دو کارشناس امنیتی پکس پیچیدگی روزافزون امنیت تراکنش‌ها را بررسی می‌کنند و چرا – با ظهور راه‌حل‌های اندروید پوز هوشمند – فناوری، افراد و فرآیندها بیش از همیشه مهم هستند.

آندره آ زوکیاتی – مدیر کل پکس ایتالیا

آیلین لیو – مدیر گواهینامه ها، شرکت پکس

دوم از یک سری وبلاگ امنیتی دو قسمتی

در بخش اول این وبلاگ امنیتی، اهمیت بالایی که فناوری پکس به امنیت می‌دهد و اینکه چگونه در سراسر سازمان برای محصولات، فرآیندها و افراد ما اعمال می‌شود را توضیح دادیم. ما به نحوه ایمن سازی دستگاه هایمان از جنبه سخت افزاری و نرم افزاری، گواهینامه های متعددی که به دست آورده ایم و نحوه ایمن سازی خدمات ارزش افزوده (VAS) مانند Remote Key Injection (RKI) نگاه کردیم.

در این بخش دوم، امنیت اپلیکیشن و بازار، مدیریت آسیب‌پذیری و حفاظت از حریم خصوصی را در نظر می‌گیریم.

امنیت اپلیکیشن و بازار

دستگاه های پوز هوشمند مجهز به اندروید ما چندین برنامه را به طور همزمان اجرا می کنند. اینها توسط فروشگاه مکس مدیریت می شوند که بازار اپ استور امن و پلت فرم مدیریت دستگاه ما است. (برای درک ارزش فروشگاه مکس و دنیای جدید برنامه های اندروید پوز هوشمند برای بازرگانان، وبلاگ دوم مجموعه ما را بخوانید).

هیچ داده پرداخت حساسی از برنامه پرداخت ترمینال پکس با یک برنامه غیرپرداخت به اشتراک گذاشته نمی شود. این به سادگی امکان پذیر نیست زیرا داده ها فقط با استفاده از پروتکل های پیام تعریف شده ارسال می شوند. معماری و کنترل های امنیتی پیاده سازی شده در فروشگاه مکس تضمین می کند که از دسترسی غیرمجاز جلوگیری می شود. قبل از استقرار هر نرم‌افزاری در دستگاه‌ها، «امضای دیجیتال سه‌گانه» برنامه‌ها توسط توسعه‌دهنده برنامه، مالک بازار و پکس لازم است. این رویکرد به این معنی است که توسعه‌دهنده ترمینال نقشی ذاتی در زنجیره مسئولیت‌های امنیتی دارد. تزریق کلید ایمن در زمان ساخت بیشتر تضمین می کند که دسترسی به کاربران قانونی محدود می شود.

هر برنامه نرم افزاری تحت بررسی های امنیتی جامع است تا اطمینان حاصل شود که هیچ بدافزار یا ویروسی در دستگاه های پکس وجود ندارد. تمام نرم افزارهای توسعه یافته توسط پکس تکنولوژی توسط دو تیم جداگانه بررسی می شود و سپس با استفاده از سرویس AppScan ما تأیید می شود تا ضعف های امنیتی بررسی شود.

فروشگاه پکس بر روی زیرساخت ابری خدمات وب آمازون (AWS) مستقر شده است و سطوح مختلفی از حفاظت امنیتی از جمله دسترسی و کنترل زیرساخت را به ارمغان می آورد. این بدان معناست که از آدرس‌های IP مختلف استفاده می‌شود، زیرا ابر AWS از آدرس‌های IP پویا (و نه ثابت) – و طیف وسیعی از آدرس‌های IP متنوع استفاده می‌کند. نمونه‌های مستقل و ایمن فروشگاه مکس را می‌توان ایجاد کرد و کاربران دارای مجوز کنترل کامل روی برنامه‌هایی که می‌توانند اجرا شوند را دارند.

یک ویژگی کلیدی (اختیاری) امنیتی ارائه شده توسط پکس ، موقعیت جغرافیایی است. این مکان فیزیکی هر دستگاه را تا موقعیت بسیار دقیقی ردیابی می کند و در صورت ظاهر شدن دستگاه خارج از حصار مرزی توافق شده خود، اعلان بلادرنگ و مسدودسازی خودکار را فراهم می کند. خدمات مکان جغرافیایی ارائه شده توسط پکس توسط دو ارائه دهنده خدمات بسیار معتبر مدیریت می شود که یکی در آمریکای شمالی و دیگری در چین قرار دارد – مشتریان می توانند انتخاب کنند که کدام را ترجیح می دهند.

پشتیبانی از چندین برنامه (پرداخت و عدم پرداخت) در یک دستگاه و ویژگی های جدید موجود در سیستم عامل اندروید به این معنی است که برای شناسایی استفاده مشروع باید درک امنیتی افزایش یابد. تفاوت در نحوه عملکرد محصولات پوز هوشمند به این معنی نیست که باید یک نگرانی امنیتی وجود داشته باشد. به عنوان مثال، اندروید عناصر داده بسیار بیشتری را نسبت به سیستم‌عامل‌های ترمینال قدیمی گرفته است و آنها را با فروشگاه مکس به اشتراک می‌گذارد. بنابراین اندازه بسته های داده بسته به معیارهای متعددی از جمله نوع مدل، نسخه برنامه، پروتکل پردازنده، فعالیت ترمینال، عملکرد شبکه بی سیم و برای اهداف مدیریت قانونی ترمینال و نگهداری پیشگیرانه متفاوت خواهد بود.

یک بررسی امنیتی مستقل دقیق که در پایان سال 2021 توسط واحد محترم 42 Palo Alto Networks Inc. انجام شد ، تأیید کرد که هیچ ترافیک و رویداد مخربی در فعالیت ترافیک شبکه ای که آنها در راه حل های پکس بررسی کرده اند شناسایی نشده است.

مدیریت آسیب پذیری

فناوری پکس یک روش جامع مدیریت آسیب پذیری را اجرا می کند که از استانداردهای بین المللی ISO/IEC 30111 و ISO/IEC 29147 پیروی می کند. فرآیندها و گردش کار در چهار مرحله: شناسایی آسیب‌پذیری، تأیید، تعمیر و افشاء تنظیم شده‌اند.

این شامل نظارت بر وب‌سایت‌های خبری و امنیتی، پایگاه‌های اطلاعاتی آسیب‌پذیری شناخته‌شده عمومی و تعامل با جوامع حرفه‌ای امنیت داده است. ما همچنین به طور فعال اطلاعات و نگرانی های مربوط به منبع باز و کتابخانه های شخص ثالثی را که استفاده می کنیم، نظارت می کنیم.

راستی‌آزمایی آسیب‌پذیری شامل بررسی گزارش‌های دریافت‌شده از شرکا و مشتریان، از طریق برنامه افشای آسیب‌پذیری پکس یا یافت شده در مرحله توسعه محصول است. ارزیابی تأثیر آسیب‌پذیری و تعمیر آن به سرعت برای همه محصولات غیرپایان عمر (EOL) تکمیل می‌شود. افشاگری‌ها در بولتن‌ها و در پورتال پشتیبانی مشتری منتشر می‌شوند تا اطلاعاتی درباره اقدامات توصیه‌شده و به‌روزرسانی‌های نرم‌افزاری مناسب ارائه کنند.

علاوه بر این، منابع تخصصی داخلی و خارجی به طور مستمر با انجام آزمایش نفوذ روی محصولات و خدمات، با هدف شناسایی و حذف آسیب‌پذیری‌ها قبل از تبدیل شدن به یک نگرانی امنیتی، وظیفه دارند. روش‌ها و فن‌آوری‌های آزمایشی پیشرفته مورد استفاده قرار می‌گیرند، زیرا می‌دانیم که مجرمان سایبری همیشه به دنبال آسیب‌پذیری هستند. فناوری پکس دائماً از نتایج تست نفوذ و آسیب‌پذیری یاد می‌گیرد و فرآیندها و طرح‌های ما را بر این اساس به‌روزرسانی می‌کند تا اطمینان حاصل شود که محصولات پکس بالاترین سطوح حفاظت امنیتی ممکن را ارائه می‌دهند.

حفاظت از حریم خصوصی

در پکس ، با پیروی از یک چارچوب مدیریت حریم خصوصی که شامل مواردی مانند حریم خصوصی از طریق طراحی، حفاظت از شخص ثالث، درخواست‌های موضوع داده، ارزیابی تأثیرات و رویه‌های واکنش به حادثه است، اهمیت زیادی به حفاظت از حریم خصوصی ^{می‌دهیم} . ما همیشه اطمینان حاصل می کنیم که محصولات ما با الزامات نظارتی از جمله GDPR اتحادیه اروپا ، LGPD برزیل و PDPA سنگاپور مطابقت دارند. کار حفاظت از حریم خصوصی ما محصولات نرم افزاری، دستگاه های پایانه، فروشگاه مکس و سرویس VAS را پوشش می دهد که پس از تجزیه و تحلیل داده ها، هوش تجاری را به مشتریان ارائه می دهد.

دیدگاه پکس

فناوری پکس به تمام جنبه‌های امنیتی اهمیت زیادی می‌دهد و آن را در تمام محصولات سخت‌افزاری و نرم‌افزاری، خدمات ارزش افزوده، فرآیندهای داخلی و مدیریت افراد اعمال می‌کند. ما مسئولیت های خود را می شناسیم و بر این اساس امنیت را در محصولات خود از همان ابتدا طراحی می کنیم و موضوع امنیت را به طور کل نگر در نظر می گیریم. ما ممیزی های امنیتی سالانه را به عنوان بخشی از فرآیندهای خود انجام می دهیم و به دنبال بهبود مستمر سطوح حفاظت از امنیت هستیم.

شبکه جهانی مشتریان ما نیز دارای تعهدات امنیتی و مسئولیت نهایی PCI DSS هستند. آنها باید برنامه ها را بررسی کرده و به صورت دیجیتالی امضا کنند و مطمئن شوند که آنها تخصص امنیتی لازم برای استقرار راه حل های نسل بعدی پوز هوشمند اندروید را دارند. ما یک بازار برنامه امن ارائه می دهیم و از طریق امضای دیجیتال، اطمینان حاصل می کنیم که فقط برنامه های تأیید شده را می توان در دستگاه ها نصب کرد. گواهینامه اخیر PCI DSS ما امنیت استقرار فروشگاه مکس ما در سراسر جهان را تأیید می کند. مدیریت آسیب‌پذیری، تست نفوذ و مدیریت حریم خصوصی موارد دیگری هستند که به عنوان بخشی از رویه‌های امنیتی کلی ما پوشش داده می‌شوند. ما همچنان به سرمایه گذاری پول و منابع بیشتر در این زمینه ها ادامه می دهیم.

برند پکس مترادف با کیفیت بالا و امنیت بالا است. تا به امروز، هیچ مشکل امنیتی تراکنش پرداخت توسط مشتریانی در سراسر جهان که از محصولات پکس استفاده می کنند، شناسایی نشده است. به همین ترتیب، هیچ داده پرداختی هرگز به خطر نیفتاده است، هیچ یک از گواهینامه های پکس Technology لغو نشده است، و همچنین ترافیک یا رویدادهای مخرب در فعالیت ترافیک شبکه شناسایی نشده است.

افسران ارشد امنیت محصول منطقه ای ما خوشحال خواهند شد که به هر سوال دیگری که ممکن است داشته باشید پاسخ دهند.