SoftPOS está ganando terreno en el mercado de Punto de Venta.
Si bien SoftPOS no es nuevo (los pequeños comerciantes y las marcas de pago han estado probando aplicaciones móviles para aceptar pagos sin contacto durante algunos años), nunca ha sido completamente adoptado por el mercado más grande porque PCI no ha tenido un estándar adecuado en toda la industria para SoftPOS. . Se espera que esto cambie a finales de este año; cuando el nuevo estándar de la industria por PCI, MPoC (Pagos Móviles en COTS) se espera que sea presentado.
Con SoftPOS al borde de la adopción del gran mercado, ahora es el momento de pensar seriamente en cómo asegurar su solución SoftPOS en preparación para la certificación PCI MPoC.
¿Qué es SoftPOS?
SoftPOS es, simplemente, la práctica de usar un teléfono inteligente para aceptar tarjetas sin contacto y pagos móviles a través de una aplicación móvil. SoftPOS ha estado en una fase de adopción temprana desde 2017 y ha estado creciendo en impulso desde entonces con proveedores de soluciones como MyPinPad, Rubean, VivaWallet, PayFelix y, recientemente, incluso Apple anunció una solución SoftPOS.
Las soluciones SoftPOS están predominantemente disponibles para dispositivos Android; Apple no brinda acceso a su interfaz sin contacto (NFC) a desarrolladores de aplicaciones de terceros. Si bien Apple adquirió Mobeewave, uno de los primeros proveedores de soluciones SoftPOS, en 2020, solo recientemente Apple reveló más detalles de su solución Tap to Pay en iPhone para grandes proveedores de plataformas de pago como Stripe y Adyen.
Si bien SoftPOS permite que cualquier comerciante acepte pagos electrónicos (con tarjeta o basados en dispositivos móviles) en lugar de efectivo, pasar de la tecnología POS tradicional basada en hardware a las soluciones SoftPOS presenta un desafío: seguridad.
Protección de SoftPOS: la diferencia entre los terminales de pago tradicionales y SoftPOS
Tradicionalmente, la tecnología de POS en persona se ha limitado a dispositivos de hardware, las terminales físicas de punto de venta. Estos terminales de pago físicos están especialmente diseñados; lo único que hacen es procesar transacciones. Los terminales POS se diseñaron y construyeron teniendo en cuenta la seguridad y se basaron principalmente en la seguridad del hardware proporcionada por la plataforma. Si bien siempre hay formas de comprometer dichos terminales de pago, esos vectores de ataque se probaron con los requisitos de PCI-PTS, que tienen un fuerte enfoque en la seguridad del hardware. Con el tiempo, estos terminales de pago especialmente diseñados evolucionaron y pasaron a plataformas basadas en Android, ampliando la superficie de ataque de ataques predominantemente de hardware a ataques de software y móviles.
SoftPOS completa esta evolución, ya que marca la transición de soluciones seguras de hardware especialmente diseñadas a aplicaciones móviles puramente basadas en software en teléfonos inteligentes de consumo.
Las soluciones SoftPOS se ejecutan en muchos modelos diferentes de teléfonos inteligentes, que comprenden diferentes hardware y software subyacentes, lo que hace que su seguridad sea una historia completamente diferente de las terminales POS tradicionales. Mientras que con el terminal de pago tradicional basado en hardware, la plataforma se consideraba ‘confiable’, los teléfonos inteligentes son un objetivo popular para los ciberdelincuentes y son en gran medida «no confiables». Según Zimperium informe de amenazas móviles más reciente, 2021 vio un aumento del 466% en las vulnerabilidades móviles de día cero explotadas. El malware móvil también ha ido en aumento, con más de 2 millones de nuevas cepas en 2021.
En otras palabras, con SoftPOS, la plataforma subyacente provista por el teléfono inteligente no puede considerarse ‘confiable’ y, como resultado, la aplicación SoftPOS no puede confiar en la seguridad del dispositivo o del sistema operativo de su plataforma móvil. Esto no debería ser una sorpresa ya que los teléfonos inteligentes, a diferencia de los terminales de pago, no han sido diseñados, desarrollados ni protegidos como terminales de pago. también hay numerosos ejemplos de exploits remotos y de día cero para Android y iOS teléfonos inteligentes, incluidas las hazañas que afectan el seguridad basada en hardware, código fuente, y Entornos de ejecución de confianza (ET) dentro de estos dispositivos.
Y, por supuesto, hay mucho en juego. Si una aplicación SoftPOS se ve comprometida, la escalabilidad de los ataques aumenta la escala del fraude potencial, lo que afecta tanto a los consumidores como a los comerciantes.
Para protegerse contra los ataques y el fraude posterior, las soluciones SoftPOS deben ser resistentes a todos los ataques y actores de amenazas relevantes, incluido el malware, las organizaciones criminales, los atacantes remotos y los actores malintencionados con acceso físico al dispositivo que ejecuta la aplicación SoftPOS. Si la aplicación SoftPOS no está protegida de forma adecuada, se puede abusar de las soluciones de varias maneras, como se describió anteriormente por el laboratorio de seguridad acreditado por PCI. Riscura. Los ejemplos incluyen consumidores o atacantes que falsifican o reembolsan pagos, comerciantes que realizan transacciones no autorizadas, recopilación de datos de tarjetas para fraude de tarjeta no presente (CNPF) y bloqueo de cuentas de comerciantes.
Asegurar las soluciones SoftPOS no es una tarea fácil. Hacerlo requiere una comprensión profunda de la solución, su diseño y las tecnologías de seguridad, así como la experiencia para implementarla con sus ingenieros. En teoría, los desarrolladores de soluciones SoftPOS tienen tres tecnologías principales disponibles para ayudar a asegurar su aplicación SoftPOS:
- Tecnología de seguridad basada en software
- Entorno de ejecución de confianza (TEE)
- Elemento seguro (SE)
En la práctica, sin embargo, la tecnología basada en hardware, como TEE y SE, ha demostrado estar restringida a los fabricantes de equipos originales de teléfonos inteligentes, ya que los desarrolladores de aplicaciones comunes no tienen acceso a esta tecnología. Además de la falta de acceso, la fragmentación de la tecnología basada en hardware ha llevado a la mayoría de los desarrolladores de SoftPOS a proteger su solución con tecnología de seguridad basada en software para poder ofrecer un amplio soporte para muchas marcas de dispositivos y modelos de teléfonos inteligentes diferentes.
¿Qué significa el estándar PCI MPoC para su aplicación SoftPOS?
A diferencia de los estándares PCI SPoC y CPoC existentes, el próximo estándar Mobile Payments on Cots (MPoC) presenta modularidad, nuevas opciones de certificación y nuevos casos de uso, incluida la compatibilidad con PIN de software sin necesidad de un SCRP (Lector de tarjetas seguro para PIN). ), transacciones fuera de línea y certificación de componentes.
Además de la expansión funcional y los avances en las opciones de certificación, el estándar MPoC introduce un cambio fundamental para PCI en los requisitos de seguridad mismos, cambiando la naturaleza de los requisitos de altamente prescriptivos a basados en objetivos.
Los requisitos basados en objetivos traen un cambio importante de prescribiendo lo que debe hacer un desarrollador (p. ej., ofuscar el código) a lo que debe lograr la solución (p. ej., ser muy resistente a la ingeniería inversa). Este cambio en la naturaleza de los requisitos de seguridad no solo brinda más libertad de diseño e implementación para los desarrolladores, sino que también cambia el enfoque de la seguridad de un cumplimiento simplista a una garantía de seguridad real. Este cambio es como comparar la letra de la ley a el espiritu de la ley.
O, puesto en un ejemplo más actual, no se trata solo de aplicar una medida de seguridad específica como la ofuscación; se trata del efecto deseado que debe lograr al ser altamente resistente a la ingeniería inversa.
Cómo Zimperium permite una sólida seguridad de aplicaciones móviles compatible con PCI
Dado que la seguridad es un aspecto clave de las soluciones SoftPOS y la certificación PCI MPoC, es importante utilizar herramientas de seguridad de aplicaciones móviles comprobadas. Paquete de protección de aplicaciones móviles de Zimperium (MAPAS)permite a los desarrolladores de soluciones de pago móvil en todo el mundo desarrollar soluciones seguras y aplicaciones móviles compatibles de una manera sencilla y segura.
MAPS adopta una visión holística de la seguridad de las aplicaciones móviles y aborda todas las necesidades de seguridad de un desarrollador de aplicaciones móviles. Este conjunto de cuatro herramientas de seguridad de aplicaciones móviles líderes permite a los desarrolladores de SoftPOS cumplir con los requisitos de PCI MPoC:
- zKeyBox: lo último criptografía de caja blanca que protege sus claves y secretos de cifrado, al mismo tiempo que oscurece los algoritmos criptográficos para que la lógica de ejecución de una aplicación no sea visible para un atacante, incluso si el dispositivo está en sus manos.
- Escudo z: protección avanzada para el código fuente, la propiedad intelectual (IP) y los datos de una aplicación contra posibles ataques como la ingeniería inversa y la manipulación del código.
- zDefender: nuestra herramienta de atestación de dispositivos basada en aprendizaje automático con conocimiento del tiempo de ejecución a través de RASP ofrece una gran cantidad de telemetría y análisis desde el motor de aprendizaje automático en el dispositivo para las necesidades de supervisión y atestación de MPoC. zDefend protege contra ataques de día cero y se puede actualizar por aire sin necesidad de reconstruir y redistribuir la aplicación.
- zEscanear: una herramienta que escanea el binario de su aplicación en busca de riesgos que puede ser explotado por un atacante
Si bien la adopción global a gran escala de SoftPOS sin contacto está a la vuelta de la esquina, Zimperium ha estado trabajando con los desarrolladores de SoftPOS durante años. Desde 2017, hemos ayudado a decenas de desarrolladores de SoftPOS a lograr su certificación de seguridad con marcas de pago y PCI.
Si bien la seguridad es un juego continuo del gato y el ratón, Zimperium brinda protección comprobada y continua para sus aplicaciones móviles, incluso contra los ataques y herramientas de atacantes más recientes. Nuestra única misión es proteger los dispositivos móviles y las aplicaciones mientras ayudamos a nuestros socios a llevar sus soluciones al mercado lo antes posible para estar listos para la fiebre de SoftPOS.
Acerca de Zimperium
Zimperium es un líder mundial en seguridad de aplicaciones y dispositivos móviles. La suite de protección de aplicaciones móviles (MAPS) de Zimperium ayuda a los desarrolladores de aplicaciones móviles a crear aplicaciones móviles seguras y sólidas, resistentes a los ataques de expertos. Estas herramientas se utilizan ampliamente en la industria financiera para proteger las aplicaciones de banca móvil, pago móvil y SoftPOS.
MAPS es la única plataforma unificada que combina una protección completa en la aplicación con visibilidad de amenazas centralizada. La plataforma proporciona capacidades de protección de aplicaciones, protección de claves, escaneo de aplicaciones y protección en tiempo de ejecución. Para obtener más información sobre cómo asegurar su aplicación SoftPOS para MPoC, póngase en contacto con nosotros hoy.
