Padrões de segurança para os POS

Os sistemas de pontos de venda de retalho podem por vezes colocar em perigo os dados dos cartões de crédito dos clientes. Neal Krawetz, fundador da Hacker Factor Solutions , lançou um white paper, no qual descreve algumas vulnerabilidades das tecnologias utilizadas nos terminais de pontos-de-venda fáceis de explorar.

“As vulnerabilidades descritas no documento denotam um conjunto de falhas no processo do ponto-de-venda”, disse.  Avivah Litan, analista da Gartner, considera que o documento publicado é apenas um sumário de uma série de situações já há muito conhecidas, mas ainda não abordado pela indústria de cartões de crédito. “O white paper divulgado chama a atenção para a necessidade de se instituírem padrões ao nível do pagamento.

O padrão de segurança de dados da PCI – Payment Card Industry requer que as empresas tomem várias medidas para proteger os dados dos donos dos cartões. No entanto, de momento os padrões da PCI ainda não estão disponíveis para os equipamentos e softwares dos sistemas POS – point-of-sale”, disse. A grande mais-valia do documento, na sua visão, é o facto de chamar a atenção para a falta de padrões ao nível da PCI para os terminais POS.

Segundo Krawetz, os terminais POS que lêem informação dos cartões de crédito, efectuam as transacções dos cartões e recebem o código de confirmação são alvos muito atractivos para os hackers. Isto acontece porque os terminais normalmente armazenam uma grande quantidade de informação dos cartões de crédito acessível. Alguns dispositivos de POS usam processadores RAM para armazenar dados dos cartões de crédito, o que faz com que os hackers, assim que acedam fisicamente à memória RAM, consigam sem muita dificuldade aceder aos dados.
Segundo Krawetz, os dispositivos de POS que armazenam os dados em drives de memória removíveis são também, pelas mesmas razões, alvos fáceis para os hackers.

O acesso do utilizador a determinadas funções dos terminais POS é normalmente protegido por código de autenticação, no entanto esses códigos apresentam por vezes determinadas falhas. O autor do white paper garante que, muitas vezes, a mesma password é usada por um loja inteira, ou por vezes por uma região inteira.

“Isto quer dizer que a autenticação inicial pode, com relativa facilidade, ser ultrapassada pelos hackers. Depois de isso acontecer, o hacker tem acesso directo a informações relativas a transacções financeiras”, assegurou o autor.
O documento divulgado assegura também a existência de vulnerabilidades semelhantes ao nível dos servidores: os servidores do ramo agregam informação de múltiplas caixas registradoras e podem estar localizados nas lojas ou em qualquer outro ponto. Estes servidores podem conter informação de milhões de cartões de crédito. Segundo Krawetz, em alguns casos a rede de comunicação entre os POS e os servidores não é devidamente protegida, tornando-se mais susceptível a possíveis ataques.

“O principal risco não é o de alguém poder comprometer um servidor, o principal risco é o de armazenar essa informação nos servidores”, disse. Krawetz recomenda: as empresas que querem diminuir o risco que correm, precisam de requerer informação detalhada dos fabricantes de POS sobre um leque variado de questões: por exemplo, saber se os dados são realojados o sistema de POS não tem energia; saber a quantidade exacta de informação que pode ficar retida na parte de armazenamento permanente do dispositivo. O autor vai mas longe, dizendo que as empresas precisam de saber se os dados são encriptados nos sistemas de POS e se o armazenamento permanente pode ser removido.

in Computerworld