Garantir la sécurité des terminaux de paiement, des transactions et des applications - Deuxième partie
Deux experts en sécurité de PAX examinent la complexité croissante de la sécurité transactionnelle et pourquoi, avec l'essor des solutions SmartPOS Android, la technologie, les personnes et les processus sont plus importants que jamais.
Deuxième partie d'une série de blogs sur la sécurité
Dans la première partie de ce blog sur la sécurité, nous avons expliqué la grande importance que PAX Technology accorde à la sécurité et la manière dont elle s'applique à l'ensemble de l'organisation, à nos produits, à nos processus et à notre personnel. Nous avons examiné comment nos appareils sont sécurisés d'un point de vue matériel et logiciel, les nombreuses certifications que nous avons obtenues et comment nos services à valeur ajoutée (VAS) tels que l'injection de clé à distance (RKI) sont sécurisés.
Dans cette deuxième partie, nous examinons la sécurité des applications et des places de marché, la gestion des vulnérabilités et la protection de la vie privée.
Sécurité des applications et des places de marché
Nos SmartPOS fonctionnant sous Android exécutent plusieurs applications simultanément. Celles-ci sont gérées par MAXSTORE qui est notre place de marché App Store sécurisée et notre plateforme de gestion des appareils. (Pour comprendre la valeur de MAXSTORE et le nouveau monde des applications Android SmartPOS pour les commerçants, lisez le deuxième blog de notre série).
Aucune donnée de paiement sensible n'est jamais partagée d'une application de paiement d'un terminal PAX vers une autre application. Cela n'est tout simplement pas possible car les données ne sont envoyées qu'en utilisant des protocoles de messages définis. L'architecture et les contrôles de sécurité mis en œuvre dans MAXSTORE garantissent que tout accès non autorisé est empêché. La "triple signature numérique" des applications par le développeur d'applications, le propriétaire de la place de marché et PAX est requise avant que tout logiciel puisse être déployé sur les appareils. L'injection de clés sécurisées au moment de la fabrication garantit en outre que l'accès est limité aux utilisateurs légitimes.
Chaque application logicielle est soumise à des examens de sécurité complets afin de garantir qu'aucun logiciel malveillant ou virus ne se retrouve sur les appareils PAX. Tous les logiciels développés par PAX Technology sont examinés par deux équipes distinctes, puis vérifiés à l'aide de notre service AppScan afin de détecter les failles de sécurité.
MAXSTORE a été déployé sur l'infrastructure en nuage d'Amazon Web Services (AWS), apportant de multiples niveaux de protection de sécurité, y compris le contrôle d'accès et d'infrastructure. Cela signifie que différentes adresses IP seront utilisées car le front-end du cloud AWS utilise des adresses IP dynamiques (plutôt que statiques) - et une gamme d'adresses variées. Des instances indépendantes sécurisées de MAXSTORE peuvent être créées et les utilisateurs sous licence ont un contrôle total sur les applications qui peuvent être déployées.
La géolocalisation est une fonction de sécurité clé (facultative) offerte par PAX. Elle permet de suivre l'emplacement physique de chaque appareil à une position très précise et fournit une notification en temps réel et un blocage automatique si l'appareil apparaît en dehors du périmètre de sécurité convenu. Les services de géolocalisation offerts par PAX sont gérés par deux fournisseurs de services très respectés, l'un situé en Amérique du Nord et l'autre en Chine - les clients peuvent choisir celui qu'ils préfèrent.
La prise en charge de plusieurs applications (paiement et non-paiement) sur un seul appareil et les nouvelles fonctionnalités disponibles dans le système d'exploitation Android signifient que la compréhension de la sécurité doit être accrue pour identifier l'utilisation légitime. Les différences dans le fonctionnement des produits SmartPOS ne signifient pas qu'il faille s'inquiéter de la sécurité. Par exemple, Android capture beaucoup plus d'éléments de données que les anciens systèmes d'exploitation de terminaux ne l'ont jamais fait, et les partage avec PAXSTORE. Par conséquent, la taille des paquets de données variera en fonction de multiples critères, notamment le type de modèle, la version de l'application, le protocole du processeur, l'activité du terminal, les performances du réseau sans fil et à des fins de gestion légitime du terminal et de maintenance préventive.
Un examen indépendant détaillé de la sécurité effectué fin 2021 par l'unité 42 respectée de Palo Alto Networks Inc. a confirmé qu'aucun trafic et événement malveillant n'a jamais été identifié dans l'activité de trafic réseau qu'ils ont examinée dans les solutions PAX.
Gestion des vulnérabilités
PAX Technology applique une procédure complète de gestion des vulnérabilités qui suit les normes internationales ISO/IEC 30111 et ISO/IEC 29147. Des processus et des flux de travail ont été mis en place pour les quatre phases suivantes : identification, vérification, réparation et divulgation des vulnérabilités.
Cela inclut la surveillance des sites Web d'actualités et de sécurité, des bases de données de vulnérabilités publiques connues et l'engagement auprès des communautés professionnelles de la sécurité des données. Nous surveillons également activement les informations et les préoccupations relatives aux bibliothèques open source et tierces que nous utilisons.
La vérification des vulnérabilités comprend l'examen des rapports reçus des partenaires et des clients, soulevés via le programme PAX de divulgation des vulnérabilités, ou découverts pendant la phase de développement du produit. Les évaluations de l'impact des vulnérabilités et les réparations sont effectuées rapidement pour tous les produits qui ne sont pas en fin de vie (EOL). Les divulgations sont publiées dans des bulletins et sur le portail de support client afin de fournir des informations sur les actions recommandées et les mises à jour logicielles appropriées.
En outre, des ressources spécialisées internes et externes sont continuellement chargées de réaliser des tests de pénétration sur les produits et services, dans le but d'identifier et d'éliminer les vulnérabilités avant qu'elles ne deviennent un problème de sécurité. Nous utilisons des méthodologies et des technologies de test de pointe, car nous savons que les cybercriminels sont toujours à l'affût des vulnérabilités. PAX Technology tire constamment des enseignements des résultats des tests de pénétration et de vulnérabilité, en mettant à jour ses processus et ses conceptions en conséquence, afin de garantir que les produits PAX offrent les niveaux les plus élevés possibles de protection de la sécurité.
Protection de la vie privée
Chez PAX, nous attachons une grande importance à la protection de la vie privée, en suivant un cadre de gestion de la vie privée qui englobe des questions telles que la protection de la vie privée dès la conception, la protection de 3rd parties, les demandes des personnes concernées, les évaluations d'impact et les procédures de réponse aux incidents. Nous nous assurons toujours que nos produits sont conformes aux exigences réglementaires, notamment le GDPR de l'Union européenne, le LGPD du Brésil et le PDPA de Singapour.
Notre travail de protection de la vie privée couvre les produits logiciels, les terminaux, PAXSTORE et les services VAS qui fournissent des informations commerciales aux clients après analyse des données.
La perspective de PAX
PAX Technology attache une grande importance à tous les aspects de la sécurité et l'applique à tous les produits matériels et logiciels, aux services à valeur ajoutée, aux processus internes et à la gestion du personnel. Conscients de nos responsabilités, nous intégrons la sécurité dans nos produits dès le départ et considérons le thème de la sécurité de manière globale. Nous effectuons des audits de sécurité annuels dans le cadre de nos processus et cherchons à améliorer constamment les niveaux de protection de la sécurité.
Notre réseau mondial de clients a également des obligations en matière de sécurité et la responsabilité ultime de la norme PCI DSS. Ils doivent vérifier et signer numériquement les applications, en s'assurant qu'ils disposent de l'expertise nécessaire en matière de sécurité pour le déploiement des solutions SmartPOS Android de nouvelle génération.
Nous offrons un large choix d'applications sécurisées et, grâce à la signature numérique, nous garantissons que seules les applications vérifiées peuvent être installées sur les appareils. Notre récente certification PCI DSS confirme la sécurité de nos déploiements MAXSTORE dans le monde entier.
La gestion des vulnérabilités, les tests de pénétration et la gestion de la confidentialité sont d'autres éléments couverts dans le cadre de nos procédures de sécurité globales. Nous continuons à investir davantage d'argent et de ressources dans ces domaines.
La marque PAX est synonyme de haute qualité et de haute sécurité. À ce jour, aucun problème de sécurité des transactions de paiement n'a été identifié par les clients du monde entier qui utilisent les produits PAX ; de même, aucune donnée de paiement n'a jamais été compromise, aucune des certifications de PAX Technology n'a jamais été retirée, et aucun trafic ou événement malveillant n'a jamais été identifié dans l'activité du trafic réseau.
Nos responsables régionaux de la sécurité des produits se feront un plaisir de répondre à toutes vos questions.