Pos poco sicuri?

19/04/2013

La sicurezza nel mondo retail è una questione di responsabilità condivisa. 
È questa la conclusione alla quale inevitabilmente si giunge analizzando i risultati di uno studio presentato in questi giorni da McAfee che esamina le problematiche di sicurezza e privacy che sempre più spesso si pongono. 

La questione è tutto sommato semplice. 
Nella gestione dei pagamenti elettronici, siano essi eseguiti con Pos tradizionali o con sistemi più evoluti, è importante garantire non solo la sicurezza della transazione, ma anche quella dei dati che ciascuna transazione porta con sé. 

Semplice la questione, meno semplice la soluzione, dal momento che troppo spesso l'aggiornamento dei sistemi di pagamento non viene eseguito con regolarità, lasciando dunque spazio a comportamenti illeciti da parte di chi cerca e sfrutta vulnerabilità.
Il rischio è che lo sfruttamento delle vulnerabilità aumenti la possibilità di accesso a informazioni personali dei titolari delle carte di credito e di conseguenza i furti di identità. 

Un passaggio del report è cruciale. 
Molti consumatori - si legge - danno per scontato che il retailer sia responsabile della sicurezza delle loro informazioni personali. 
Ma chi stabilisce le regole e soprattutto chi garantisce che sia davvero così?
Al momento della definizione dello standard PCI DSS (Data Security Standard) nel 2006, l'intenzione dell'associazione costituita tra gli operatori del settore delle carte di credito era quella di garantire che i commercianti aderissero a un livello base di requisiti di sicurezza al momento salvataggio, del processing e della trasmissione dei dati dei titolari delle carte. A sei anni di distanza, l'evoluzione sembra essere stata piuttosto lenta. 
Così, mentre i retailer cercano nuove modalità di miglioramento dell'esperienza di acquisto, adottando nuove tecnologie, upgradando i loro sistemi, indirizzando anche l'area dei social media, la sicurezza e la privacy rischiano di rimanere temi secondari. 
I consumatori, si legge ancora, consegnano all'esercente la loro carta o la loro email dando per scontato di essere protetti. Ma è proprio analizzando la situazione attuale dell'industria delle carte di credito e dei servizi per il retail appare sempre più evidente che un approccio più cauto è opportuno. 

La conformità agli standard PCI DSS non è più sufficiente. 
Importante, ed è qui che si torna al punto inziale della responsabilità condivisa, è che i commercianti si rivolgano a system integrator del settore retail che abbiano ottenuto la certificazione da parte del PCI Council. 
Parimenti è importante che si informino in prima persona sia sull'evoluzione dei rischi, sia sullo stato delle loro policy di sicurezza. 
LO devono ai loro clienti, ma lo devono a loro stessi, in un'ottica di tutela del marchio e della loro reputazione. 

Congiuntamente, commercianti e sytem integrator dovrebbero valutare l'adozione di piattaforme di gestione che integrino soluzioni di sicurezza specifici per i Pos, implementare livelli di sicurezza più elevati, che prevedano white list, integrity control del Pos e sicurezza hardware-enhanced. (Fonte: 01net.it)