Inicio / Protege tu empresa / Blog / Adiós caja registradora, bienvenido Point of Sale (PoS) – (parte II)

Adiós caja registradora, bienvenido Point of Sale (PoS) – (parte II)

Publicado el 10/02/2014, por M.A. Miguel Ruiz
Adiós caja registradora, bienvenido Point of Sale (PoS) – (parte II)

En la primera parte de este post se explicaba qué es y qué supone, a día de hoy y desde el punto de vista de la seguridad de la información y el cumplimiento normativo TIC, el actual punto de venta (“Point of Sale”) en el nuevo Comercio 2.0. Teniendo en cuenta la interconexión entre dispositivos altamente heterogéneos, y el flujo de datos e información entre ellos (“interfaces difusas”), se identificaron los principales riesgos que enfrenta cualquier empresa que disponga de un punto de venta, con indiferencia de su tamaño o sector.

En este segundo post se proponen algunos de los principales controles que permitirán mitigar dichos riesgos hasta un umbral aceptable, favoreciendo al mismo tiempo el alineamiento normativo así como una optimización operativa de los procesos del comercio.

QUÉ – CÓMO – CUÁNDO

 Como responsables del punto de venta, deberíamos plantearnos las siguientes cuestiones:

  • Qué deseo proteger: debemos conocer cuáles son los procesos y sistemas críticos que sustentan las actividades de frontoffice y backoffice, y qué servicios ofrecidos a nuestros consumidores son diferenciales.
  • Qué carencias existen: cuál es la situación actual de nuestro punto de venta; identificando por tanto las fortalezas y las debilidades de los procesos.
  • Cuáles son las prioridades: en función del riesgo y bajo un análisis de coste-beneficio, realizaremos un análisis de escenarios y de riesgos del establecimiento, en base, por ejemplo, a su ubicación, tecnologías desplegadas, superficie de venta o surtido. De esta forma, podremos priorizar los esfuerzos a acometer.

De esta forma, la selección de controles se deberá realizar bajo las siguientes premisas:

  • Sencillez: huir de la complejidad añadida al negocio.
  • Seguridad por defecto: incluir la seguridad como parte de cada nueva tecnología o proceso a implantar en el comercio, desde su incepción, hasta su incorporación a la operativa.
  • Mantenerse informado: el contacto con otras empresas del mismo sector, acuerdos de soporte y actualizaciones con proveedores de tecnología, e incluso con entes oficiales relacionados con el comercio, facilitarán el poder estar siempre informado acerca de nuevas soluciones para las nuevas amenazas que irán apareciendo.

INVENTARIO, AUTORIZACIÓN Y POLÍTICAS

 

Con la creciente interconectividad de dispositivos hasta ahora aislados o no digitalizados, acotar el acceso de dichos dispositivos a la infraestructura del comercio, así como a los datos recogidos y tratados en éste, pasa inicialmente por inventariar y catalogar adecuadamente los activos disponibles para, posteriormente, realizar una monitorización, aplicación de políticas y gestión de configuración centralizada.

SEGURIDAD POR NORMA: PCI-DSS

 

La recogida, transmisión, almacenamiento, tratamiento y destrucción de datos de tarjeta de crédito, y su combinación con la tarjeta de fidelización (financiera o no), requiere de unas medidas mínimas de seguridad. Conocido el parque de dispositivos y e interfaces dentro de nuestro Comercio 2.0, así como su situación actual, será necesario acogerse a las siguientes premisas :

  • Autorización de Software / Segregación de entornos: se ha de segregar el entorno privado empresarial, normalmente con conexión a servicios centrales y con mayores controles de seguridad, del entorno personal, en el cual el usuario podría introducir riesgos en el primero; de forma alternativa, se optará por la restricción y control de privilegios sobre las máquinas en el punto de venta.
  • Configuración Segura vs Parametrización por Defecto: se debe huir de la configuración de fábrica de los dispositivos, tanto en variables como en cuentas de usuario y contraseñas, pero tratando de aplicar las recomendaciones del fabricante en cuanto a seguridad.
  • Remediación Continua de Vulnerabilidades: permanecer en contacto con los proveedores de tecnologías y suscribir servicios o herramientas de detección de vulnerabilidades posibilita la reacción temprana y adecuada ante un escenario creciente y cambiante de amenazas así como de posibles soluciones a aplicar en el comercio   
  • Criterios de Tratamiento: no conservar más datos de los necesarios (de especial relevancia por su uso generalmente indiscriminado asociado a los servicios de fidelización y programas de know your client), ocultando y protegiendo aquellos que sí lo fuesen.
  • Seguridad de las conexiones: del total de dispositivos con conexión permanente de cualquier tipo, ¿cuántos han de mantener dichas conexiones constantemente abiertas? De esta forma, debemos plantearnos lo siguiente: Necesidad de permanecer conectado, en lugar de apostar por un procesamiento por lotes. Seguridad de la propia conexión, a través de un bastionado robusto, poner en funcionamiento mecanismos de filtrado de conexiones, aplicando además el filtrado de contenido, o el control de acceso inalámbrico, por ejemplo.
  • Implantar mecanismos de control de acceso, electrónico y físico: “necesidad de conocer” y atención en cuanto a Accesibilidad, Confidencialidad, Integridad, Disponibilidad y Trazabilidad de los datos.
  • Pruebas, pruebas, pruebas: ejecutar tantos programas de pruebas como sea necesario, para asegurar que el entorno es lo suficientemente seguro y está alineado con los casos de uso que puedan establecerse. Estos programas deberían realizarse con una periodicidad mínima anual.

PERSONAL INTERNO: EL ENEMIGO EN CASA

 

Ante una rotación generalmente elevada en el punto de venta, deben implantarse mecanismos automatizados, fuera del plano meramente manual y voluntario para con los empleados, de forma que se pueda:

  • Evitar el robo de datos de forma intencionada, o mediante algún tipo de aplicación malware o USB, o mediante conexión a sitios poco fiables en internet (filtro de contenidos y navegación).
  • Fomentar procesos de capacitación continuos y frecuentes, adaptados a cada uno de los roles en función de privilegios, acceso y necesidad de conocer.
  • Envolver los procesos de negocio y TI con una capa transparente de monitorización y gestión de intercambio de datos, tanto electrónicamente como a nivel físico. Una posible solución es la implantación de sistemas DLP (“Data Loss Prevention”).

LOPD: BRECHAS DE SEGURIDAD vs SANCIONES ASUMIBLES

 

Sin entrar a analizar cada uno de los controles que articula el Reglamento que da cuerpo a la Ley Orgánica de Protección de Datos, las sanciones que el incorrecto cumplimiento de ésta podría acarrear, hacen que merezca la pena mencionar los siguientes controles:

  • Análisis: qué datos de carácter personal, cómo y con qué fin son tratados éstos, qué requisitos son los exigidos y qué pasos separan la situación actual de un escenario de cumplimiento.
  • Datos de Terceros: tarjetas de fidelización, cupones de participación en sorteos, datos para el envío a domicilio, campañas de marketing, etc; así como datos de proveedores, quienes eventualmente pudieran además tener acceso a la información de los primeros.
  • Auditorías regulares: de una frecuencia mínima anual, que revisen el estado de cumplimiento de la norma. Implantación: en caso de no cumplimiento, de las medidas identificadas, seguido de procesos de Seguimiento y Mejora.

PLAN DE CONTINGENCIA

 

Contar con procedimientos alternativos de contingencia, los cuales permitan minimizar la parada de los procesos de negocio en caso de producirse un incidente, suponen mejorar la experiencia del cliente y minimizar las pérdidas derivadas de una interrupción. De esta forma, es recomendable desarrollar un Plan de Continuidad de Negocio y un Plan de Respuesta ante Incidentes, los cuales identifiquen claramente a los responsables de cada uno de los procesos, y ayude tanto a detectar un incidente, como a minimizar el impacto en caso de materialización.

DEFENSA PROACTIVA

 

De forma regular, y como parte del análisis de la situación de partida, será necesario efectuar pruebas de penetración y ataques simulados. Éstos van encaminados a la correcta implantación de las siguientes medidas:

  • Evitar conexiones, puertos o protocolos no seguros abiertos de manera innecesaria
  • Doble verificación de pesado de productos: por el cliente y por el personal de caja
  • Etiquetado impreso con precios y referencias de productos.
  • Procesos por lotes en horario controlado
  • Desactivación o securización de redes inalámbricas

En un comercio moderno, hiperconectado, con acceso a datos y patrones de comportamiento de los clientes e información en tiempo real, no sólo basta con creer que se están aplicando los mejores mecanismos de seguridad, sino que se ha de tener la certeza de ello.

La securización del Punto de Venta pasa por entender que éste es un organismo vivo, conectado y debiendo regirse por reglas de seguridad tan estrictas como el propio negocio permita y, a la vez, tan transparentes al cliente como para que la propia sensación de seguridad de éste baste como evidencia del trabajo bien hecho.