การตรวจประเมินความสอดคล้องอื่น ๆ → เครื่องรับชำระเงิน

การทดสอบความปลอดภัยเครื่องชำระเงิน

การทดสอบความปลอดภัยของเครื่องรับชำระเงินและ POS ครอบคลุมเฟิร์มแวร์ การสื่อสาร การป้องกันการแกะดัดแปลง และความสมบูรณ์ของธุรกรรมตั้งแต่ต้นจนจบ

"เครื่องรับชำระเงินอิเล็กทรอนิกส์ ทั้งในรูปแบบเครื่องตั้งโต๊ะประจำร้านค้า เครื่องรับชำระเงินแบบพกพา และตู้รับชำระเงินอัตโนมัติแบบไร้ผู้ควบคุม ล้วนตั้งอยู่บนขอบเขตความปลอดภัยที่มีความสุ่มเสี่ยงสูง เนื่องจากอุปกรณ์เหล่านี้ต้องประมวลผลข้อมูลผู้ถือบัตร ข้อมูลสำคัญในการเข้าถึงระบบชำระเงิน และรหัสผ่านส่วนบุคคล ท่ามกลางสภาพแวดล้อมหน้างานที่ไม่สามารถควบคุมการเข้าถึงทางกายภาพได้อย่างสมบูรณ์ โครงสร้างการรักษาความปลอดภัยของอุปกรณ์จึงต้องถูกกำกับดูแลด้วยมาตรฐาน PCI PTS ในระดับฮาร์ดแวร์ ตลอดจนข้อกำหนดทางเทคนิคด้านวิทยาการรหัสลับและแนวทางปฏิบัติเชิงปฏิบัติการที่เข้มงวดในชั้นระบบซอฟต์แวร์ที่อยู่เหนือขึ้นไป

ขอบเขตการดำเนินงานโดยทั่วไปครอบคลุมการวิเคราะห์ซอฟต์แวร์ระบบส่วนควบคุม การทดสอบกลไกป้องกันการดัดแปลงแก้ไขตัวเครื่องทางกายภาพ การประเมินกระบวนการจัดการชิปประมวลผลความปลอดภัยสูงและการจัดเก็บกุญแจรหัสลับ การตรวจสอบช่องทางการสื่อสารไร้สาย ตลอดจนการตรวจสอบลำดับขั้นตอนการทำธุรกรรมแบบครบวงจรตั้งแต่จุดรับชำระไปจนถึงธนาคารผู้รับบัตร ซึ่งผลลัพธ์ที่ได้จากการประเมินจะทำหน้าที่เป็นเอกสารหลักฐานสำคัญในการรองรับการตรวจประเมินความปลอดภัยของผู้ผลิตอุปกรณ์ การจัดเตรียมความพร้อมเพื่อเชื่อมต่อระบบกับธนาคารผู้รับบัตร และการยื่นหลักฐานแสดงความสอดคล้องตามข้อกำหนดมาตรฐานความปลอดภัย PCI

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

ความเสียหายจากช่องโหว่ของเครื่องรับชำระเงินส่งผลกระทบเป็นวงกว้างอย่างไม่สมมาตร

หากเครื่องรับชำระเงินถูก Hacker ควบคุม จะสามารถลักลอบคัดลอกข้อมูลบัตร ดักจับ PIN หรือแก้ไขดัดแปลงธุรกรรม ซึ่งกระทบทั้งผู้ถือบัตร ร้านค้า และธนาคารผู้รับบัตรพร้อมกัน

รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

PCI PTS

PCI PIN

PCI P2PE

EMV

Visa / Mastercard rules

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ