Безопасность POS-терминалов: тенденции 2015 года

В марте стало известно о вредоносном ПО PoSeidon, которому уже удалось проникнуть в POS-терминалы ресторанов и отелей США. В апреле эксперты обнаружили уникальный вирус Punkey, который может не только проникнуть в устройство и воровать данные кредитных карт из терминала, но и подгружать обновления для оптимизации преступной деятельности.

Брэндон Бенсон, старший аналитик безопасности SecurityMetrics, рассказал о новых тенденциях в сфере защиты POS-терминалов.

Повсеместное распространение стандарта P2PE

Технология P2PE (Point-to-point encryption — шифрование данных кредитной карты непосредственно в платежном терминале) сначала развивалась очень медленно. За первые 1,5 года существования ей почти никто не пользовался. Разработчики терминалов, а также торговцы не хотели инвестировать средства в модернизацию устройств.

Сегодня эту технологию поддерживает уже семь поставщиков и к концу года их количество должно удвоиться.

Совет по стандартам безопасности индустрии платежных карт рекомендует всем торговцам использовать терминалы с таким шифрованием.

Отказ от шифрования E2EE 

Сегодня торговцы все еще используют этот вид шифрования данных, который является достаточно надежным. Тем не менее, несоответствие строгим стандартам PCI DSS вынуждает ритейлеров и производителей терминалов постепенно отказываться от этой опции.

Среди недостатков E2EE-шифрования (End-to-end encryption) – ограничение возможности в выборе эквайринга.

Торговец, который использует платежный терминал, защищенный E2EE, вынужден пользоваться услугами только одного банка.

Напротив, P2PE позволяет мерчантам заключать контракты на обработку платежей с различными финучреждениями.

Шифрование E2EE пользовалось успехом у крупных торговых сетей, поскольку позволяло экономить крупные суммы, обрабатывая большие объемы данных в собственном процессинговом интерфейсе.

Однако готовность разработчиков P2PE предложить подобную услугу в версии 2.0 повысит их конкурентоспособность на рынке защиты электронных транзакций.

Терминалы для бесконтактных платежей будут защищены P2PE

Объединение в одном платежном терминале стандарта шифрования P2PE и бесконтактных платежей является гарантией безопасности транзакций.

Пока эти технологии объединяются в одном устройстве достаточно редко из-за медленного перехода на бесконтактные платежи.

Однако по прогнозам уже во II квартале этого года ситуация начнет стремительно меняться.

POS-терминалы с шифрованием данных P2PE будут дешевле в эксплуатации

Вместо того, чтобы тратить деньги на привлечение сторонних разработчиков для защиты сетей, торговцам будет выгоднее установить платежный терминал с шифрованием P2PE, который выполняет аналогичные функции и передает защищенную информацию сразу в банк.

Торговцы недовольны стандартом P2PE

Для того, чтобы применить новый стандарт безопасности платежных карт, торговцам необходимо избавиться от всех старых платежных терминалов и закупить новые.

Это довольно сложная и дорогостоящая процедура, учитывая то, что некоторые ритейлеры недавно закупили POS-терминалы для бесконтактных платежей.

Более того, те мерчанты, которые хотят продавать товары с помощью смартфонов обязаны приобрести мини-терминалы, поддерживающие шифрование данных P2PE, потому, что мобильные устройства не могут обеспечить надежное хранение платежных данных.