Transações seguras nas principais listas de desejos dos varejistas nesta temporada de férias

Views: 66
0 0
Read Time:5 Minute, 8 Second

Estamos em meio à temporada de varejo mais movimentada do ano, com as vendas no varejo dos EUA esperadas para crescer 10,5% para um recorde de US$ 859 bilhões nesta temporada de férias em comparação com 2020. O número de transações está aumentando, assim como o número de hackers que estão segmentando os dados do titular do cartão dos compradores.

À medida que os varejistas recebem os compradores e fazem malabarismos com interrupções na cadeia de suprimentos, as últimas coisas com as quais eles querem se preocupar são ameaças cibernéticas que podem levar a violações de dados. Além de um alto volume de vendas, as transações seguras lideram as listas de desejos dos varejistas nesta temporada de férias.

A criptografia ponto a ponto estende a segurança além do ponto de venda

Quando se trata de processar bilhões de transações e proteger os dados mais confidenciais dos clientes, é necessário o processamento de pagamentos de classe mundial.

O uso de módulos de segurança de hardware (HSMs) no processamento de transações é fundamental, pois os HSMs de pagamento fornecem as funções criptográficas necessárias para suportar a segurança de dados de ponta a ponta. Recomendamos que os varejistas implementem criptografia ponto a ponto (P2PE) para criptografar dados do titular do cartão, como números de cartão de crédito, no ponto de venda. À medida que os dados viajam do ponto de venda para o posto comercial e além, eles precisam ser criptografados.

Como funciona o P2PE? Ele usa um dispositivo no terminal individual chamado SRED (leitura segura e troca de dados), que criptografa os dados do titular do cartão no ponto de captura. Em seguida, é enviado para um aplicativo host que o comerciante executa. Todo o objetivo é criptografar esses dados enquanto estão em trânsito, desde o ponto de venda até o aplicativo de host do comerciante em linhas que possam ser inseguras. Mesmo que um hacker, skimmer ou fraudador esteja tentando raspar os dados que chegam, os números dos cartões são criptografados.

Esses dados são usados para muitas coisas diferentes além de compras, como para programas de fidelidade de clientes, análises, devoluções e estornos. Muitas vezes, precisa haver um identificador exclusivo para um determinado cliente. Se os varejistas estiverem usando terminais de ponto de venda sem fio ou terminais móveis, há requisitos adicionais de segurança PCI para esses dados à medida que são transmitidos pela rede.

Os dados em trânsito precisam ser criptografados: os requisitos PCI desempenham um grande papel

PCI é o órgão dirigente de todas as principais marcas de cartões de crédito e possui diretrizes e regras sobre como os dados do titular do cartão são protegidos. Varejistas e outras organizações de serviços financeiros que lidam com dados claros do titular do cartão devem seguir estes regulamentos, incluindo a criptografia de dados que viajam do ponto de venda para o posto comercial e para os servidores ou bancos de dados onde os dados do titular do cartão são armazenados.

Historicamente, a segurança em vigor no ponto de venda tem sido focada na proteção dos PINs. O mesmo nível de rigor e segurança no passado não foi aplicado aos dados do titular do cartão (CHD) ou dados do número da conta primária (PAN).

Com o P2PE, o PCI Security Standards Council fez muito para tornar a proteção de dados do titular do cartão uma prioridade, além de pavimentar o caminho para novos métodos de aceitação de pagamentos por meio de tablets, telefones celulares e outros dispositivos. A criptografia ponto a ponto é uma maneira de os comerciantes cumprirem as diretrizes PCI e reduzirem o escopo de sua carga PCI.

P2PE e tokenização andam juntos como chocolate quente e marshmallows

A criptografia ponto a ponto não lida com criptografia de dados em repouso. É aqui que a tokenização entra em jogo.

A tokenização pega números de cartão que são armazenados em vários bancos de dados e substitui o número de cartão transparente por um valor criptografado – um token. PCI permite dois métodos diferentes de tokenização: software e hardware com um HSM. Se a tokenização for feita em software, deve ser um token irreversível. Isso é feito pegando um valor hash do número do cartão, que está se identificando exclusivamente para um cartão específico, mas não pode ser revertido para recuperar o número do cartão. Nesse caso, o comerciante deve manter um único banco de dados, mapeando os números do cartão para seus tokens. Por exemplo, ao fazer um estorno, eles podem fazer referência a ele. O banco de dados onde o token mapeia para o número do cartão precisa ser mantido seguro e dentro do escopo das auditorias PCI.

O outro método para tokenização sob PCI é usar hardware, também chamado de “criptografia forte”. Isso envolve criptografia, recuperação do token e descriptografia para obter o número claro do cartão — esse processo também é chamado de abstração de dados. A maneira como funciona é usando criptografia de preservação de formato (FPE) ou tokenização de preservação de formato. Isso permite que os dados sejam colocados em sistemas diferentes sem ter que fazer alterações no esquema do banco de dados. É tão ofuscado que você poderia mostrar esse token em um outdoor na Times Square!

A tokenização descopota os dados do PCI, reduzindo também o escopo de conformidade do PCI. Para fins de requisitos PCI, digamos que o servidor que lida com o programa de fidelidade de um varejista tenha números de cartão claros. Para uma auditoria PCI, o varejista precisaria verificar se está cumprindo todas as diferentes diretrizes de proteção de dados neste servidor, além de todos os outros 20 servidores. No entanto, se um varejista puder mostrar que está usando tokenização para provar que não tem dados claros do titular do cartão, a auditoria poderá ser evitada.

Hoje, habilitar e gerenciar transações seguras e proteger os dados do titular do cartão exigem que os varejistas implementem algumas etapas extras de segurança — criptografia e tokenização ponto a ponto. Essas tecnologias podem ajudar os varejistas a avançar tanto em hackers quanto em auditores e farão maravilhas para tranquilizar os clientes. Fale sobre marcar a lista de desejos!

FONTE: HELPNET SECURITY

Previous post As ameaças da arquitetura de aplicativos moderna estão mais próximas do que parecem
Next post Como proteger redes air-gapped de estruturas maliciosas

Deixe um comentário