Come essere PCI compatibile con Shopkeep (e altri)?

3

Quando entro in alcune aziende, le vedo usando Shopkeep su un iPad.

Non capisco come questo sia conforme allo standard PCI, dato che l'iPad stesso è in ambito e può inviare traffico non vincolato a Internet. Avere dispositivi che eseguono un sistema operativo completo connesso a Internet in generale sembra una vulnerabilità.

Forse riformulando la mia domanda ... come può uno qualsiasi dei sistemi che coinvolgono lo scorrimento di una carta attraverso un dispositivo collegato a un tablet è conforme allo standard PCI? Ciò sembra violare le pratiche di sicurezza di buon senso in cui si desidera mantenere la superficie di attacco il più piccola possibile.

Nel caso in cui questo venga chiuso per chiamare un fornitore, in realtà ho chiamato Shopkeep per capire meglio, e non potevano fornire una risposta adeguata. Infatti, mi è stato detto che l'iPad non sarebbe parte dell'ambiente di dati della carta, ma questo è falso dalla mia lettura.

    
posta ToBeReplaced 30.05.2016 - 08:24
fonte

4 risposte

3

Bene, la prima cosa che faresti è inserire l'iPad in "Accesso guidato" (singola app mode) in modo che l'unica app che può essere utilizzata sia qualsiasi software di point-of-sale in vendita.

Quindi, mettilo su un segmento di rete isolato che non ha accesso esterno ed è protetto in modo appropriato, e puoi effettivamente avere una configurazione abbastanza sicura. Almeno al sicuro come i tipici sistemi di punti vendita, che sono spesso PC con specifiche inferiori che eseguono Windows.

Infine, ci sono molti sistemi MDM (gestione dei dispositivi mobili) e sistemi di gestione della configurazione iOS che li bloccano ulteriormente. Come accennato in precedenza, molti sistemi di point of sale sono in realtà PC Windows. Se riesci a bloccarli per renderli conformi PCI, perché non saresti in grado di fare lo stesso con un dispositivo che esegue un sistema operativo diverso?

    
risposta data 30.05.2016 - 08:46
fonte
3

La crittografia su Card Swipe protegge l'iPad dall'ambito di applicazione.

Un sacco di hardware per lo swipe delle carte in questi giorni è configurato per crittografare i dettagli della carta utilizzando la chiave pubblica del processore di schede . L'iPad passa semplicemente il blob crittografato; il commerciante e l'iPad non hanno la chiave privata richiesta per decodificare il BLOB. Pertanto, il commerciante non gestisce mai dati cartacei non crittografati e l'iPad non è nel campo di applicazione.

Considera questo testo dal iDynamo 5 Lightning raccomandato a> (sottolineatura mia):

Securely accept credit card payments with this small reader that connects directly through the charging port of your iPad 4, Air or mini

This reader works exclusively with ShopKeep and encrypts transactions at the point of swipe for maximum data security.

Ora, non tutti i lettori di carte lo fanno. E per quelli il commerciante è responsabile di fare ciò che è necessario per proteggere i sistemi in-scope. È giusto dire che una stazione per schede iPad compatibile con PCI non sarà "connessa a Internet in generale ...". Il modo in cui ciò è realizzato è una questione per il commerciante.

    
risposta data 30.05.2016 - 18:13
fonte
0

Per essere compatibile con il sistema POS di Shopkeep, è necessario seguire i seguenti passaggi.

  1. Ogni rivenditore deve avere sicurezza pos che non memorizza alcun dato di titolare e rimane lontano dal malware del punto vendita.

  2. Il prossimo è scegliere un conforme PCI host web che fornisce un server virtuale privato o dedicato che protegge i dati dei clienti che vengono rubati.

  3. Uso di terminali di accesso remoto anziché di terminali IP, utilizzando una rete separata per il processo di pagamento che renderebbe anche compatibile il tuo negozio.

  4. Protezione dei lettori di schede mobili

risposta data 25.07.2016 - 13:25
fonte
-1

davvero non vedo cosa ti abbia confuso questa è un'altra forma di dispositivo POS che deve essere gestita in base ai requisiti descritti nei requisiti PCI.

Perché pensi che sia diverso da qualsiasi altro cassiere che i clienti passano una carta attraverso?

    
risposta data 30.05.2016 - 15:46
fonte

Leggi altre domande sui tag