销售点的安全性

当盗贼在其中一家公司的一家商店中的收银机偷走了收银机时,Daniel Marcotte很惊讶。不是他们做到了 - 这款盗窃可能在假期期间每周发生一次。但是在录像带上观看录像带,“在La Senza的系统和数据安全总监Marcotte说,当他们离开”商店时,我无法告诉他们在La Senza的系统和数据安全总监Marcotte。

几个小时后,盗贼回来了。他们篡改了钉子垫以让它们获取客户卡数据。他们也很快让他们回到了销售点系统。但这是La Senza的安全预防措施:它的引脚垫有效地有自己的媒体访问控制地址,一旦它们断开连接,就不再可用了该地址。所以盗贼被挫败了 - 这次。

销售点一直是盗贼的目标。虽然他们曾经去过现金抽屉后,零售商常常发现自己面临着对刑事折扣的罪名的复杂网络 - 信用卡数据的罪行,全部货架到洗衣,或者在沙草等药品的情况下,用于制备甲基苯丙胺的药物。然后,零售商在持续的威胁中运作,他们的销售点被网络塞子攻击(戴夫和巴斯特的无线黑客是另一个最近的高调榜样)或被真实的欺骗。

在他们之间,这些各种盗贼针对现代销售点系统的所有主要方面:

- 收银机

- 条形码扫描仪

- 无线访问

- 商店内的语音或IP网络

- 商店库存管理系统

一旦大祸害是“直到喋喋不休者” - 抓住钱和跑的人 - 对于大多数零售商来说,这是不再是一个重大的头痛,前者是前者的基思奥比尔斯说损失预防沃尔玛和家庭仓库的执行官,现在是一名损失预防顾问。相反,他们必须抗争解盗贼的复杂环,他们认为通过欺骗销售点系统,特别是自助结账系统来系统窃取物品更有利可图,特别是自我结账系统“非常容易绕过”,Aubele说。

“你有一个有4到六个寄存器的主管,你可以轻松分散那个人,你拍摄商品并扫描一些并击中停用者并走出去,”他说。

一个更大的问题仍然是令人振奋的,或甜心,其中尖头的Cahoots弯曲的收银员根本没有扫描所呈现的所有物品。据2007年国家零售安全调查报道,零售盗窃近350亿美元,奥布尔估计,其中80亿美元至10亿美元来自次响。

他说:“在任何系统下,低振铃都难以察觉。”

讽刺的小笔记:第一个机械收银机(1883年获得专利)绰号“

捕获壁板的主要现代方法是视频分析在销售点应用。类似的公司IBM.,里程碑和AUBELE客户端,WREN解决方案,所有提供视频分析,旨在帮助存储管理人员在发生漏洞时看到。

但是,这种分析有点“天空”,注意事项史蒂夫亨特在埃文斯顿狩猎商业智能。所有的碎片都很好,他说 - “相机工作正常,录音系统工作正常,它通过标记每笔交易来完美地与销售点系统集成,但分析不够好。它是分析1.0。“Aubele承认,视频分析是“正在进行的工作”,但“这是在两年前的地方的光明年份”,在两年里,今天将在今天轻微的光年。

与此同时,也有一些新的方法在传统的打砸抢技术的基础上进行尝试,比如带着一架皮夹克逃跑。实时定位系统制造商Time Domain则是将射频识别(RFID)标签放入高价值项目中并通过超宽带(UWB)无线技术跟踪它们。时域的技术创造了电子文章监视,将在商店前面的相机中连接到相机,并且将像整个皮革大衣突然移动的整个皮革衣架一样悬挂,并在物品上泛骨 - 只要商店使用平移- 倾斜视频摄像头。这项技术现在在飞行员中。

捕获客户数据的翻盖

缺少商品是零售商的可见,可数的问题。被盗的客户数据是MURKIER。复杂问题是一个根本问题:销售点技术尚未设计用于安全或其他方式捕获客户数据。大多数零售技术是开发的,以帮助公司追踪产品信息 - 销售的是什么,何时何种。但零售商现在使用这些技术来捕获客户数据。

这意味着“在捕获数据的地方,你有一个大鼠的不同技术巢,以一种没有支付任何没有占据它捕获的数据的敏感性的方式,”Brian Kilcourse.,管理RSR研究的合作伙伴。

更糟糕的是,过去十年的零售商从IBM的令牌戒指等专有网络技术转移到互联网协议,这提供了极大的灵活性,但具有固有的安全问题。零售商也倾向于不加密数据,并且对采用侵略性无线技术,比有线更难保护

这可能是一个小疑问,最大的已知数据盗窃在零售商处发生在零售商处,TJ Maxx.或者在Hannaford,Lowe,Stop&Shop和其他零售商中发生了或高调数据攻击。

在过去的几年里,一系列流程和技术的改进已经改善了销售点的网络安全。其中一些改进要归功于美国运通、万事达和Visa等发卡机构的努力,他们制定了支付卡行业数据安全标准(简称PCI)。

他们之中:

——补偿控制,以管理进出各种销售点技术的数据流。PCI包括针对不同类型零售商的此类控制条款;用于在销售点系统的不同部分之间传输数据的加密协议,如条形码扫描器和信用卡扫码器——VeriFone的VeriShield是一个流行的例子;

- 更好的数据存储实践,如更改软件命令,以避免存储某些类型的数据;

——对于存储的数据,采用加密系统;

- 无线信用卡读卡器,如exadigm xd2000,包括内置安全性,并通过确保信用卡从未离开其所有者的手来减少潜在的信用卡欺诈。

服务员,汤中有一个黑客

但将新技术推广到数以百万计的销售点是一个巨大的挑战,这些销售点从大型零售商到健身俱乐部、餐厅到街角加油站。每种零售商都有自己的问题。

Avivah Litan加特纳(Gartner)的一位分析师指出,加油站在2010年之前都可以享受PCI豁免,部分原因是信用卡读卡器往往与油泵集成在一起,因此升级读卡器意味着升级油泵,这是一个非常昂贵的提议。与此同时,加油站的油泵连接到服务器,服务器可能连接到区域服务器,然后连接到总部的服务器,每一个都是潜在的弱点。

许多零售商植入无线技术,可以创造更灵活的地板布局,适用于餐厅,可以吸引客户。但是白帽黑客简单的游牧民称他由一位管理贝尼格的朋友询问,以查看餐馆中的无线枢纽是否允许他进入销售点终端。他能够这样做。在另一家有无线枢纽的餐厅,他发现他可以在销售点改变订单。

在IBM Internet Security Systems的营销副总裁Peter Evans表示,即使在零售商认为它正在采取所有正确的步骤后,无线网络也会变得不安全。埃文斯表示,无线接入点通常将默认设置为默认设置为不安全的设置。因此,在停电或重置后,安全设置将默认为OFF,并且零售商可能不知道他们的信息容易受到黑客的影响。

埃文斯表示,在没有任何人注意到的情况下,在信用卡上滚动读卡器上放置数据撇渣器也很简单。事实上,他最近说,“我是其中之一的受害者。”

在他的情况下,他说他很幸运,他的信用卡提供商的算法能够在使用他的信用卡数据时检测欺诈性使用情况并且小偷被抓了。

同时,PCI安全标准委员会认证了软件与销售点系统使用。但是,Neohapsis的六个合格事件响应评估师(QIRA)之一是PCI持卡人信息安全计划(CISP)的安全顾问表示,问题仍然存在。在今年的过程中,他遇到了公司拥有安全服务器的情况,但基于Windows的销售点终端直接在互联网上坐在互联网上是有效的攻击。

他还看到一些公司未加密存储Track 2数据。Track 2数据可以用来重新创建信用卡,在一个案例中,他看到一家美国零售商的Track 2数据被窃取,并被用来创建欺诈信用卡,这些信用卡几天后在东京被使用。

他说,一些公司升级到pci兼容版本的软件时,没有去掉旧软件,或者使用数据库中旧的、未加密的数据,就会造成一些问题。Wabiszczewicz说:“从那一刻起,他们做的事情都是正确的,但是数据库的剩余数据,或者没有加密信用卡号码或存储Track 2数据的上一个版本呢?”

Wabiszczewicz建议使用任何此类升级应包括整个系统的完整重新安装。

Wabiszczewicz说,尽管有这些无数的问题,保护今天的销售点系统还是相对简单的。他说:“如果你制定了正确的政策,培训员工,限制他们在POS系统前端的工作能力,运行符合pci标准的销售点软件,你就会处于非常好的状态。”

销售点a级升级

对于正在安装全新销售点系统的公司来说,他们从一开始就有更好的机会获得安全。

这就是俄亥俄州北里奇维尔的“Original Pizza Pan”。这家拥有25年历史的公司在过去几年经历了特许经营的繁荣,现在有大约100家分店。它从未在其门店中使用过正式的销售点系统,并在2007年决定是时候安装一个了。该公司的开发总监爱德华•里兹克(Edward Rizk)表示,安全系统是其优先事项之一,尽管它在优先事项列表上仅排在第四位,落后于方便订购、更好的客户服务和建立客户数据库等事项。

里兹克说,他选择了一家专门为披萨店开发系统的供应商DiamondTouch。但这是一个很大的优势,它提供管理安全服务,并让他们可以选择将监控摄像头与销售点系统集成。每次收银机抽屉打开时,这种系统都会给视频打上时间戳,让店主监控钱是否放在了它应该放在的地方。

系统根本不使用无线;DiamondTouch鼓励特许经营商按月进行密码,并确保他们加密其数据。Rizk说,特许经营商不会向中央办公室发送关于运营或客户的数据。

即便如此,系统也不是Ironclad。原始披萨平底锅希望其商店所有者将他们的数据作为备份作为备份。Rizk说:“我建议我的特许经营权,他们将他们的数据库下载到没有互联网访问的计算机。”但是他们真的听他,他不知道。“这是他们的事,”他说。

Rizk处于能够从头开始的令人羡慕的位置。RSR的Kilcourse说,大多数已成立的零售商都没有这种奢侈品。更糟糕的是,一个大型零售商可能拥有终极分布式计算环境,这使得它们升级了巨大的头痛。

Kilcourse说:“如果你有3000家门店,每家门店都有10到12个销售点系统,那么管理问题就占了很大比例。”“你如何安全地升级这么多系统?”如果你打算这么做,你怎么负担得起成本?”

他说,从财务上讲,大型零售商几乎不可能对销售点系统进行重大更换。事实上,他曾听一位零售首席信息官说,他的销售点系统已经“老到可以喝酒了”。

经济衰退意味着零售商可能会更长时间地挂上技术。没有罚款的威胁符合PCI.正在刺激企业升级。但对于零售商来说,要让各种技术升级的成本合理化是很难的。

12 4.
第1页,共2页
SD-WAN买家指南:向供应商(和您自己)提出的关键问题