POS terminallerinin, işlemlerin ve uygulamaların güvenliğini sağlama - İkinci Bölüm

Iki PAX güvenlik uzmanı, işlem güvenliği etrafındaki artan karmaşıklığı ve neden - Android SmartPOS çözümlerinin yükselişiyle birlikte - teknoloji, insanlar ve süreçlerin her zamankinden daha önemli olduğunu inceliyor.

Güvenlikle ilgili iki bölümlük bir blog serisinin ikincisi

Bu güvenlik blogunun birinci bölümünde, PAX’ın ürettiği teknolojinin güvenliğe verdiği yüksek önemi ve bunun kuruluş felsefesinde ürünlerimize, süreçlerimize ve işgücümüze nasıl uygulandığını açıkladık. Cihazlarımızın hem donanım hem de yazılım açısından nasıl güvenli hale getirildiğine, elde ettiğimiz sayısız sertifikaya ve RKI (Remote Key Injectıion) gibi Katma Değerli Servislerimizin (VAS) nasıl güvence altına alındığına baktık.

Bu ikinci bölümde uygulama ve pazaryeri güvenliğini, güvenlik açığı yönetimini ve gizliliği ele alıyoruz.

Uygulama ve pazaryeri güvenliği

Android işletim sistemli SmartPOS cihazlarımız doğası gereği aynı anda birden fazla uygulamayı çalıştırabilmekte olup bunlar, uygulama marketi pazaryerimiz ve terminal yönetim platformumuz olan MAXSTORE tarafından yönetilmektedir.

PAX terminalinin içerisinde hiçbir ödemeyle ilgili veri, ödemeyle ilgisi bulunmayan başka bir uygulamayla paylaşılmaz. Veriler, yalnızca özel tanımlanmış protokoller kullanılarak gönderildiğinden bunun aksi zaten mümkün değildir. PAX’ın en önemli yanlarından biri, MAXSTORE’un mimarisinin tüm riskler gözetilerek yaratılmış olan güvenlik koşullarıyla tasarlanmış olması ve bu sayede dolandırıcılığı maksimum düzeyde önlemesidir. Bir uygulamanın kullanılması için yazılım geliştiricisi, pazaryeri sahibi ve PAX tarafından uygulamaların "üçlü olarak dijital bir şekilde imzalanması" gerekir. Bu yaklaşım, terminallerin güvenliği ve yetkisiz müdahalenin engellenmesi yönünde önemli fayda sağlar.

PAX terminallerinde çalışan veya çalışacak olan tüm uygulamalar, terminallere hiçbir kötü amaçlı yazılım veya virüs bulaşmamasını sağlamak için kapsamlı güvenlik incelemelerine tabidir. PAX Teknoloji tarafından geliştirilen tüm yazılımlar, iki ayrı ekip tarafından incelenir ve ardından güvenlik açıklarını kontrol etmek için AppScan hizmetimiz kullanılarak doğrulanır.

MAXSTORE, Amazon Web Services (AWS) bulut altyapısını kullanmaktadır ve erişim ve altyapı kontrolü dahil olmak üzere çok sayıda güvenlik korumasını içermektedir. AWS bulut altyapısı dinamik IP adresleri kullandığı için her istekte farklı IP’ler üzerinden iletişim sağlanmaktadır. MAXSTORE özellikleri ile birlikte lisanslı kullanıcıların uygulama yayılım kapsamında tam yetkisi bulunmaktadır.

PAX tarafından sunulan bir diğer önemli fayda ise coğrafi konum özelliğidir. Böylece her cihazınızın fiziksel konumunu yüksek doğruluk oranıyla takip eder. Ayrıca cihaza özel bir alan belirlenebilir ve o alanın dışına çıktığı takdirde gerçek zamanlı bildirim ve otomatik engelleme sağlayabilir. PAX tarafından sunulan coğrafi konum hizmetleri, biri Kuzey Amerika'da ve diğeri Çin'de bulunan iki büyük hizmet sağlayıcı tarafından yönetilmektedir ve müşteriler bu iki sağlayıcıdan dilediklerini tercih edebilir.

PAX’ın sunduğu bu kadar çok özelliğin bir arada bulunması, kimi zaman güvenlikle ilgili soru işareti oluşmasına sebep olabilir. Ancak SmartPOS ürünlerinin çalışma biçimindeki farklılıklar, güvenlik endişesi olması gerektiği anlamına kesinlikle gelmez. Örnek vermek gerekirse Android, eski işletim sistemli terminallere göre çok daha fazla veri öğesini MAXSTORE aracılığıyla işleyebilir.

Palo Alto Networks Inc.'in en saygın birimlerden biri olan 42. Birim tarafından 2021'in sonunda gerçekleştirilen ayrıntılı bir bağımsız güvenlik incelemesi, PAX çözümlerinde inceledikleri ağ trafiği etkinliğinde hiçbir zaman kötü niyetli trafik ve olay tespit edilmediğini doğruladığını da büyük bir mutlulukla belirtmek isteriz.

Güvenlik açığı yönetimi

PAX Teknoloji, ISO/IEC 30111 ve ISO/IEC 29147 uluslararası standartlarını takip eden kapsamlı bir güvenlik açığı yönetimi prosedürü yürüten bir teknoloji markasıdır. Bu prosedürlerin akışından bahsedecek olursak: güvenlik açığı tanımlama, doğrulama, onarım ve açıklama olarak sıralayabiliriz.

Bu prosedürler sayesinde, haber ve güvenlik web sitelerini, kamuya açık bilinen güvenlik açığı veritabanlarını izlemeyi ve veri güvenliği profesyonel topluluklarıyla etkileşim kurmayı mümkün kılmakta ve güvenlik açıklarını tespit etmekteyiz. Ayrıca, kullandığımız açık kaynak ve üçüncü taraf kütüphanelerle ilgili güncel durumları aktif olarak izlemekteyiz.

Güvenlik açığı doğrulaması, ortaklardan ve müşterilerden alınan ve PAX Güvenlik Açığı Açıklama Programı aracılığıyla iletilen veya ürün geliştirme aşamasında bulunan raporların araştırılmasını içermektedir. Mevcutta üretilen ve desteği verilen tüm ürünlerimiz için güvenlik açığı değerlendirmeleri ve onarımı sürekli olarak yapılmaktadır. Açıklamalar, önerilen eylem ve uygun yazılım güncellemeleri hakkında bilgi sağlamak için çeşitli newsletter bültenleri yayınlanmaktadır.

Ek olarak, dahili ve harici olmak üzere çeşitli uzmanlarımız, güvenlik açıklarını bir güvenlik sorunu haline gelmeden önce belirlemek ve ortadan kaldırmak amacıyla ürünler ve hizmetler üzerinde sızma testi yapmak üzere görevlendirilir ve çalışma yaparlar. Siber suçluların her zaman güvenlik açıkları arayışında olduğu bir gerçek olması dolayısıyla, son teknoloji test metodolojileri ve teknolojileri kullanılmaktadır. PAX Teknoloji, sızma ve güvenlik açığı testi sonuçlarından sürekli olarak yeni bilgiler edinir ve bu bilgiler doğrultusunda test senaryolarında da geliştirmeler yapar, ayrıca PAX ürünlerinin mümkün olan en yüksek düzeyde güvenlik koruması sunmasını sağlamak için süreçleri ve tasarımları da buna göre günceller.

Gizliliği koruma

PAX Teknoloji olarak, tasarım gereği gizlilik, 3. tarafları koruma, veri sahiplerinin talepleri, etki değerlendirmeleri ve olay müdahale prosedürleri gibi konuları kapsayan bir gizlilik yönetimi çerçevesi izleyerek, gizliliği sağlamak adına üzerimize düşen tüm sorumlulukları yerine getirmekteyiz. Ürünlerimizin her zaman Avrupa Birliği'nin GDPR'si, Brezilya'nın LGPD'si ve Singapur'un PDPA'sı gibi şartlar dahil olmak üzere, düzenleyici kurallarla uyumlu olmasını sağlıyoruz.

Gizliliğe yönelik çalışmalarımız, veri analizini takiben müşterilere sağlanan yazılım ürünleri, terminaller, MAXSTORE ve katma değerli servisler (VAS) hizmetlerini kapsamaktadır.

Güvenlik Konusuna PAX’ın Bakış Açısı

PAX Teknoloji, güvenliğin tüm yönlerine büyük önem vermekte ve bunu tüm donanım ve yazılım ürünlerine, katma değerli hizmetlere, iç süreçlere ve işgücü yönetimine uygulamaktadır. Dolayısıyla sorumluluklarımızın farkında olmakla beraber, buna göre güvenliği süreçlerimizin en başından itibaren ürünlerimizin tasarımına dahil ediyor ve güvenlik konusunu bütünsel olarak ele alıyoruz. Süreçlerimizin bir parçası olarak yıllık güvenlik denetimleri gerçekleştirip güvenlik düzeylerini sürekli olarak iyileştirmeye yönelik çalışmalar yapıyoruz.

Global olarak baktığımızda, sahip olduğumuz müşteri ağımızın da bahsi geçen sertifikalardan biri olan PCI DSS için güvenlik yükümlülükleri ve nihai sorumluluğu vardır. Yeni nesil Android SmartPOS çözümlerinin son kullanıcıya verilmesi için gerekli güvenlik uzmanlığına sahip olduklarından emin olarak uygulamaları kontrol etmeli ve dijital olarak imzalamalıdırlar.

Güvenlik deyince önemli noktalardan biri olan uygulama marketimiz MAXSTORE’da ise, sadece dijital olarak imzalanmış uygulamaları kullanıma sunuyoruz. Ayrıca son PCI DSS sertifikamız, dünya çapındaki MAXSTORE ağımızın güvenliğini daha da doğrulamakta ve pekiştirmektedir.

Güvenlik açığı yönetimi, sızma testleri ve gizlilik yönetimi, genel güvenlik prosedürlerimizin bir parçası olarak ele alınan diğer öğelerdir. Bu alanlara daha fazla para ve kaynak yatırımı yapmaya devam ediyoruz.

PAX olarak bugüne kadar, dünya çapında PAX ürünlerini kullanan müşteriler tarafından hiçbir ödeme işleminde güvenlik sorunu tespit edilmedi, hiçbir ödeme verisinin güvenliği ihlal edilmedi, PAX Teknoloji'nin sertifikalarının hiçbiri geri alınmadı veya ağ trafiği etkinliğinde kötü niyetli trafik veya olaylar tespit edilmedi.

PAX Teknoloji, bu konudaki gayretini koruyarak, güvenli ve yenilikçi ödeme sistemleri yaratmaya ve bu alanda lider olmaya devam edecektir.