La seguridad en el punto de venta es una necesidad cuando se trata de que las empresas protejan a sus clientes. Los sistemas POS son esenciales en el mundo del comercio minorista. Sin embargo, los datos transmitidos y almacenados en los sistemas POS son confidenciales.
La gran cantidad de información financiera personal resulta muy atractiva para los ciberdelincuentes. Los delitos cibernéticos, las filtraciones de datos de puntos de venta y el fraude pueden afectar tanto a las empresas grandes como a las pequeñas.
Debido a esto, es responsabilidad del comerciante garantizar que su infraestructura de punto de venta sea segura. Los comerciantes pueden lograr seguridad en el punto de venta y confianza del consumidor cuando adoptan las políticas descritas en nuestra lista de verificación de implementación de POS.
¿Qué es un sistema de punto de venta (POS)?
Un sistema POS es la caja registradora digital actual. Facilita las transacciones en cualquier lugar donde se realice una venta. Esto puede ser en una tienda física, en el campo o en línea.
Los sistemas POS no sólo aceptan pagos, sino que también ofrecen funciones adicionales que crean funciones comerciales fluidas. Incluyendo informes, gestión de relaciones con los clientes, gestión de personal, gestión de inventario, programas de menú, nómina y más.
¿Qué constituye un sistema POS?
Un sistema POS físico contiene hardware y software. El hardware incluye una computadora o tableta con pantalla táctil, un escáner de código de barras, un lector de tarjetas, una impresora de recibos y un cajón de efectivo si el comerciante acepta efectivo.
El software incluye las capacidades básicas del sistema utilizadas para transacciones en puntos de venta. El software también puede incluir sistemas de gestión e informes de transacciones. Casi todos los sistemas POS actuales tienen capacidades de integración diseñadas para uso combinado con sistemas de software y hardware adicionales.
Tipos de sistemas POS
Dado que los modelos comerciales comerciales son diversos, existen múltiples sistemas POS diseñados para complementar cada tipo de negocio. A continuación se detallan los tipos más comunes de sistemas POS:
- Aplicaciones POS
- Punto de venta en línea
- POS móvil
- Terminal POS
- POS de tableta/pantalla táctil
- POS basado en la nube
- POS de código abierto
- TPV multicanal
- Kiosco de autoservicio
Un comerciante puede ser estacionario, itinerante, móvil o en línea. Es posible que necesiten un sistema POS que sea económico, portátil, personalizable o que se conecte a múltiples ubicaciones. Entonces, dependiendo del tipo de negocio, el presupuesto y las necesidades, cada sistema POS beneficiará a diferentes comerciantes de diferentes maneras.
¿Cómo se infringen los sistemas POS?
Una encuesta de 2020 concluyó que el 55% de las pequeñas empresas han sufrido ataques cibernéticos, lo que les ha costado alrededor de $59,000. Teniendo esto en cuenta las empresas, grandes o pequeñas, deben tomarse en serio la seguridad de los puntos de venta.
Ataques cibernéticos a sistemas POS en línea
La creciente industria del comercio electrónico presenta nuevas amenazas virtuales a los datos de los consumidores. Los ciberdelincuentes aprovechan las vulnerabilidades de los sistemas en línea para robar información confidencial. Estos delincuentes pueden instalar skimmers web en las terminales virtuales de los comerciantes. Un código malicioso que recopila datos de la tarjeta cada vez que un cliente realiza una compra con tarjeta de crédito.
Amenazas de malware a los sistemas POS
Además de los ciberataques a terminales virtuales, el malware es una de las mayores amenazas a las que los comerciantes pueden enfrentarse cuando la seguridad de los puntos de venta está comprometida. Malware es un término general que incluye todos los programas de software malicioso como spyware, ransomware y adware. Este software malicioso compromete fácilmente los sistemas POS cuando lo instala un atacante. Recuperar información de la tarjeta de crédito y enviar los datos a un servidor de comando y control para que el atacante obtenga acceso.
¿Qué consecuencias se derivan de una filtración de datos?
Una seguridad comprometida en el punto de venta puede tener consecuencias catastróficas. Un estudio reciente realizado por IBM y el Instituto Ponemon descubrió que las filtraciones de datos han afectado a casi todas las industrias.
Sin embargo, el sector más afectado es el de la salud, con unas pérdidas medias de 7.13 millones de dólares. La industria minorista le sigue de cerca en términos de daños.
Una vez que un delincuente tiene acceso a la información de la tarjeta de crédito, las finanzas y los datos confidenciales de sus clientes están en riesgo. Al igual que su negocio y las relaciones que ha construido.
Afortunadamente, las medidas de seguridad más estrictas en los puntos de venta han reducido los costos de violación de datos en unos pocos millones de dólares cada año.
Cómo proteger su sistema POS comercial
Es importante proteger su sistema POS de ataques tanto internos como externos. Aunque antes nos centramos en los ataques cibernéticos y de malware, tenga en cuenta que el robo interno puede representar la mayoría de todos los robos minoristas. Esto incluye a los empleados que se dirigen al sistema POS.
16 mejores prácticas para proteger sus sistemas POS
Independientemente del tamaño de su empresa, ya sea un minorista global o una pequeña empresa de comercio electrónico, debe asegurarse de haber hecho todo lo posible para mantener seguros su sistema, hardware, usuarios y red.
A continuación se presentan 16 pasos a considerar en su gestión de prevención de pérdidas. Estos consejos cubren una amplia gama de soluciones para que pueda mantener bajo control la seguridad del punto de venta.
1. Asegure físicamente sus dispositivos POS
El robo y el error humano pueden poner en riesgo sus dispositivos POS. Uno de los primeros pasos que debe seguir es proteger físicamente sus dispositivos POS.
Los dispositivos POS son fácilmente portátiles y pueden ser robados, olvidados o perdidos fácilmente.
Cuando estos dispositivos no están protegidos, cualquiera puede acceder al dispositivo y a su software instalado. El acceso a esta información significa que los registros de tarjetas y la información del cliente están en riesgo.
Para proteger físicamente sus dispositivos POS, considere:
Monte su sistema POS y sus teclados PIN en el mostrador de la tienda.
Guarde todo el hardware y dispositivos externos en un área segura al final de cada jornada laboral. Sólo unos pocos empleados selectos deberían tener acceso a esta ubicación.
Cuando sus terminales no estén en uso, guárdalos fuera de su alcance o debajo del mostrador. Pero recuerde mantenerlo conectado para acceder fácilmente cuando los clientes estén listos para pagar.
2. Invierta en una empresa de seguridad
Esto podría significar contratar a un especialista en seguridad o a un guardia de seguridad para monitorear las instalaciones. Además, pueden monitorear las cámaras de seguridad si usted también decide instalarlas.
Coloque las cámaras de seguridad hacia los dispositivos POS y la entrada al escaparate. Sin embargo, evite apuntar la cámara directamente al teclado PIN. Ya que esto, a la inversa, puede comprometer la seguridad de sus clientes. Sin embargo, la videovigilancia desviará la actividad delictiva.
3. Inspeccionar el hardware del punto de venta en busca de manipulación
Una vez que sus dispositivos estén físicamente seguros, aún deberá realizar una inspección física en el punto de venta para detectar cualquier manipulación de los dispositivos.
Puede comprobar si hay manipulación de varias maneras. En primer lugar, asegúrese de tener sellos de seguridad en los kioscos, como los de las terminales exteriores de las gasolineras. Si un sello parece roto, lo más probable es que la máquina haya sido manipulada.
A continuación, su inspección de POS debe incluir la búsqueda de skimmers. Los delincuentes instalan skimmers en un lector de tarjetas para robar información de la tarjeta de crédito a medida que se realiza una transacción.
Además, haga una lista de los números de serie de su terminal. Al inspeccionar los dispositivos, asegúrese de que todos los números de serie coincidan con los que tiene en su lista. Si los números no se alinean, es probable que los terminales hayan sido intercambiados por un lector de tarjetas diferente que no está vinculado a su cuenta comercial.
Tener la inspección registrada con una certificación de una inspección como está mantendrá a todas las partes responsables y mantendrá la seguridad del dueño de la tarjeta.
Qué hacer si nota manipulación del dispositivo
La evidencia de manipulación podría incluir:
- Un terminal perdido
- Un sello de seguridad roto
- Cables nuevos
- Un número de serie diferente
- Tornillo suelto
- Pantalla rota
- Un dispositivo desconocido adjunto
- El dispositivo está en una ubicación diferente a donde lo dejó por última vez.
Si nota algo que parece extraño en sus dispositivos, no utilice el equipo. Asegúrese de notificar a la gerencia de inmediato si falta una terminal o se ve diferente.
4. Supervisar la actividad del dispositivo POS
La siguiente forma de comprobar la seguridad de la información de sus clientes es gestionar los informes y la actividad en sus sistemas POS. Asegurarse de que todos los números de ventas y la actividad de las transacciones sean correctos es una de las formas más sencillas de garantizar que la información confidencial de sus clientes esté segura.
5. Mantenga actualizado su software POS
El software se actualiza constantemente. Cuando haya nuevas actualizaciones disponibles para su software de pagos, asegúrese de instalarlas de inmediato. Algunas funciones actualizadas pueden incluir mejoras de seguridad que pueden ayudar a mantener seguros los datos de la tarjeta del cliente.
Si su sistema tiene la opción de actualizarse automáticamente, le recomendamos configurarlo para hacerlo. Esto garantizará que nunca pierda la oportunidad de mantenerse lo más actualizado y seguro posible. Sin margen de error y con menos posibilidades de que un pirata informático intervenga en su sistema.
6. Utilice protección avanzada con contraseña
Lo primero que debes hacer al configurar tu equipo de punto de venta es cambiar las contraseñas predeterminadas. Los delincuentes pueden interceptar fácilmente las contraseñas predeterminadas. Querrá cambiar la contraseña de su dispositivo por un conjunto único y seguro de caracteres alfanuméricos, incluidos caracteres especiales y mayúsculas y minúsculas alternas.
A continuación, asegúrese de actualizar sus contraseñas con frecuencia. Además, si tiene la opción de utilizar la autenticación de dos factores, esto agrega un nivel adicional de seguridad a su negocio.
Por último, cuando un empleado ya no esté en la empresa, asegúrese de quitarle el acceso y eliminar sus credenciales de usuario del sistema.
7. Eduque a sus empleados sobre los esquemas de actividades criminales
Es importante asegurarse de que su personal esté bien capacitado sobre cómo evitar ser víctima de intentos de phishing. Informar al personal que nunca deben proporcionar sus credenciales a nadie por correo electrónico o por teléfono. Sin embargo, nunca deben entregarlos a nadie que no esté autorizado o no sea un supervisor directo o del departamento de IT de su empresa.
8. Implementar listas blancas de aplicaciones
La siguiente forma de reducir los intentos de phishing y los riesgos de seguridad injustificados en los puntos de venta sería permitir que solo funcionen aplicaciones relacionadas con el negocio en su sistema POS. Esto significa que se bloquearán todas las demás plataformas basadas en web, incluidos el correo electrónico y los navegadores web.
9. Utilice lectores de tarjetas EMV y sin contacto
A partir de la primavera de 2019, el 75% de los comerciantes de Estados Unidos aceptan pagos EMV. Si todavía utiliza lectores de entrada manual o de banda magnética, es hora de realizar una actualización. EMV y la tecnología sin contacto ofrecen a los dueños de tarjetas un mayor nivel de seguridad con transferencias de datos cifradas.
10. Proteger los PIN de los dueños de tarjetas
Una de las formas más obvias de garantizar que sus clientes se sientan seguros en su lugar de trabajo es asegurarse de que su experiencia de pago sea segura. Algunas formas de hacer esto incluyen:
- Dar a los dueños de tarjetas espacio para introducir su PIN en el terminal sin que otros clientes y empleados puedan verlo.
- No direccione las cámaras de seguridad hacia el teclado PIN de su terminal. Registrar a un cliente ingresando su PIN afecta gravemente la seguridad interpretada de su punto de venta.
- Permita que los clientes mantengan presionado el teclado PIN mientras ingresan su PIN. Nunca permita que un empleado ingrese un PIN para el cliente.
11. Instalar software antivirus
Debido a que los sistemas POS son un tipo de computadora, son vulnerables a las mismas amenazas que las PC y las Mac. La instalación de medidas de seguridad en el punto de venta, como firewalls, cifrado de extremo a extremo y software antimalware, protege su sistema de ataques.
El software antivirus escanea las computadoras y puede detectar cualquier software o archivo malicioso en su sistema que no debería estar allí. A partir de ahí, puede ayudar a eliminar dichos archivos antes de que dañen su sistema.
12. Divida el Wi-Fi de su POS de otras redes
Debido a que no es necesario que los piratas informáticos estén presentes para robar información confidencial, muchos intentos de fraude con tarjetas de crédito ocurren debido a la actividad cibercriminal. Por lo tanto, es necesario asegurarse de que su conexión a Internet sea segura. Es una gran ventaja para sus clientes ofrecer Wi-Fi gratis, pero asegúrese de separar esa red de la que su sistema de pago elimina.
13. Limitar los niveles de acceso al sistema POS
Un requisito esencial en el punto de venta es tener un control total sobre el acceso de los usuarios del POS. Tener niveles de acceso basados en roles permite a usuarios y grupos de usuarios específicos realizar su trabajo con éxito sin comprometer la seguridad del sistema, cerrando cualquier brecha para posibles actividades maliciosas. Otorgar a los usuarios solo el acceso mínimo que necesitan ayudará a garantizar que las medidas de seguridad estén implementadas adecuadamente.
Además, siempre es una buena idea conocer bien a su personal y realizar verificaciones de antecedentes. La actividad delictiva podría ocurrir con la misma facilidad dentro de la empresa que desde fuera.
Además, las empresas suelen trabajar con proveedores y técnicos. Cuando esto sucede, usted quiere asegurarse de contar con medidas de seguridad en el punto de venta.
Los proveedores y técnicos de puntos de venta pueden necesitar acceso a su sistema y red POS para completar su trabajo. Administrar su acceso con procedimientos de inicio de sesión, como solicitar su nombre, identificación con fotografía e información de la empresa, así como exigir la presencia de un miembro del personal durante el servicio, puede ayudar a minimizar cualquier actividad maliciosa.
14. Proteger los sistemas POS multiplataforma
En el mundo minorista actual, los consumidores eligen comprar de la manera que les resulte más conveniente. Ya sea en persona o en línea. Debido a que los comerciantes quieren poder ofrecer una variedad de experiencias de compra convenientes, el comercio electrónico y los terminales móviles son una excelente manera de expandir las soluciones de punto de venta.
Sin embargo, con múltiples dispositivos y plataformas, es importante asegurarse de que todas sus plataformas tengan las herramientas y sistemas operativos adecuados para realizar transacciones de forma segura desde cualquier lugar.
15. Emplear cifrado de extremo a extremo
Proteger los datos dificulta que los ciberdelincuentes obtengan acceso a información de pago importante. Por este motivo, es importante cifrar los datos de sus clientes. No sólo es importante, sino que también lo fomenta la Ley de Privacidad del Consumidor de California y las legislaturas de otros estados.
Echemos un vistazo a algunos tipos de cifrado:
Los datos en reposo
Los datos en reposo son información de pago que actualmente no se está transfiriendo desde el POS a la red de pago. Aunque no está activo, sigue siendo vulnerable a los ataques. Los datos cifrados en reposo están actualmente inactivos y se encuentran en una bóveda segura.
Datos en tránsito
Los datos en tránsito son información que se transfiere activamente desde el punto de venta del comerciante a la pasarela de pago, a la red, al banco emisor, a las marcas de las tarjetas y viceversa. Proteger esta información de principio a fin también se conoce como cifrado de extremo a extremo.
En el momento en que el dueño de la tarjeta proporciona su información de pago, su número de tarjeta y sus datos personales se codifican. Este cifrado sólo puede ser decodificado por el receptor previsto, que tendrá una clave virtual incorporada para la transacción.
Cifrado de 256 bits
Una clave de cifrado de 256 bits significa que un ciberdelincuente necesitaría 2256 combinaciones para piratear un mensaje cifrado. Esto sería casi imposible. Los cifrados también vienen en 128 y 192 bits.
Estándar de cifrado avanzado (AES)
AES es un tipo de algoritmo de cifrado de bloques que ofrece velocidad y seguridad en el punto de venta para la protección de datos en línea. El Instituto Nacional de Estándares y Tecnología diseñó AES con el objetivo de prevenir ciberataques de fuerza bruta o prueba y error a información gubernamental.
16. Conviértase en compatible con PCI
El Estándar de seguridad de datos de la industria de tarjetas de pago o PCI DSS gestiona las regulaciones de cumplimiento para los comerciantes que aceptan cualquier forma de pago con tarjeta. Las principales marcas de tarjetas diseñaron estos estándares y el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) los administra.
Las normas de seguridad de cumplimiento de POS incluyen muchos elementos que analizamos anteriormente, entre ellos:
Habilitando un firewall
Cambiar contraseñas predeterminadas
Proteger los datos de pago almacenados
Cifrar la transmisión de datos de pago confidenciales
Instalación de software antivirus
Restringir el acceso físico a la información de la tarjeta de pago
El cumplimiento de PCI es un excelente punto de partida para establecer pagos seguros. Sin embargo, la seguridad no está garantizada. Sí, los estándares PCI se actualizan continuamente para hacer frente a las amenazas en evolución, pero en última instancia es responsabilidad del comerciante identificar los riesgos y tomar todas las medidas de seguridad adecuadas. Todos los lectores de tarjetas, routers, servidores, redes y carritos de compras en línea deben cumplir con PCI DSS.
Aunque no es ilegal si sus protocolos no cumplen con los requisitos de PCI, las marcas de tarjetas imponen tarifas por incumplimiento de PCI.
Conclusión
La seguridad en el punto de venta puede ser un desafío debido a la magnitud de la cantidad de amenazas que existen. Conocidos y desconocidos. Los ataques de los ciberdelincuentes se actualizan continuamente a medida que avanza la tecnología y el malware.
Priorizar la seguridad del POS es clave. Debido a que los sistemas POS contienen información confidencial del consumidor, cualquier violación de datos puede resultar costosa para un comerciante.
La implementación de medidas de protección como el cumplimiento de PCI, la educación del personal, la administración de dispositivos y las limitaciones de acceso a POS pueden ayudar a reducir la probabilidad de actividad delictiva en la información del consumidor y en los dispositivos POS.
Asociarse con un proveedor de procesamiento de pagos que ofrezca asistencia para el cumplimiento de PCI y funciones de seguridad sólidas como ECS generará mejores beneficios para su empresa. Pero tenga en cuenta que, al final del día, el comerciante es responsable de proteger sus dispositivos POS y la información del cliente.
Para contactar con ventas, haga clic AQUÍ. Y para obtener más información sobre el procesamiento de pagos de ECS, visite Seguridad.