Na, teoriškai skamba labai grėsmingai, bet realybėje padaryti yra labai ir labai sudėtinga, nes yra toks PCI DSS (Payment Card Industry Data Security Standart). Jo reikalavimai gana griežti, VISA, Mastercard ir kt. leidėjai verčia bankus laikytis šių standartų, savo ruožtu bankai (norėdami praeiti sertifikaciją) spaudžia pardavėjus laikytis šių standartų. O PCI DSS numato įvairias saugumo priemones, pvz., PIN kodų nuskaitymo įrenginys (PINpad, arba kitaip - klaviatūra) turi būti skirtas _TIK_ PIN kodų nuskaitymui ir niekam daugiau. Savo ruožtu, PIN PAD yra savotiškas mažas kompiuteriukas, kuris (kaip suprantu) netgi POS hardware kūrėjui yra savotiškas ”back box” (jis turi tik savo atskirą IP adresą, tinklu ”bendrauja” tik su kortelių autorizavimo centru (be abejo - koduotu protokolu), o su pačiu POS terminalu bendravimas vyksta tik vienu klausimu ”POS: klientas nori mokėti kortele XXXXXXX 65,10 Lt. Ar autorizuoti?”. PINpad nuskaito įvedamą PIN kodą, susisiekia su banku ir duoda atsakymą - taip arba ne (jei ne - kartais bankai grąžina sumą, už kiek galima atsiskaityti, bet tai daro ne visi bankai). Taip kad PIN kodų nuskaitymas ir susiejimas su kortelių numeriais realybėje yra labai problematiškas.

Taip pat yra kitų reikalavimų, pvz., pageidavimas, kad kortelių trafikas nebūtų maišomas su kitais duomenimis. Šiais laikais, kai yra visokie MPLS tai įgyvendinti nėra taip jau brangu. Jei jau atskyrimas neišvengiamas, tada priėjimas prie visų resursų, veikiančių tame pačiame tinkle kaip ir PINpad turi būti autorizuojamas asmeniškai (t.y. negali būti vienas login/slaptažodis keliem žmonėm, būtina tiksliai žinoti kas toks jungėsi).

Na ir yra kitų ”gyvenimiškų” kliūčių, kaip kad pvz., POS dažniausiai kuria viena kompanija, diegia - kita, įmonės tinklus prižiūri dar kita kompanija. Kad vyktų bendravimas šios trys kompanijos turi suderinti kokius duomenis kur leisti perdavinėti (firewal’ai, ACL ir t.t.). Tad netgi nuskaičius kortelės duomenis POS terminale tampa sudėtinga juos pasiimti (reikia leisti trafiką per firewal’us ir pan.) - t.y. reikia turėti po ”blogiuką” visose kompanijose, dar negana to jie turi dirbti prie to paties projekto...

P.S. Kaip tik dabar darbe dirbu su naujų POS diegimu ir tenka susidurti su PCI DSS, galbūt rudenį ar 2011 žiemą turėsiu ką įdomaus papasakoti per kokią 0f konferenciją ;)

Dėkui už komentarą, su PCI DSS kažkiek esam pažįstami, standartas tikrai naudingas ir pastaruoju metu vis aktyviau stumiamas Merchant`ų lygmeniu. Būtent todėl tekste rėmiausi mintimi, kad PINpad’as ar skaitytuvas gali būti užbackdoorinti hardwariniu lygmeniu, kur jau firewall’ai nepadės, nes duomenys plauks ne bendram traffice, o atskiru covert channel`iu (radijo ryšiu ar pan.). Tad čia užteks pabūti darbuotoju toje įmonėje, kuri montuoja įrangą. Aišku nežinojau, kad PINpad’as nėra tiesiog buka klaviatūra ant laido :) Na tikrai bus apie ką padiskutuoti per 0f kadanors ;]

http://kommersant.ru/doc.aspx?DocsID=1301327

http://www.telegraph.co.uk/news/uknews/law-and-order/3173346/Chip-and-pin-scam-has-netted-millions-from-British-shoppers.html