¿Cómo ser compatible con PCI con Shopkeep (y otros)?

Navega tus respuestas
3

Cuando entro en algunos negocios, los veo usando Shopkeep en un iPad.

No entiendo cómo esto es compatible con PCI, ya que el propio iPad estaría dentro del alcance, y puede enviar tráfico sin restricciones a Internet. Tener cualquier dispositivo con un sistema operativo completo conectado a Internet en general parece una vulnerabilidad.

Quizás vuelva a encuadrar mi pregunta ... ¿cómo puede alguno de los sistemas que involucran pasar una tarjeta a través de un dispositivo conectado a una tableta ser compatible con PCI? Esto parece violar las prácticas de seguridad de sentido común cuando se quiere mantener la superficie de ataque lo más pequeña posible.

En caso de que esto se cierre por llamar a un proveedor, llamé a Shopkeep para entenderlo mejor y no pudieron dar una respuesta adecuada. De hecho, me dijeron que el iPad no sería parte del entorno de datos de la tarjeta, pero eso es falso por mi lectura.

    
pregunta ToBeReplaced 30.05.2016 - 08:24
fuente

4 respuestas

3

Bueno, lo primero que harías es poner el iPad en "Acceso guiado" (aplicación única modo) de modo que la única aplicación que se puede usar es el software de punto de venta que tenga allí.

A continuación, colóquelo en un segmento de red aislado que no tenga acceso externo y esté bien protegido, y de hecho puede tener una configuración bastante segura. Al menos tan seguros como los sistemas típicos de punto de venta, que son PC con pocas especificaciones que ejecutan Windows.

Finalmente, hay una gran cantidad de sistemas MDM (administración de dispositivos móviles) y sistemas de administración de configuración de iOS para bloquearlos aún más. Como se mencionó anteriormente, muchos sistemas de punto de venta son en realidad PC con Windows. Si puede bloquearlos para que sean compatibles con PCI, ¿por qué no podría hacer lo mismo con un dispositivo que ejecuta un sistema operativo diferente?

    
respondido por el HopelessN00b 30.05.2016 - 08:46
fuente
3

El cifrado en el pase de tarjeta evita que el iPad esté dentro del alcance.

La gran cantidad de hardware que se desliza con la tarjeta en estos días está configurada para cifrar los detalles de la tarjeta utilizando la clave pública del procesador de la tarjeta . El iPad simplemente pasa el blob encriptado; El comerciante y el iPad no tienen la clave privada necesaria para descifrar a blob. Por lo tanto, el comerciante nunca está manejando datos de tarjeta no encriptados y el iPad no está dentro del alcance.

Considere este texto del iDynamo 5 Lightning (énfasis mío):

  

Acepte de forma segura los pagos con tarjeta de crédito con este pequeño lector que   Se conecta directamente a través del puerto de carga de su iPad 4, Air o   mini

     

Este lector funciona exclusivamente con ShopKeep y cifra las transacciones   en el punto de deslizar para la máxima seguridad de los datos.

Ahora, no todos los lectores de tarjetas hacen esto. Y para aquellos, el comerciante es responsable de hacer lo que sea necesario para proteger los sistemas dentro del alcance. Es justo decir que una estación de tarjeta de iPad compatible con PCI no estará "conectada a Internet en general ..." La forma en que se logre es una cuestión para el comerciante.

    
respondido por el gowenfawr 30.05.2016 - 18:13
fuente
0

Para ser compatible con PCI con el sistema POS de Shopkeep, uno debe seguir los pasos a continuación.

  1. Todos los minoristas deben tener pos security que no almacena ningún dato del titular de la tarjeta y se queda Fuera del malware punto de venta.

  2. Lo siguiente es elegir un compatible con PCI el servidor web que proporcionaría un servidor virtual privado o dedicado que protege los datos del cliente que son robados.

  3. Usar terminales de acceso telefónico en lugar de terminales IP, usar una red separada para el proceso de pago que también haría que su comerciante sea compatible con PCI.

  4. Asegurando lectores de tarjetas móviles

respondido por el emily lauren 25.07.2016 - 13:25
fuente
-1

Realmente no veo lo que te confundió. esta es otra forma de dispositivo POS que debe administrarse de acuerdo con los requisitos descritos en los requisitos de PCI.

¿Por qué crees que es diferente de cualquier otro cajero por el que los clientes deslizan una tarjeta?

    
respondido por el BokerTov 30.05.2016 - 15:46
fuente

Lea otras preguntas en las etiquetas

Detectar intentos de manipular el soporte de la mesa de ayuda ¿Cuáles son los beneficios de agregar una notación UID de blockco de bitcoin a su clave OpenPGP?