В марте стало известно о вредоносном ПО PoSeidon, которому уже удалось проникнуть в POS-терминалы ресторанов и отелей США. В апреле эксперты обнаружили уникальный вирус Punkey, который может не только проникнуть в устройство и воровать данные кредитных карт из терминала, но и подгружать обновления для оптимизации преступной деятельности.
Брэндон Бенсон, старший аналитик безопасности SecurityMetrics, рассказал о новых тенденциях в сфере защиты POS-терминалов.
Повсеместное распространение стандарта P2PE
Технология P2PE (Point-to-point encryption — шифрование данных кредитной карты непосредственно в платежном терминале) сначала развивалась очень медленно. За первые 1,5 года существования ей почти никто не пользовался. Разработчики терминалов, а также торговцы не хотели инвестировать средства в модернизацию устройств.
Сегодня эту технологию поддерживает уже семь поставщиков и к концу года их количество должно удвоиться.
Совет по стандартам безопасности индустрии платежных карт рекомендует всем торговцам использовать терминалы с таким шифрованием.
Отказ от шифрования E2EE
Сегодня торговцы все еще используют этот вид шифрования данных, который является достаточно надежным. Тем не менее, несоответствие строгим стандартам PCI DSS вынуждает ритейлеров и производителей терминалов постепенно отказываться от этой опции.
Среди недостатков E2EE-шифрования (End-to-end encryption) – ограничение возможности в выборе эквайринга.
Торговец, который использует платежный терминал, защищенный E2EE, вынужден пользоваться услугами только одного банка.
Напротив, P2PE позволяет мерчантам заключать контракты на обработку платежей с различными финучреждениями.
Шифрование E2EE пользовалось успехом у крупных торговых сетей, поскольку позволяло экономить крупные суммы, обрабатывая большие объемы данных в собственном процессинговом интерфейсе.
Однако готовность разработчиков P2PE предложить подобную услугу в версии 2.0 повысит их конкурентоспособность на рынке защиты электронных транзакций.
Терминалы для бесконтактных платежей будут защищены P2PE
Объединение в одном платежном терминале стандарта шифрования P2PE и бесконтактных платежей является гарантией безопасности транзакций.
Пока эти технологии объединяются в одном устройстве достаточно редко из-за медленного перехода на бесконтактные платежи.
Однако по прогнозам уже во II квартале этого года ситуация начнет стремительно меняться.
POS-терминалы с шифрованием данных P2PE будут дешевле в эксплуатации
Вместо того, чтобы тратить деньги на привлечение сторонних разработчиков для защиты сетей, торговцам будет выгоднее установить платежный терминал с шифрованием P2PE, который выполняет аналогичные функции и передает защищенную информацию сразу в банк.
Торговцы недовольны стандартом P2PE
Для того, чтобы применить новый стандарт безопасности платежных карт, торговцам необходимо избавиться от всех старых платежных терминалов и закупить новые.
Это довольно сложная и дорогостоящая процедура, учитывая то, что некоторые ритейлеры недавно закупили POS-терминалы для бесконтактных платежей.
Более того, те мерчанты, которые хотят продавать товары с помощью смартфонов обязаны приобрести мини-терминалы, поддерживающие шифрование данных P2PE, потому, что мобильные устройства не могут обеспечить надежное хранение платежных данных.