Garantir la sécurité des terminaux de paiement, des transactions et des applications - Première partie
Deux experts en sécurité de PAX examinent la complexité croissante de la sécurité transactionnelle et pourquoi, avec l'essor des solutions SmartPOS Android, la technologie, les personnes et les processus sont plus importants que jamais.
Première partie d'une série de blogs sur la sécurité (en deux parties)
Les criminels reconnaissent l'opportunité de compromettre les systèmes de paiement afin de commettre des fraudes. À l'échelle mondiale, les pertes liées à la fraude aux paiements (tous types confondus) ont plus que triplé depuis 2012 pour atteindre 34 milliards de dollars et devraient dépasser 40 milliards de dollars d'ici 2027. Ces pertes ont un impact sur les institutions financières, les commerçants, les consommateurs et la société en général, les bandes criminelles utilisant souvent les fonds à des fins de trafic de drogue, de blanchiment d'argent, de financement du terrorisme et pour exploiter des personnes vulnérables. C'est pourquoi la sécurité doit être la priorité numéro un de tous les acteurs du secteur des paiements.
PAX Technology l'a compris et place la sécurité au centre de tout ce qu'elle fait. Nous concevons des produits hautement sécurisés pour protéger nos clients et leurs utilisateurs finaux, en veillant à ce que les données sensibles des clients soient inattaquables. Nous avons obtenu la certification ISO/IEC 27001 qui fait autorité et la plus largement adoptée de toutes les approbations internationales de gestion de la sécurité. Nous disposons d'une structure de gestion de la sécurité à plusieurs niveaux au sein de notre organisation, supervisée par un comité de gestion de la sécurité de l'information qui rend compte directement au conseil d'administration. La responsabilité quotidienne a été confiée à un groupe de sécurité de l'information composé de représentants de tous les départements. Ce groupe a reçu pour mission de s'occuper des questions de sécurité à toutes les étapes du cycle de vie des produits, des processus internes et des aspects humains. Dans chacune des régions PAX Technology opère, une personne a été désignée pour jouer le rôle de responsable de la sécurité des produits, de responsable de la conformité de la sécurité ou un rôle similaire.
La sécurité repose sur la technologie, les processus et les personnes.
La sécurité des technologies de paiement va bien au-delà de la conception du matériel ; les logiciels ont de plus en plus d'importance par rapport aux caractéristiques du matériel. La fourniture d'une technologie hautement sécurisée repose sur des processus efficaces et des personnes qualifiées. On peut faire l'analogie avec un tabouret à trois pieds dont la stabilité disparaît si l'un des trois pieds est compromis. Les criminels cherchent toujours à exploiter le maillon le plus faible et adaptent continuellement le profil de leurs attaques pour commettre des fraudes. Nous nous engageons à investir davantage pour garantir que nos produits et services offrent les plus hauts niveaux de sécurité.
Les cinq piliers de sécurité de PAX Technology
Chez PAX, nous concevons la sécurité en fonction de cinq piliers distincts et nous allons aborder chacun d'entre eux dans cette série de blogs en deux parties. Nos responsabilités en matière de sécurité ont augmenté à mesure que la gamme de produits s'est étendue à de nouvelles catégories de solutions.
- Sécurité des dispositifs (matériels et logiciels) - Dispositifs de paiement, marchands et IoT
- Sécurité des services à valeur ajoutée
- Système de gestion des dispositifs et sécurité des places de marché
- Gestion des vulnérabilités
- Protection de la vie privée
Dans la deuxième partie de ce blog sur la sécurité, nous examinerons la sécurité des applications et des places de marché, la gestion des vulnérabilités et la protection de la vie privée.
Sécurité des dispositifs
Les terminaux de paiement doivent se conformer à de multiples normes industrielles rigoureuses définies par les réseaux de paiement internationaux, qui travaillent ensemble sous l’égide du Conseil des normes de sécurité (PCI SSC) de l'industrie des cartes de paiement (PCI), d'EMVCo (détenu par 6 marques de cartes internationales), ainsi qu'aux exigences et/ou normes des pays ou régions et des acquéreurs. Ces évaluations de la sécurité englobent l'ensemble de l'écosystème des paiements (produits et services), car tous les aspects sont intrinsèquement liés.
Les exigences de sécurité des points d'interaction (POI) de la norme PCI PIN Transaction Security (PCI PTS) sont les exigences mondiales les plus importantes pour nous. Cette liste complète d'exigences de sécurité garantit la protection des code PIN des consommateurs et leur traitement sécurisé à toutes les étapes du traitement des transactions. Elle couvre la conception du matériel, le cryptage, la gestion des clés et le développement des logiciels. À ce jour, nous avons obtenu 86 certifications pour nos modèles de dispositifs, dont 17 pour la dernière version, PCI PTS 6.x. Cela positionne PAX comme un leader en matière de sécurité et démontre notre engagement à être un « early adopter » des normes PCI PTS les plus récentes afin de fournir à nos clients la confiance nécessaire pour maximiser la protection de la sécurité. Nos produits comprennent des modules de sécurité inviolables et utilisent des processeurs de sécurité dédiés. Les tierces parties évaluateurs de sécurité qualifiés (QSA) approuvés par PCI, effectuent des évaluations détaillées pour confirmer la conformité aux spécifications PCI. Tous les nouveaux dispositifs de paiement lancés par PAX seront, bien entendu, certifiés pour PCI PTS.
En outre, PAX a certifié 14 produits par rapport à une norme de sécurité internationale supplémentaire créée par le Common Security Evaluation and Certification Consortium (Common.SECC) qui est exigée au Royaume-Uni, en Allemagne et dans un nombre croissant de pays, dont le plus populaire est le best-seller A920Pro (la popularité croissante des terminaux de paiement Android a été abordée dans notre première série de blogs). L'évaluation approfondie de la sécurité informatique est effectuée par des laboratoires de sécurité accrédités par le gouvernement, selon la méthodologie normalisée ISO des Critères Communs (CC), qui offre une garantie de sécurité quelle que soit l'application exécutée sur l'appareil.
Nos terminaux de paiement sont également certifiés selon les normes EMVCo Niveau 1 et 2 pour l'acceptation sécurisée des cartes à puce avec et sans contact. Ces certifications sont attendues par tous les clients de PAX, et nous avons l'habitude de les passer rapidement pour éviter tout retard dans le lancement de nouveaux produits. La mise en œuvre mondiale de la technologie de la carte à puce et du code PIN ainsi que des normes EMV a considérablement réduit le niveau de fraude commis en paiement de proximité, ce qui a poussé les criminels à chercher des cibles plus faciles et à porter leur attention sur le commerce électronique.
Lorsque de nouvelles certifications sont introduites par des marques internationales, telles que la certification Enhanced Contactless (Ecos) de Mastercard, PAX s'assure que la dernière génération de ses dispositifs de paiement est certifiée, comme le PINpad Android Smart A35. Nous reconnaissons la nécessité des certifications de sécurité et nous sommes fiers de l'expertise approfondie en matière de sécurité que nous avons acquise au sein du groupe PAX et de la communauté la plus large de partenaires de distribution et d'intégrateurs de systèmes de paiement, ainsi que de la conception sécurisée de nos produits et de l'efficacité avec laquelle nous procédons aux évaluations.
Depuis de nombreuses années, nous veillons également à ce que nos appareils soient validés par rapport à la norme Mastercard Terminal Quality Management (TQM), qui porte sur la sécurité et les performances globales du matériel des terminaux de paiement.
Les produits PAX font également l'objet d'accréditations et de certifications exhaustives auprès d'acquéreurs et/ou de processeurs du monde entier, afin de garantir que les transactions de paiement sont toujours traitées en toute sécurité. Les principales institutions financières (IF) ont effectué des évaluations de risques détaillées sur nos produits et services, et ces examens approfondis confirment les niveaux élevés de sécurité fournis par les solutions PAX.
En fin de compte, nos clients sont responsables de leur conformité à la norme de sécurité des données PCI (PCI DSS), mais nous les aidons en leur fournissant des produits matériels et logiciels qui intègrent des fonctions de haute sécurité et qui peuvent être utilisés de manière sécurisée. Un exemple est notre composant SRED (Secure Reading and Exchange of Data), certifié PCI, qui garantit que les données du porteur de la carte (non PIN) sont acceptées en toute sécurité au point d'acceptation et protégées par l'utilisation d'un cryptage de haut niveau. Un nombre croissant de nos clients adoptent le P2PE pour s'assurer que les données des titulaires de cartes sont cryptées, et pour eux le module SRED de PAX Technology agit comme une couche de base pour créer une infrastructure P2PE sécurisée.
Les derniers modèles de PINpad PAX ont été conçus pour supporter une encoche de sécurité Kensington et la possibilité de monter les terminal sur des supports sécurisés. Cela permet d'offrir à nos clients des options supplémentaires en matière de sécurité d'accès physique.
Commerçants et dispositifs IoT
Avec l'extension de la gamme de produits PAX aux appareils intelligents (EPOS) pour commerçants qui intègrent les opérations d’encaissement et des paiements dans une solution tout-en-un, nous avons maintenant de nouvelles obligations de sécurité qui se concentrent sur la sécurité des données des commerçants. Nous devons sécuriser le traitement des ventes, les commandes, la gestion des stocks, les données des programmes de fidélité, l'impression et les communications sécurisées. Ces aspects sont traités séparément du traitement des transactions de paiement, mais nous les traitons avec le même sérieux. Nous veillons également à ce que des niveaux élevés de protection de sécurité soient inclus dans nos produits de nouvelle génération Automate, PayPhone et PayTablet.
Notre entrée dans l'Internet des objets (IoT) et dans le monde du commerce connecté exigera également une forte sécurité. C'est pourquoi nous intégrons dès le départ des fonctions de sécurité de haut niveau dans ces produits, notamment des cadres de gestion sécurisés pour le cloud et l'IoT. Cela comprendra, entre autres aspects, l'authentification des appareils, l'intégration sécurisée et la communication entre les appareils.
La sécurité des logiciels est essentielle
Les considérations de sécurité sont abordées dans chacune des sept étapes de notre processus de cycle de vie de développement de logiciels sécurisés (S-SDLC) et les meilleures pratiques internationales sont toujours suivies lors des phases de conception initiale, d'analyse des besoins, de développement de logiciels, de tests, de diffusion et de maintenance. Celles-ci sont examinées par des évaluateurs de sécurité qualifiés (QSA) externes dans le cadre du processus de certification PCI. Les procédures de publication des logiciels exigent des examens séparés du code de sécurité par les équipes d'assurance qualité (QA) et de développement. Les deux équipes doivent signer numériquement les applications avant qu'un logiciel puisse être publié et déployé. L'accès à la documentation sensible sur la conception et la sécurité est strictement contrôlé et réservé à des personnes sélectionnées de manière appropriée. Les équipes de développement de logiciels sont physiquement séparées et les nouvelles recrues sont contrôlées.
Nos terminaux SmartPOS de nouvelle génération utilisent une version spéciale verrouillée du système d'exploitation Android que nous appelons PayDroid. Cela limite l'accès à des fonctions telles que les lecteurs de cartes, les claviers, les caméras et les microphones qui pourraient créer des failles de sécurité. Il empêche également le partage des données sensibles relatives aux paiements et aux titulaires de cartes avec des applications non liées au paiement et exécutées sur le même appareil. De nouvelles versions du système d'exploitation PayDroid sont régulièrement publiées tout au long de l'année et les correctifs de sécurité sont appliqués au moins tous les trimestres, ou immédiatement si nécessaire.
Cryptage fort et gestion des clés
PAX supporte une gamme de cryptographies symétriques et asymétriques dans ses produits pour protéger les informations sensibles. Il s'agit notamment de Data Encryption Standard (DES), RSA, Advanced Encryption Standard (AES) et Elliptic Curve Cryptography (ECC). Nous utilisons également une série de processus de gestion des clés, notamment la clé principale/clé de session Triple DES (TDES)/AES et la clé unique dérivée par transaction (DUKPT) TDES/AES.
*Notez que TDES a été déprécié
Sécurité tout au long du cycle de vie
PAX est certifié selon le système de gestion de la qualité ISO9001, reconnu internationalement, qui comprend de nombreuses exigences en matière de sécurité. Notre approche de la sécurité s'applique tout au long du cycle de vie d'un produit PAX - depuis la conception initiale, le développement du logiciel, les processus de fabrication, l'expédition, le déploiement du logiciel, l'utilisation par les commerçants, jusqu'à la manipulation dans les centres de réparation agréés.
Garantir des services à valeur ajoutée
Nous proposons à nos clients une gamme de Services à Valeur Ajoutée, dont l'un des plus importants est un service sécurisé d'injection de clé. Ce service permet de charger une clé de sécurité unique dans chaque appareil au moment de la fabrication, ce qui garantit un contrôle total ultérieur sur qui peut charger des logiciels et quelles applications peuvent être exécutées. Nous exploitons le service d'injection de clé sécurisée paxRhino dans trois centres de chargement de clé à distance (RKI) situés respectivement en Italie (pour l'Europe, le Moyen-Orient et l'Afrique), aux États-Unis (pour l'Amérique du Nord et du Sud) et en Chine (pour l'Asie). Chacune de ces installations ultra-sécurisées a été inspectée et certifiée conforme aux normes PCI. Les principales capacités en matière de sécurité sont les suivantes : caractéristiques de sécurité de la conception des bâtiments, restriction de l'accès aux personnes par le biais de badges électroniques, systèmes CCTV équipés de détection de monition, utilisation de modules matériels de haute sécurité, restriction de la possibilité d'observation et prévention de la transmission ou de l'envoi d'informations restreintes. Nos centres RKI utilisent également des systèmes de prévention des intrusions, des pare-feu, et ont été isolés de manière sécurisée des réseaux d'entreprise. Le service RKI offre une alternative hautement sécurisée et plus rentable que l'injection de clés locales (LKI), mais cette dernière peut également être utilisée si le client le préfère. Le service RKI offre en outre des options permettant aux mainteneurs de monitorer l’usage des terminaux en parc. En outre, nous sommes un fournisseur de services d'autorité de certification (CA) certifié PCI et nous offrons à nos clients cette capacité en toute sécurité depuis plusieurs années.
Il est important de noter que PAX a obtenu la certification PCI DSS en février 2022 pour la plateforme PAXSTORE et les VAS que nous fournissons. Cela confirme que nous avons mis en place les contrôles de sécurité de l'information nécessaires pour garantir que les informations et les données sensibles sont traitées correctement pendant l'acceptation, le traitement, la transmission et le stockage et que les fuites de données sont évitées. Nous avons été certifiés par rapport aux 6 objectifs et 12 exigences de PCI DSS, avec plus de 300 points en cours d'examen. Notre conformité à la norme PCI DSS montre que nous avons mis en place les contrôles nécessaires pour gérer les données des titulaires de cartes, les processus de gestion de la sécurité de l'information, la conception de la sécurité du réseau, la protection des données, la surveillance de la sécurité et la gestion de la vulnérabilité.
La perspective de PAX
La première partie de ce blog sur la sécurité met en évidence l'importance que PAX accorde à la sécurité et la manière dont elle s'applique à nos produits, nos processus et notre personnel. Nous intégrons la sécurité dans nos produits dès le départ et la considérons de manière holistique. Nos dispositifs de paiement sont conformes aux normes de sécurité en vigueur et ont été certifiés par de nombreux organismes. Notre approche consiste à être proactif, à adopter rapidement la dernière version des spécifications et à répondre rapidement à tout problème de sécurité soulevé.
Notre mise en œuvre sécurisée du système d'exploitation Android limite l'accès aux données sensibles et sépare le traitement des paiements des applications non liées aux paiements. La sécurité est prise en compte tout au long du processus de développement du logiciel et le module SRED fournit un composant P2PE certifié pour les clients mettant en œuvre un cryptage de bout en bout. Nos VAS, comme le RKI, ont également été certifiés conformes aux spécifications PCI. Les principes de sécurité clés que nous suivons comprennent : le maintien d'environnements séparés, l'adoption des dernières spécifications de sécurité, l'application de fréquentes mises à jour du système d'exploitation et de la sécurité, la signature numérique de tous les logiciels avant leur déploiement et la sécurisation des données et des communications par l'utilisation d'une cryptographie forte et la gestion des clés.
Dans la deuxième partie de ce blog sur la sécurité, nous expliquerons comment PAX aborde la sécurité des applications et des places de marché, la gestion des vulnérabilités et la protection de la vie privée.
La marque PAX est synonyme de haute qualité et de haute sécurité. À ce jour, aucun problème de sécurité des transactions de paiement n'a été identifié par les clients du monde entier qui utilisent les produits PAX ; de même, aucune donnée de paiement n'a jamais été compromise, aucune des certifications de PAX Technology n'a jamais été retirée, et aucun trafic ou événement malveillant n'a jamais été identifié dans l'activité du trafic réseau.
Nos responsables régionaux de la sécurité des produits se feront un plaisir de répondre à toutes vos questions.