兩位 PAX (百富) 安全專家分享了日益複雜的交易安全,以及隨著 Android 智能支付終端的興起,技術、人員和流程比以往任何時候都更為重要。
安全博客系列 (下)
在 安全博客系列 (上),我們闡述了 PAX (百富) 對安全性的高度重視,以及集團如何將安全性應用於我們的產品、體系和人員。從硬件和軟件方面,我們闡述了如何確保我們的終端安全,包括已取得眾多的認證,以及我們增值服務 (VAS) 的安全性,例如遠程密鑰注入 (RKI) 。
在安全博客系列 (下),我們將探討應用市場 (Marketplace) 的安全性、漏洞管理和私隱保護。
應用市場 (Marketplace) 的安全性
PAX (百富) 的智能支付終端以 Android 驅動,可同時操作多個應用程式。相關的應用程式是透過我們安全的 App Store 和終端管理平台 — PAXSTORE 進行管理。(如要了解 PAXSTORE 的價值和面向商戶的 Android 智能支付終端的應用程式,請 按此 閱讀相關內容)。
任何敏感的支付數據都不會從 PAX (百富) 終端支付應用程式共享到非支付應用程式,因為數據只能使用預設的信息協儀 (defined message protocols) 進行發送。 PAXSTORE 採取的架構和安全控制措施確保防範未經授權的訪問。任何軟件應用部署到終端之前,必需透過應用程式開發人員、應用市場擁有者 (marketplace owner) 和 PAX (百富) 對應用程式進行「三重電子簽署」(Triple digital signing)。此機制意味著部署終端者在安全責任鏈中擔當著重要的一環。終端製造時的安全密鑰注入 (key injection) 進一步確保僅限於合法用戶進行訪問。
每個軟件應用程式都經過全面的安全審核,以確保最終沒有惡意軟件或病毒出現在 PAX (百富) 終端。 PAX (百富) 開發的所有軟件由兩個獨立的團隊審核,並使用我們的 AppScan 服務進行驗證,以檢查安全漏洞。
PAXSTORE 建基於 Amazon Web Services (AWS) 雲端架構上,AWS 雲的前端使用動態(而不是靜態)以及一系列不同的 IP 地址,帶來多重的 安全防護,如訪問和基礎建設控制。可以創建PAXSTORE 安全的獨立區塊 (instances),並授權用戶全面控制應用程式的部署。
PAX (百富) 提供一個關鍵的自選安全功能 - 定位服務 (geo-location),精準地定位每個終端的所在位置,每當終端出現在約定的安全邊界外,相關功能會提供實時通知和進行自動封鎖。百富提供的定位服務由兩家具信譽的服務供應商管理,一家位於北美,另一家位於中國,客戶可以選用他們意向的供應商。
對於支付終端上支援多種應用程式(支付和非支付類別)以及 Android 操作系統提供的新功能,這使我們必須提升對安全性的理解,以識別合法使用。智能支付終端的操作方式有所不同,並不代表應該存在安全隱患。例如,Android 比傳統終端操作系統採集的數據元 (data elements) 更多,並與 PAXSTORE 共享這些數據元。因此,數據包的大小將取決於多種標準,包括型號、應用程式版本、處理器協議 (processor protocol)、終端活動、無線網絡性能,以及合法的終端管理和預防性維護。
於 2021 年底,Palo Alto Networks Inc. 的 Unit 42 對 PAX (百富) 的解決方案進行詳細獨立安全審查,證實他們審查的網絡流量活動中從未發現任何惡意流量和事件。
漏洞管理
PAX (百富) 執行全面漏洞管理程序,遵循 ISO/IEC 30111 和 ISO/IEC 29147 國際標準,並已建立四個階段的工作流程:漏洞識別、驗證、修復和披露。
當中工作包括監控新聞和安全網站、公共已知的漏洞數據庫,以及與專業的數據安全團隊合作。此外,我們還積極監控使用的開放源碼 (open source) 和第三方庫 (third-party libraries) 相關的信息和關注點。
漏洞驗證工作包括調查從百富漏洞披露計劃 PAX Vulnerability Disclosure program 中合作夥伴和客戶提出的報告,或在產品開發階段發現的報告。對所有生命週期並未結束 (non-End of Life) 產品的報告,PAX (百富) 會即時進行評估和修復。信息披露將在新聞通訊和客戶支援後台上發佈,以提供有關操作建議和合適的軟件更新信息。
此外,我們透過內部和外部資源持續對產品和服務進行滲透測試,目的是在漏洞成為安全問題之前已被識別和消除。PAX (百富) 不斷從滲透和漏洞測試結果中學習,相應地更新我們的流程和設計,以確保 PAX (百富) 產品提供最高安全級別的防護。
私隱保護
PAX (百富) 高度重視私隱保護,遵循私隱管理框架,採取將私隱納入設計 (privacy by design) 、第三方保護、數據主體請求 (data subject requests)、影響評估和事件應對程序等事項。一如以往,我們確保產品符合監管要求,包括歐盟 GDPR、巴西 LGPD 和新加坡 PDPA。
我們的私隱保護工作涵蓋軟件產品、終端,以及透過數據分析為客戶提供商業智能的 PAXSTORE 和 VAS 服務。
PAX (百富) 理念
PAX (百富) 以安全作為企業的核心理念,並應用於在硬件和軟件產品、增值服務、內部流程和人員管理方面。我們深明自身肩付的責任,因此從一開始就將安全性納入到我們的產品設計中,貫徹全面落實安全工作。每年度,我們進行安全審核,不斷提升安全防護水平。
我們的全球客戶網絡也對 PCI DSS 肩負著安全義務和責任。他們必須對應用程式進行查核和電子簽署,並具備部署新一代 Android SmartPOS 解決方案所需的必要安全專業知識。
我們提供安全的應用市場 (App marketplace),並通過電子簽署確保只有經過驗證的應用程式方可安裝到終端上。PAX (百富) 最近取得的 PCI DSS 認證進一步肯定我們在全球部署的 PAXSTORE 安全性。
漏洞管理、滲透測試和私隱管理是集團安全體系建設的重點,我們將繼續在此領域投入更多資源。
PAX (百富) 品牌是高品質和高安全性的代名詞。至今,全球使用 PAX (百富) 產品的客戶從未發現任何支付交易安全問題,沒有任何支付數據洩露,PAX (百富) 沒有任何認證被撤銷,而在網絡流量活動中也沒有發現惡意流量或事件。
按此 閱讀原文 (英文)