Kosketusnäyttö on olennainen osa jokaista nykyaikaista maksujärjestelmää ja myyntipisteen POS-päätettä (point of sale terminal). Sen tietoturvaan on kiinnitettävä erityistä huomiota.

Kosketusnäyttö parantaa huomattavasti maksupäätteen esteettistä vetovoimaa ja tarjoaa samalla modernin ohjaustavan, joka on tuttu kaikille älypuhelimien, tablettien ja kosketusnäytöllisten kannettavien käyttäjille.

Eduistaan huolimatta kosketusnäytöt kuitenkin lisäävät tietoturvauhkia määrätietoisille korttivarkauksille, jotka tulisi estää. Maksukorttialan PCI DSS -tietoturvastandardin (Payment Card Industry Data Security Standard) noudattamisesta tulee avainasia turvallisten laitteiden ja ohjelmistojen suunnittelussa. Sen avulla asiakkaita voidaan auttaa rakentamaan kestäviä ja suojattuja maksujärjestelmiä tinkimättä käytettävyydestä tai hyvännäköisestä muotoilusta.

Tässä artikkelissa käsitellään POS-maksujärjestelmien kehitystä, niihin liitettyjen kosketusnäyttöjen tietoturvaa ja haavoittuvuuksia sekä kriteerejä, jotka kaikkien kosketusnäyttöön perustuvien päätteiden on täytettävä PCI-sertifikaation läpäisemiseksi.

POS-päätteiden kosketusnäytöt

Kuluttajat ympäri maailmaa ovat jo vuosikymmeniä maksaneet tavaroita ja palveluja luotto- ja pankkikorteilla POS-päätteiden avulla. Päätteisiin on vähitellen lisätty pieniä edullisia näyttöruutuja, joista kauppiaat ja käyttäjät ovat saaneet entistä enemmän palautetta maksutapahtumista.

Samalla näytön sivuille tai alapuolelle lisättiin painikkeita, jotka kohdistettiin näytön virtuaalinäppäinten kanssa, jotta käyttäjä voi valita maksamiselle vaihtoehtoja kuten korttityypin (debit tai credit) sekä määrätä mahdollisen juomarahan ja tulostaa kuitit. Käyttäjien korttinumerot ja PIN-koodit syötettiin mekaanisella näppäimistöllä. Tämä kuvaa useimpia POS-päätteitä, joita edelleenkin toimitetaan kauppiaille.

Maksualan uusin trendi on korvata pienet yksiväriset perusnäytöt ja mekaaniset painikkeet suuremmilla värillisillä kosketusnäytöillä. Nämä värinäytöt ovat houkuttelevampia ja miellyttävät sekä kauppiaita että kuluttajia. Kosketusnäyttöjen avulla POS-päätteiden toimittajat voivat myös poistaa laitteista sivuille ja alapuolelle sijoitetut älypainikkeet sekä mekaaniset näppäimistöt.

Tämä parantaa järjestelmän luotettavuutta eliminoimalla ajan myötä kuluvat liikkuvat osat (näppäinten sisäiset kytkinmekanismit ja niiden pinnoille tehdyt painatukset). Kosketusnäyttö estää myös veden pääsyn päätteen sisään näppäinten ympäriltä. Värillinen kosketusnäyttö auttaa myös kauppiaita brändäys- ja mainontatyössä – suuntaus on yhä suurempikokoisiin kosketusnäyttöihin kaikenlaisissa maksupäätteissä.

Kuva 1. Esimerkkejä maksupäätteiden kosketusnäytöistä.

Toinen trendi, jossa maksujärjestelmiin liitetään entistä suurempia kosketusnäyttöjä, on elektronisten kassakoneiden (ECR) yleistyminen. Niitä liitetään täydentämään POS-päätteitä. ECR-laitteita (electronic cash register) käytetään perinteisissä vähittäiskaupan monilinjaisissa ympäristöissä sekä itsepalvelukassoilla, joiden suosio kasvaa jatkuvasti.

ECR-järjestelmät auttavat vähittäismyymälöitä seuraamaan myyntiä, minimoimaan virheitä, seuraamaan varastotietoja ja kirjaamaan samalla kaikki maksutapahtumat järjestelmiin. ECR-kosketusnäytöt tarjoavat paljon joustavuutta syötettäessä tietoja: tuotteen tyyppi ja määrä, maksuvaihtoehdot ja lisäostokset kuten kassit ostoksille. ECR ei yleensä ole turvallinen maksulaite, joten se yhdistetään tavallisesti POS-päätteeseen, joka käsittelee korteilla, puhelimilla ja älykelloilla suoritettavat maksut.

Ajan myötä ECR- ja POS-päätteet ovat alkaneet sulautua yhteen kosketusnäyttöiseksi turvalliseksi maksujärjestelmäksi. 3,5 – 42 tuuman kosketusnäytöistä on jo tullut olennainen osa nykyajan ECR- ja POS-päätteitä. Käyttäjävuorovaikutus, kontaktittoman NFC-tekniikan tulo, älypuhelinliitettävyys ja eri ominaisuuksien yhdistäminen samaan järjestelmään johtavat kiinteästi asennettujen tablettien/kioskien sekä akkukäyttöisten mobiilien POS-päätteiden nousuun erillisten ECR-POS-järjestelmien sijaan.

Kannettavien POS-päätteiden avulla kauppiaat voivat kerätä maksuja missä tahansa, sekä myymälän sisällä että ulkopuolella. Nopeasti kasvava, helppokäyttöisyyttä ja mukavuutta edistävä lähimaksamisen trendi on johtanut valvomattomien ja itsepalveluun perustuvien julkisten maksupäätteiden nousuun myyntiautomaateissa, pysäköintimittareissa, polttoaineautomaateissa ja sähköautojen latausasemissa. Suuremmat kosketusnäytöt antavat kauppiaille mahdollisuuden näyttää entistä enemmän tietoja ostetuista tuotteista, mutta ne auttavat myös saavuttamaan lisätuloja tuotekampanjoiden ja mainonnan kautta.

POS-turvallisuus ja PCI-yhteensopivuus

Käyttäjätietojen kuten tilinumeron, luottokortin tunnistetietojen (numero, viimeinen voimassaolopäivä, CVV) ja käyttäjän PIN-koodin turvaamisesta on tullut korkein prioriteetti maksujärjestelmiä suunniteltaessa. Pyyhkäistävien magneettiraitakorttien tapahtumissa on luontaisia tietoturva-aukkoja ja lisäksi ne ovat alttiita virhetoiminnoille, koska raidat kuluvat ajan myötä ja joutuvat alttiiksi ulkoisille magneettikentille.

Turvallisempia vaihtoehtoja ovat Dip (siru + PIN) ja Tap (lähimaksu NFC:n avulla). Näitä menetelmiä vielä täydentävät vaihtoehtoiset todennusmekanismit, kuten QR-koodi (paperilla tai puhelimessa) ja biologiset tunnisteet (sormenjälki, kasvot, silmät). Kosketusnäyttöihin siirtymisellä on myös uusi erityinen rooli PIN-koodin syöttämisen turvallisuudessa, kun niillä korvataan mekaaniset näppäimistöt.

Kuva 2. Kahden prosessorin arkkitehtuuri POS-järjestelmille.

Kosketusdatan/PIN-koodin siirto on altis rikollisten väliinpääsylle (man in the middle) kosketusanturin kerrosten kautta tai jopa kosketus-IC:n ja suojatun isäntäprosessorin välisen väylän kautta, kuten kuvasta 2 nähdään. Kosketusohjaimen laiteohjelmisto on altis hakkeroinnille, jonka seurauksena siihen voidaan sijoittaa takaovi tietojen poimintaa varten. Kosketusohjaimen rakenne on altis modifioinnille, joka voi avata haavoittuvuuksia sellaisissakin järjestelmissä, jotka ovat aiemmin jo läpäisseet suojausten sertifiointitestit.

Lisäksi ulkokäyttöön tarkoitettujen kosketusnäyttöjen suunnitteluvaatimuksiin kuuluu teknologia, joka kykenee torjumaan äärimmäistä ympäristön kohinaa, aktiivista NFC-häirintää ja voimakkaita säteilyemissioita hyvin laajalla lämpötila-alueella. Muita vaatimuksia ovat paksujen käsineiden tunnistus, äärimmäisen kosteuden sieto sekä kyky sietää sähköä johtavia puhdistusnesteitä, jotka muuten saattaisivat aiheuttaa virheellisiä tapahtumia kosketusnäytössä.

Todentamattomien kokoonpano- ja ohjelmistopäivitysten haavoittuvuudet voivat myös johtaa palvelunestohyökkäyksiin yhdessä ransomware-hyökkäysten kanssa, jolloin koko verkon käyttö voi estyä, jos päätelaitteet on kytketty keskuspäivitysjärjestelmään. Tämä on tilanne esimerkiksi sähköautojen latausverkoissa, joihin on integroitu maksupäätteitä. Tämä tuottaa sekä lisähaasteita että uusia mahdollisuuksia kosketusnäytöllisten maksujärjestelmien kehittäjille.

PCI-tietoturva keskeisellä sijalla

Suurimpien maksukorttimerkkien (Visa, MasterCard, American Express, Discover, JCB) luoma PCI SSC -yhteisö (Payment Card Industry Security Standards Council) hallinnoi kehittämäänsä maailmanlaajuisesti tunnettua PCI DSS -turvastandardia, jonka tarkoituksena on suojata kortinhaltijoiden tietoja. Maksubrändeillä ja laitteiden käyttöönottajilla on vastuu PCI-yhteensopivien tuotteiden luomisesta käyttäjätietojen tallennuksen, siirron ja käsittelyn turvaamiseksi. Maksusovelluksen tyypistä riippuen PCI-yhteensopivuuden vaatimukset voivat vaihdella, mikä voi vaikuttaa laitteiden, ohjelmistojen ja järjestelmien suunnitteluun.

Useimmat POS-päätelaitteiden toimittajat noudattavat nykyään PCI-tietoturvastandardeja. PCI-suojausmekanismi pyrkii eristämään PIN-koodin PAN-koodista ja muista kortinhaltijan tiedoista. Näin varmistetaan PIN-koodin syöttämisen turvallisuus ja eheys ohjelmistosovelluksen kautta. Tämä edellyttää ohjelmistojen aktiivista valvontaa sekä käyttäjätietojen salausta suojatulla avaimella. Pääsynvalvonta on aina toteutettava laitteen käyttäjän tai omistajan todentamiseksi. Vikahälytyksiä suositellaan varoittamaan mahdollisesta peukaloinnista, hakkeroinnista tai toimintahäiriöistä.

Jos maksujärjestelmässä käytetään erillistä maksumoduulia, joka on ennalta sertifioitu PCI DSS:n mukaisesti turvallisia korttitapahtumia varten mekaanisella näppäimistöllä varustetun kortinlukijan avulla, kosketusnäyttö ei siirrä suojattua dataa tietoliikennelinjoilla. Kosketusnäytön PTS-sertifikaatti (PIN Transaction Security) tarvitaan vain silloin, kun syötetään luottokorttidataa tai PIN-kooditietoja kosketusnäytön kautta (PoG, PIN on Glass).

Tässä tapauksessa kosketusohjaimen tiedonsiirtoliittymä on suojattava tai kosketusviestin tiedot on salattava. Salaus tarjoaa POS-päätteiden toimittajille mahdollisuuden siirtää kosketusohjaimen IC-piiri kustannustehokkaaseen yksikerroksiseen FPC-piiriin (Flex Printed Circuit), joka on liitetty kosketusanturiin. Tämän rakenteen avulla kosketusanturin toimittaja voi suunnitella, testata ja toimittaa koko kosketusjärjestelmän POS-päätteen toimittajalle, mikä alentaa kustannuksia ja yksinkertaistaa toimitusketjua.

PCI-sertifioinnin yleiset vaatimukset

Kosketusnäyttöjen PCI-yhteensopivuuden ohjeita säätelee PCI-PTS. PIN-tapahtumien turvallisuusvaatimukset voidaan yleisesti kiteyttää seuraavasti:

• Järjestelmään on sisäänrakennettava toimintoja, jotka katkaisevat PIN-tapahtuman fyysisen tai ohjelmallisen peukaloinnin sattuessa
• Luottamukselliset käyttäjätiedot on siirrettävä (aina salattuna) ja niitä tulee säilyttää vain niin kauan kuin on tarpeen
• Ohjelmiston päivityksen tai käynnistyksen tulee tapahtua vain, jos ohjelmiston eheys voidaan varmistaa
• Vain todennetut käyttäjät voivat päivittää ohjelmiston
• Avain pitää säilyttää järjestelmän suojatulla alueella ja luoda suojattuja mekanismeja turvaamaan avainten ensimmäistä latausta tuotannossa
• Laitteen tulee suorittaa itsetestaus ja raportoida poikkeavuuksista

Uusimpien PCI-vaatimusten helpottamiseksi seuraavat ominaisuudet voidaan integroida kosketusohjattaviin tuotteisiin järjestelmätasolla: 

• Uudelleenkäynnistys 24 tunnin välein
• 15 minuutin aikakatkaisu manuaalisessa avaimen syötössä
• AES-PIN-salaus (Advanced Encryption Standard) ISO-formaatilla 4
• Salausavainten tiukempi käyttötapa aiottuun tarkoitukseen, jolloin asiakkaan ja valmistajan avainhierarkiat erotetaan toisistaan
• PAN-salaus
• TR-34-RKL-protokolla (Remote Key Loading)

PCI-laboratorio validoi kosketusnäytön varmistaakseen, että se täyttää PTS-standardin turvallisuusvaatimukset. Validointi sisältää seuraavat testit 

• PIN-koodin syöttövaiheen suojauksen haavoittuvuuden arviointi hakkeroinnin varalta
• Arkaluontoisiin tietoihin peukaloimalla pääsyn arviointi ja järjestelmässä käytetyn vastemekanismin tutkiminen
• Tuotantovaiheen avaintenhallinnan tekniikoiden ja dokumentoinnin validointi

Asian ytimeen nopeasti

Maksupäätteiden suunnittelu vaatii osaamista kokonaisen järjestelmäratkaisun toteuttamisesta sekä vankat turvastandardit. Esimerkiksi Microchipin maXTouch-ohjainvalikoima voi ratkaista monimutkaisiakin järjestelmätason ongelmia integroidun analogisen etupään ja patentoidun laiteohjelmiston avulla. Ratkaisu voidaan konfiguroida turvalliseen salattuun viestintään mille tahansa loppukäyttäjän sovellukselle.

Microchipin kosketusohjaimiin erikoistunut asiantuntijaryhmä muodostaa maksuratkaisuille omistautuneen tukitiimin, joka voi ohjata asiakkaita järjestelmätason suunnittelussa sekä tukea heitä ohjelmiston ja ohjaimen integrointiprosessissa, tuotetestauksessa ja virheenkorjauksessa. Ryhmän kokemus maailman johtavien maksupäätetoimittajien ja sertifiointilaboratorioiden kanssa työskentelystä takaa, että asiakkaat voivat saada kaikkea tarvitsemaansa opastusta koko tärkeän sertifiointiprosessin läpiviemiseen.

Lisätietoja täällä.