ضمان أمان محطات الدفع والمعاملات والتطبيقات

· أوراق بيضاء
broken image

يراجع اثنان من خبراء الأمان في PAX التعقيد المتزايد حول أمان المعاملات ولماذا - مع ظهور حلول Android SmartPOS - أصبحت التكنولوجيا والأفراد والعمليات أكثر أهمية من أي وقت مضى.

broken image

الأول في سلسلة مدونات الأمان المكونة من جزأين

يدرك المجرمون فرصة المساومة بأنظمة الدفع لارتكاب الاحتيال. على الصعيد العالمي ، تضاعفت خسائر الاحتيال في الدفع (من جميع الأنواع) بأكثر من ثلاثة أضعاف منذ عام 2012 لتصل إلى 34 مليار دولار ، ومن المتوقع أن ترتفع إلى أكثر من 40 مليار دولار بحلول عام 2027. وتؤثر هذه الخسائر على المؤسسات المالية والتجار والمستهلكين والمجتمع بأسره ، وغالبًا ما تكون العصابات الإجرامية استخدام الأموال لأغراض الاتجار بالمخدرات وغسيل الأموال وتمويل الإرهاب واستغلال الأفراد المعرضين للخطر. لهذا السبب يجب أن يكون الأمن هو الأولوية الأولى للجميع في صناعة المدفوعات.

 

تتفهم تقنية بأكس هذا الأمر وتضع الأمان في قلب كل ما نقوم به. نصمم منتجات آمنة للغاية لحماية عملائنا ومستخدميهم النهائيين ، مما يضمن عدم إمكانية الوصول إلى البيانات الحساسة للعملاء. لقد حصلنا على شهادة ISO / IEC 27001 وهي الأكثر موثوقية واعتمادًا على نطاق واسع من بين جميع موافقات إدارة الأمن الدولية (لاحظ أن الولايات المتحدة الأمريكية ليست في نطاق هذه الشهادة). نحن ندير هيكلًا متعدد المستويات لإدارة الأمن عبر مؤسستنا ، تشرف عليه لجنة إدارة أمن المعلومات التي تقدم تقاريرها مباشرة إلى مجلس الإدارة. تم تعيين المسؤولية اليومية إلى مجموعة أمن المعلومات مع تمثيل من جميع الإدارات وتم منحهم ميثاقًا لرعاية المسائل الأمنية في جميع مراحل دورة حياة المنتج ، والعمليات الداخلية ، وجوانب الناس. يوجد في كل منطقة من المناطق العالمية لـ شركة بأكس للتكنولوجيا شخص معين لأداء دور رئيس أمن المنتجات أو مسؤول الامتثال الأمني ​​أو ما شابه.

يعتمد الأمن على التكنولوجيا والعمليات والأشخاص

يشمل أمن تكنولوجيا الدفع أكثر بكثير من مجرد تصميم الأجهزة ؛ تزداد أهمية البرامج بشكل متزايد عن ميزات الأجهزة. يعتمد تقديم تقنية آمنة للغاية على العمليات الفعالة والأشخاص المؤهلين. من المفيد التفكير في تشبيه كرسي ثلاثي الأرجل حيث يتم إزالة الثبات في حالة تعرض أي من الأرجل الثلاثة للخطر. يسعى المجرمون دائمًا إلى استغلال الحلقة الأضعف وتكييف ملف تعريف الهجوم باستمرار لارتكاب الاحتيال. نحن ملتزمون بالاستثمار بشكل أكبر لضمان أن منتجاتنا وخدماتنا تقدم أعلى مستويات الأمان.

broken image

الركائز الأمنية الخمسة لشركة بأكس للتكنولوجيا

في بأكس ، نفكر في الأمان ضمن خمسة أعمدة منفصلة وسنناقش كل منها في سلسلة المدونات المكونة من جزأين. زادت مسؤولياتنا الأمنية مع توسع نطاق المنتجات إلى فئات حلول جديدة.

  1. أمان الجهاز (الأجهزة والبرامج) - أجهزة الدفع والتاجر وإنترنت الأشياء
  2. أمن خدمات القيمة المضافة
  3. نظام إدارة الجهاز وأمن السوق
  4. إدارة الضعف
  5. حماية الخصوصية

في الجزء الثاني من مدونة الأمان هذه ، سنلقي نظرة على أمان التطبيقات والسوق وإدارة الثغرات الأمنية وحماية الخصوصية.

أمان الجهاز

يجب أن تمتثل محطات الدفع للعديد من معايير الصناعة الصارمة التي وضعتها شبكات الدفع الدولية ، إما بالعمل معًا من خلال رعاية مجلس معايير أمن صناعة بطاقات المدفوعات (PCI SSC) ، EMVCo (المملوكة من قبل 6 علامات تجارية دولية للبطاقات ) ، أو بشكل فردي ، بالإضافة إلى تلبية المتطلبات و / أو المعايير الإقليمية والمتعلقة بالمشتري. تشمل تقييمات الأمان هذه نظام الدفع بالكامل (المنتجات والخدمات) ، حيث ترتبط جميع الجوانب ارتباطًا جوهريًا

broken image

تعد متطلبات أمان نقطة التفاعل (POI) PCI PIN لأمان المعاملات (PCI PTS) من أهم المتطلبات العالمية بالنسبة لنا. تضمن هذه القائمة الشاملة من متطلبات الأمان لحماية أرقام التعريف الشخصية للمستهلك والتعامل الآمن في جميع مراحل معالجة المعاملات. ويغطي تصميم الأجهزة والتشفير وإدارة المفاتيح وتطوير البرامج. لقد حصلنا حتى الآن على 86 شهادة لموديلات أجهزتنا ، 17 منها أحدث إصدار ، PCI PTS 6.x. يضع بأكس هذا كقائد أمان ويظهر التزامنا بأن نكون من أوائل المتبنين لمعايير PCI PTS الأكثر حداثة من أجل تزويد عملائنا بالثقة لتحقيق أقصى قدر من الحماية الأمنية. تشمل منتجاتنا وحدات أمان مقاومة للعبث وتستخدم معالجات أمنية مخصصة. يُجري مقيّمو الأمان المؤهلون (QSAs) المعتمدون من قبل PCI تقييمات مفصلة لتأكيد الامتثال لمواصفات PCI. جميع أجهزة الدفع الجديدة التي أطلقتها بأكس ستتم بالطبع اعتمادها لـ PCI PTS.

بالإضافة إلى ذلك ، قامت بأكس باعتماد 14 منتجًا مقابل معيار أمان دولي إضافي تم إنشاؤه بواسطة اتحاد التقييم الأمني ​​المشترك وإصدار الشهادات (Common.SECC) المطلوب في المملكة المتحدة وألمانيا وعدد متزايد من البلدان ، وأشهرها هو أفضل مبيعات A920Pro (تمت مناقشة الشعبية المتزايدة لمحطات الدفع التي تعمل بنظام ألاندرويد في موقعنا المدونة الأولى). يتم إجراء التقييم الشامل لأمن تكنولوجيا المعلومات من قبل مختبرات أمنية معتمدة من الحكومة باستخدام منهجية معايير ISO الموحدة (CC) التي توفر ضمانًا أمنيًا بغض النظر عن التطبيق الذي يتم تشغيله على الجهاز.

broken image

كما تم اعتماد محطات الدفع لدينا وفقًا لمعايير EMVCo من المستوى 1 و 2 للقبول الآمن لبطاقات الرقاقة اللا تلامسية وبطاقات الاتصال. يتوقع جميع عملاء بأكس هذه الشهادات ، ولدينا سجل جيد في اجتيازها بسرعة لتجنب التأخير في إطلاق منتج جديد وتوافر العملاء. أدى التطبيق العالمي لتقنية Chip & PIN ومعايير EMV إلى تقليل مستوى الاحتيال المرتكب في بيئة وجهاً لوجه بشكل كبير ، مما دفع المجرمين إلى البحث عن أهداف أسهل وتحويل انتباههم إلى التجارة الإلكترونية.

عندما يتم تقديم شهادات جديدة من قبل العلامات التجارية الدولية ، مثل شهادة ماستركارد المعززة اللا تلامسيه (Ecos) ، تضمن بأكس اعتماد أحدث جيل من أجهزة الدفع الخاصة بها ، مثل A35 نظام التشغيل الاندرويد المتعدد الخطوط PINpad. نحن ندرك ضرورة الحصول على شهادات الأمان ونفخر بالخبرة الأمنية العميقة التي أنشأناها داخل مجموعة بأكس ومجتمع بأكس الأوسع لشركاء القنوات العالمية ومتكامل أنظمة الدفع ، بالإضافة إلى التصميم الآمن لمنتجاتنا والكفاءة في استكمالها التقييمات.

لسنوات عديدة ، حرصنا أيضًا على التحقق من صحة أجهزتنا وفقًا لمعيار إدارة جودة المحطة الطرفية ماستركارد (TQM) الذي ينظر إلى الأمان العام وأداء أجهزة أجهزة الدفع الطرفية.

تكمل منتجات بأكس أيضًا اعتمادات وشهادات شاملة مع المشترين و / أو المعالجات في جميع أنحاء العالم ، للمساعدة في ضمان معالجة معاملات الدفع دائمًا بشكل آمن. أكملت المؤسسات المالية الكبرى (FIs) تقييمات تفصيلية للمخاطر على منتجاتنا وخدماتنا ، وتؤكد هذه المراجعات المتعمقة المستويات العالية للأمان التي توفرها حلول بأكس.

في النهاية ، يتحمل عملاؤنا مسؤولية الامتثال لمعايير أمان بيانات PCI (PCI DSS) ، لكننا نساعدهم من خلال تقديم منتجات الأجهزة والبرامج التي تتضمن ميزات أمان عالية والتي يمكن تشغيلها بطريقة آمنة. أحد الأمثلة على ذلك هو مكوِّن القراءة الآمنة وتبادل البيانات (SRED) المعتمد من PCI الخاص بنا (PCI) والذي يضمن قبول بيانات حساب حامل البطاقة (غير PIN) بشكل آمن عند نقطة القبول وحمايتها من خلال استخدام تشفير عالي المستوى . يعتمد عدد متزايد من عملائنا على P2PE لضمان تشفير بيانات حامل البطاقة ، وبالنسبة لهم تعمل وحدة SRED الخاصة بـ بأكس للتكنولوجيا كطبقة أساس لإنشاء بنية أساسية P2PE آمنة.

تم تصميم أحدث طرازات بأكس PINpad لدعم فتحة أمان كنسينغتون والقدرة على تركيب أجهزة PED في أقواس تثبيت آمنة. يساعد هذا في توفير خيارات أمان إضافية للوصول المادي لعملائنا.

أجهزة التاجر وإنترنت الأشياء (IOT)

مع توسع خط إنتاج بأكس إلى أجهزة التاجر الذكية (EPOS) التي تدمج عمليات المتجر والمدفوعات في حل الكل في واحد ، لدينا الآن التزامات أمنية جديدة تركز على أمان بيانات التاجر. نحتاج إلى تأمين معالجة المبيعات والطلب وإدارة المخزون وبيانات برنامج الولاء والطباعة والاتصالات الآمنة. يتم التعامل مع هذا بشكل منفصل عن معالجة معاملات الدفع ، لكننا نتعامل معها بجدية متساوية. نحن نضمن أيضًا تضمين مستويات عالية من الحماية الأمنية مع منتجات الجيل الجديد غير المراقب و PayPhone و PayTablet.

سيتطلب دخولنا إلى إنترنت الأشياء (IoT) وعالم التجارة المتصلة أمانًا قويًا بشكل متساوٍ، لذلك نحن نصمم ميزات أمان عالية المستوى مناسبة في هذه المنتجات منذ البداية ، بما في ذلك أطر إدارة السحابة الآمنة وإنترنت الأشياء. سيشمل ذلك ، من بين جوانب أخرى ، مصادقة الجهاز والتكامل الآمن والاتصال بين الأجهزة.

أمان البرامج هو المفتاح

يتم تناول اعتبارات الأمان في كل خطوة من الخطوات السبع لعملية دورة حياة تطوير البرامج الآمنة (S-SDLC) ويتم دائمًا اتباع أفضل الممارسات الدولية أثناء مراحل التصميم الأولي وتحليل المتطلبات وتطوير البرامج والاختبار والإصدار والصيانة. تتم مراجعتها من قبل مقيّمي الأمن المؤهلين الخارجيين (QSA) كجزء من عملية شهادة PCI. تتطلب إجراءات إصدار البرامج مراجعات منفصلة لرمز الأمان من قبل فرق ضمان الجودة (QA) والتطوير. يجب أن يوقع كلا الفريقين التطبيقات رقميًا قبل إصدار أي برنامج ونشره. يتم التحكم بإحكام في الوصول إلى التصميمات الحساسة والوثائق الأمنية لأفراد مختارين بشكل مناسب ، وتجلس فرق تطوير البرامج فعليًا بشكل منفصل ويتم فحص الموظفين الجدد.

broken image

 تشغل محطات نقطة بيع ذكية من الجيل الجديد لدينا إصدارًا مغلقًا خاصًا من نظام التشغيل ألاندرويد الذي نطلق عليه هذا يقيد الوصول إلى ميزات مثل قارئات البطاقات ولوحات المفاتيح والكاميرات والميكروفونات التي يمكن .PayDroid أن تخلق ثغرات أمنية. كما يمنع أيضًا مشاركة بيانات الدفع وحامل البطاقة الحساسة مع تطبيقات عدم الدفع التي يتم تشغيلها على نفس الجهاز. يتم إصدار إصدارات جديدة من نظام تشغيل PayDroid بانتظام على مدار العام ويتم تطبيق تصحيحات الأمان على الأقل كل ثلاثة أشهر ، ولكن فورًا إذا لزم الأمر.

تشفير قوي وإدارة مفاتيح

تدعم بأكس مجموعة من عمليات التشفير المتماثلة وغير المتماثلة داخل منتجاتنا لحماية المعلومات الحساسة. وتشمل هذه، ولكن لا تقتصر على معيار تشفير البيانات (DES) و RSA ومعيار التشفير المتقدم (AES) وتشفير المنحنى الإهليلجي (ECC). أيضًا ، نقوم بتشغيل مجموعة من عمليات الإدارة الرئيسية بما في ذلك Triple DES (TDES)/ مفتاح AES الرئيسي / مفتاح الجلسة وTDES / AESمشتق مفتاح فريد لكل معاملة (DUKPT). (لاحظ أن تم إهمال TDES).

broken image

الأمان طوال دورة الحياة الكاملة

تم اعتماد بأكس لنظام إدارة الجودة ISO9001 المعترف به دوليًا والذي يتضمن العديد من متطلبات الأمان. يطبق نهجنا في الأمان خلال دورة حياة منتج بأكس - بدءًا من التصميم الأولي ، وتطوير البرامج ، وعمليات التصنيع ، والشحن ، ونشر البرامج ، واستخدام التاجر ، إلى التعامل مع مراكز الإصلاح المعتمدة.

تأمين خدمات القيمة المضافة

نحن نقدم مجموعة مطورة على نطاق التماثلية البصرية لعملائنا مع واحدة من أهمها خدمة آمنة لتحميل لوحة المفاتيح. يقوم هذا بتحميل مفتاح أمان فريد في كل جهاز في وقت التصنيع ، مما يضمن التحكم الكامل اللاحق في من يمكنه تحميل البرامج والتطبيقات التي يمكن تشغيلها. نقوم بتشغيل خدمة ادخال المفتاح الآمن paxRhino في ثلاثة مراكز تحميل عن بعد (RKI) تقع على التوالي في إيطاليا (لأوروبا والشرق الأوسط وأفريقيا) والولايات المتحدة (لأمريكا الشمالية والجنوبية) والصين (لآسيا). تم فحص كل من هذه المرافق فائقة الأمان واعتمادها وفقًا لمعايير PCI. تشمل القدرات الأمنية الرئيسية:

ميزات أمان تصميم المبنى ، وتقييد الوصول إلى الأشخاص من خلال الشارات الإلكترونية ، وأنظمة الدوائر التلفزيونية المغلقة المجهزة بكشف اي خطر ، واستخدام وحدات الأجهزة عالية الأمان ، تقييد إمكانية المراقبة ومنع تمرير أو إرسال المعلومات المحظورة. تعمل مراكز RKI أيضًا على تشغيل أنظمة منع التطفل ، وجدران الحماية ، وتم فصلها بشكل آمن عن شبكات الشركة. تقدم RKI بديلاً آمنًا للغاية ولكنه أكثر فعالية من حيث التكلفة لتحميل لوحة المفتاح المحلي (LKI) ولكن يمكن أيضًا دعمها إذا فضل العميل ذلك. توفر خدمة RKI أيضًا خيارات لتجار المؤسسات للتحكم في استخدام الجهاز داخل عقاراتهم. بالإضافة إلى ذلك ، نحن مزود خدمة معتمد من PCI (CA) ، ونخدم العملاء بشكل آمن بهذه الإمكانية لعدة سنوات.

الأهم من ذلك ، حققت بأكس شهادة PCI DSS في فبراير 2022 لمنصة متجر باكس و VAS الداعمة التي نوفرها. هذا يؤكد أن لدينا ضوابط أمن المعلومات اللازمة لضمان التعامل مع المعلومات والبيانات الحساسة بشكل صحيح أثناء القبول والمعالجة والنقل والتخزين ومنع تسرب البيانات. لقد تم اعتمادنا وفقًا لأهداف PCI DSS الستة ومتطلبات 12 ، مع أكثر من 300 عنصر قيد المراجعة. يُظهر امتثال PCI DSS لدينا أن لدينا الضوابط اللازمة لإدارة بيانات حامل البطاقة ، وعمليات إدارة أمن المعلومات ، وتصميم أمن الشبكة ، وحماية البيانات ، ومراقبة الأمن وإدارة الثغرات الأمنية.

منظور بأكس

يسلط الجزء الأول من مدونة الأمان هذه الضوء على الأهمية التي تعلقها بأكس على الأمان وكيف ينطبق ذلك على منتجاتنا وعملياتنا وأفرادنا. نصمم الأمان في منتجاتنا منذ البداية ونعتبره شاملاً. تتوافق أجهزة الدفع الخاصة بنا مع معايير الأمان ذات الصلة وتم اعتمادها من قبل هيئات متعددة. نهجنا هو أن نكون استباقيين وسريعين في تبني أحدث إصدار من المواصفات ومعالجة أي مخاوف أمنية تثار على الفور.

broken image

يقيد تطبيقنا الآمن لنظام التشغيل ألاندرويد الوصول إلى البيانات الحساسة ويفصل بين معالجة المدفوعات وتطبيقات عدم الدفع. تتم معالجة الأمان خلال عملية تطوير البرامج بالكامل وتوفر وحدة SRED مكونًا معتمدًا من P2PE للعملاء الذين يطبقون التشفير من طرف إلى طرف. تم اعتماد VAS مثل RKI أيضًا وفقًا لمواصفات PCI. تشمل مبادئ الأمان الرئيسية التي نتبعها: الحفاظ على البيئات المنفصلة ، واعتماد أحدث مواصفات الأمان ، وتطبيق نظام التشغيل المتكرر والتحديثات الأمنية ، والتوقيع رقميًا على جميع البرامج قبل نشرها ، وتأمين البيانات والاتصالات من خلال استخدام التشفير القوي وإدارة المفاتيح.

سنشرح في الجزء الثاني من مدونة الأمان هذه كيفية معالجة بأكس لأمان التطبيقات والسوق وإدارة الثغرات الأمنية وحماية الخصوصية.

العلامة التجارية بأكس مرادفة للجودة العالية والأمان العالي. حتى الآن ، لم يتم تحديد أي مشكلات تتعلق بأمان معاملات الدفع من قبل العملاء في جميع أنحاء العالم الذين يستخدمون منتجات بأكس ؛ وبالمثل ، لم يتم اختراق أي بيانات مدفوعات ، ولم يتم سحب أي من شهادات بأكس للتكنولوجيا على الإطلاق ، ولم يتم التعرف على حركة المرور أو الأحداث الضارة في نشاط حركة مرور الشبكة.

سيسعد كبار مسؤولي أمن المنتجات الإقليميين بالإجابة على أي أسئلة أخرى قد تكون لديكم.