PCI DSS包括对POS终端安全的要求。在本文中,专家Mike Chapple将解释如何理解PCI对于POS终端的要求,并就此的***安全实践给出建议。
关于PCI对POS终端的要求我十分忧虑,因为我很难找到合适的方式来保障公开锁着的POS系统抽屉的物理钥匙的安全。PCI合规只是要求我把钥匙藏起来,或者以其他安全方式保存起来吗?关于POS终端安全,PCI的合规要求又是什么呢?
Mike Chapple:PCI DSS并不直接处理用于锁住POS系统中现金抽屉的钥匙的问题。就算你真的把钥匙放在桌面上,很可能也不会违反PCI DSS,除非你也把信用卡号也窜访在了这些抽屉里。不过即便如此,你还是应该保持良好的安全实践,比如说以安全的方式保护存满现金抽屉的钥匙。
PCI DSS包含一些关于物理POS安全的要求。通常,POS终端被建在很难提供强大物理安全保障的地方,比如说在零售商店的前面。对此,PCI标准要求商家要采取措施以防POS终端设备被篡改,像是安装了键盘记录器和分离器用以窃取用户支付卡交易数据。
POS系统商家需持有这些系统维护的详细清单,包括制作、模型、每台设备的位置和编号用以收集支付卡数据。商家们还必须定期检查其设备是否有经篡改或未经授权就使用的迹象。***,商家需要就POS终端恰当的物理安全方面对员工进行培训。