопасность платежных систем
Безопасность торговых точек, имеющих POS-терминалы
А. А. Комаров
ООО «Группа информационной безопасности» (Group-IB)

Предыдущая статьяСледующая статья
Введение

Хищение данных о пользователях кредитных карт и их реквизитов является устоявшимся направлением современного киберпреступного мира. Основными факторами, позволяющими осуществить подобный вид мошенничества, являются недостаточная защищенность и осведомленность самого владельца кредитной карты, а также проблемы с безопасностью непосредственно торговой точки (онлайн — VPOS, оффлайн — POS).

В 2009 корпорация VISA сделала первое уведомление о том, что была зафиксирована угроза компрометации POS-терминалов, размещенных на стороне мерчантов известных платежных систем, для последующего хищения данных о кредитных картах всех покупателей, обслуживающихся данной торговой точкой. Первостепенно подобного рода инциденты безопасности связаны с недостаточной организационной и технической защищенностью размещенных в сетях ресторанного бизнеса, магазинах и развлекательных заведениях мерчантов, несмотря на отраслевые стандарты и требования к их защите. Несмотря на то что приложения, которые применяются на стороне Virtual Point-Of-Sale (VSOP) в Интернете, могут соответствовать всем требованиям Visa’s Payment Application Best Practices (PABP), сам мерчант может оставаться под большой угрозой, находясь в уязвимом окружении.

Под уязвимостями окружения понимаются инфраструктурные бреши, связанные с ошибками конфигурации сетевого оборудования, организацией удаленного доступа к информации, механизмами установки обновлений прикладного и системного программного обеспечения, организационные аспекты допуска к обслуживанию и технической поддержке внедренных POS-терминалов.

Последний пункт требует особого внимания: как правило, торговые точки не способны осуществлять обслуживание POS-терминалов и установленных программных комплексов по учету и регистрации платежей, почему и нанимают стороннего подрядчика. В большинстве случаев недобросовестные подрядчики подключают сетевые узлы, имеющие непосредственное соединение с POS-терминалом, к Интернету, наделяя злоумышленника возможностью удаленного злонамеренного воздействия.

< ... >

warning!   Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2018 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100