Den nylige Macy's databrud, hvor hackere var i stand til at stjæle kundens personlige oplysninger og betalingsoplysninger, er en påmindelse om, at online- og detailhandel kan være risikabelt.
Overvej, hvordan hacking af Target-butikken i 2014 var et af de største POS-system-databrud i USAs historie, der udsatte mere end 70 millioner kundeoptegnelser for hackere og kostede detailhandlerens CEO og CIO deres job.
Det blev senere afsløret, at angrebet kunne have været undgået, hvis Target netop havde implementeret autoudryddelsesfunktionen i sit FireEye-anti-malware-system.
Efterhånden som denne sæson nærmer sig sort fredag, skal organisationer være seriøse med at beskytte deres POS-systemer.
Heldigvis er virkeligheden, at de fleste POS-angreb kan undgås.
Ja, der er mange trusler mod POS-systemer, men der er nu lige så mange måder at bekæmpe disse trusler på.
Uanset hvilken metode du bruger, skal du sørge for, at din virksomhed har et virtuelt privat netværk (VPN) på plads for at beskytte data, der rejser frem og tilbage på din virksomheds netværk.
Læs videre for de seks måder, din virksomhed kan beskytte mod POS-indtrængen på.
1.
Brug en iPad til POS
De fleste af de ovennævnte angreb har været resultatet af malware-applikationer indlæst i POS-systemets hukommelse.
Hackere er i stand til i hemmelighed at uploade malware-apps til POS-systemerne og derefter pile data uden at brugeren eller købmanden er klar over, hvad der skete.
Det vigtige punkt, der skal bemærkes her, er, at en anden app skal køre (ud over POS-appen), ellers kan angrebet ikke forekomme.
Dette er grunden til, at iOS traditionelt har muliggjort færre angreb.
Da iOS kun er i stand til fuldt ud at køre en app ad gangen, forekommer disse typer angreb sjældent på Apple-fremstillede enheder.
"En af fordelene ved Windows er, at flere apps kører på én gang," sagde Chris Ciabarra, medstifter af POS-platformen Revel Systems.
"Microsoft vil ikke have, at den fordel forsvinder ...
men hvorfor tror du, at Windows går ned hele tiden? Alle disse apps kører og bruger al din hukommelse."
For at være retfærdig sælger Revel Systems POS-systemer specielt designet til iPad, så det er i Ciabarras interesse at skubbe Apples hardware.
Der er dog en grund til, at du sjældent, hvis nogensinde, hører om POS-angreb, der forekommer på Apple-specifikke POS-systemer.
Husker du, da iPad Pro blev afsløret? Alle spekulerede på, om Apple ville muliggøre ægte multitasking-funktionalitet, som gør det muligt for to apps at køre samtidigt med fuld kapacitet.
Selv i sin nyeste iteration har Apple stadig forladt denne funktion fra den nyeste iPad Pro ($ 899,00 hos Amazon) , meget til beklagelse for alle undtagen de brugere, der sandsynligvis vil køre POS-software på deres enheder.
2.
Brug End-to-End-kryptering
Virksomheder som Verifone tilbyder software, der er designet til at garantere, at dine kunders data aldrig udsættes for hackere.
Disse værktøjer krypterer kreditkortoplysninger, det andet det modtages på POS-enheden, og igen når de sendes til softwarens server.
Dette betyder, at dataene aldrig er sårbare, uanset hvor hackere muligvis installerer malware.
"Du vil have en ægte punkt-til-punkt-krypteret enhed," sagde Ciabarra.
"Du ønsker, at dataene skal gå direkte fra enheden til gatewayen.
Kreditkortdataene rører ikke engang POS-enheden."
3.
Installer Antivirus på POS-systemet
Dette er en enkel og åbenlys løsning til forebyggelse af POS-angreb.
Hvis du vil sikre, at skadelig malware ikke infiltrerer dit system, skal du installere slutpunktsbeskyttelsessoftware på din enhed.
Disse værktøjer scanner softwaren på din POS-enhed og opdager problematiske filer eller apps, der skal fjernes med det samme.
Softwaren advarer dig om problemområder og hjælper dig med at starte den rensningsproces, der kræves for at garantere, at malware ikke resulterer i datatyveri.
4.
Lås dine systemer ned
Selvom det er meget usandsynligt, at dine medarbejdere vil bruge dine POS-enheder til uhyggelige formål, er der stadig masser af potentiale for interne job eller endda bare menneskelige fejl til at forårsage massive problemer.
Medarbejdere kan stjæle enheder med POS-software installeret på dem eller ved et uheld forlade enheden på kontoret eller i en butik eller miste enheden.
Hvis enheder går tabt eller stjæles, kan enhver, der derefter får adgang til enheden og softwaren (især hvis du ikke fulgte regel nr.
2 ovenfor), kunne se og stjæle kundeoptegnelser.
For at sikre, at din virksomhed ikke bliver offer for denne form for tyveri, skal du sørge for at låse alle dine enheder i slutningen af ??arbejdsdagen.
Regnskab for alle enheder hver dag, og sikr dem et sted, som kun andre end nogle få udvalgte medarbejdere har adgang til.
5.
Undgå at forbinde din POS til eksterne netværk
De farligste hackere kan gå på kompromis med systemer eksternt og behøver ikke at være i en detailforretning for at aflive værdifuld forretnings- og klientinformation.
Systemer, der opretter forbindelse til eksterne netværk, er mere modtagelige for angreb fra hackere.
Nogle, der muligvis har infiltreret eksterne systemer med software, der ligger i dvale, indtil de opretter forbindelse til et POS.
Overvej at holde tingene interne og sikre, brug et virksomhedsnetværk til at håndtere kritiske opgaver som betalingsbehandling.
6.
Vær PCI-kompatibel fra top til bund
Ud over at styre dine POS-systemer vil du overholde PCI DSS (Payment Card Industry Data Security Standard) på tværs af alle kortlæsere, netværk, routere, servere, online indkøbsvogne og endda papirfiler.
PCI Security Standards Council foreslår, at virksomheder aktivt overvåger og registrerer it-aktiver og forretningsprocesser for at opdage sårbarhed.
Rådet foreslår også, at data om kortindehavere fjernes, medmindre det er absolut nødvendigt, og at kommunikationen med banker og kortmærker opretholdes for at sikre, at der ikke opstår problemer eller allerede har fundet sted.
Du kan ansætte kvalificerede sikkerhedsvurderere til periodisk at gennemgå din virksomhed for at afgøre, om du følger PCI-standarder eller ej.
Hvis du er bekymret for at give adgang til dine systemer til en tredjepart, giver Rådet en liste over certificerede vurderere.
7.
Ansæt sikkerhedseksperter
"CIO vil ikke vide alt, hvad en sikkerhedsekspert vil vide," sagde Ciabarra.
"CIO kan ikke holde sig ajour med alt, hvad der sker i sikkerhed.
Men en sikkerhedseksperts eneste ansvar er at holde sig ajour med alt."
Hvis din virksomhed er for lille til at ansætte en dedikeret sikkerhedsekspert ud over en teknologichef, vil du i det mindste gerne ansætte nogen med en dyb sikkerhedsbaggrund, der ved, hvornår det er tid til at nå ud til en tredjepart for at få hjælp.
