Maksupäätteen porsaanreikä on myös maksupäätekehittäjän vastuulla - Poplatekin maksupäätteiden manipulointi käytännössä mahdotonta

Jos maksupäätteessä on haavoittuvuus, väärinkäytöksiltä on vaikea välttyä. Tämä todettiin Itä-Suomessa, jossa paljastui pääsiäisenä ”maksupäätteen manipuloinnin” rikossarja. Maksupäätteen offline-tilan ominaisuutta hyödyntäen huijariporukka onnistui tekemään eri liikkeissä liki 30 000 euron katteettomat ostokset. Poplatekin Product Owner Janne Räsänen kehottaa kauppiaiden ohella myös maksupäätekehittäjiä valppauteen.

Varas.jpg

 

–      Todennäköisesti väärinkäytöksessä on osattu yhdistää kaksi tekijää. Kauppias on ensin hyväksynyt maksun ilman PIN-koodin syöttöä ja lisäksi huijarilla on ollut tiedossaan keino saada maksupääte ohittamaan online-varmennus. Tarkasta tekotavasta ei ole tietoa, mutta päätteessä on voinut esimerkiksi olla mahdollisuus siirtyä manuaalisesti online-tilasta offline-tilaan, toteaa Räsänen.

Poliisi on Itä-Suomen tapauksen myötä kehottanut kauppiaita valppauteen maksutapahtumien aikana. Räsäsen mukaan kauppiaiden on myös tärkeää olla tietoisia oman maksupäätteen toiminnallisuuksista. Valtaosalla maksupäätteitä voi vastaanottaa maksuja offline-tilassa, mikä palvelee kauppiasta silloin kun verkkoyhteydet eivät toimi maksupäätetoimittajasta riippumattomasta syystä. Koska offline-tilassa maksupääte ei varmenna kortin katetta, rajaavat maksupäätetoimittajat ja korttiyhtiöt sen käyttöä omien riskinhallintakeinojensa pohjalta. Poplatekin maksupäätteiden oletusarvona on online-varmistus. Kauppiaan pyynnöstä offline-hyväksyntä voidaan konfiguroida päätteeseen, mutta sen käytön turvallisuus on huomioitu rajoittamalla muun muassa offline-tilan käyttöaikaa, maksumääriä ja yksittäisen maksun summaa.

–      Poplatekin maksupäätteessä kauppias ei voi itse valita offline-tilan käyttöä saati pakottaa manuaalisesti maksun hyväksyntää päätteestä käsin. On tärkeää, että varmennus jätetään aina maksupäätteen tehtäväksi. Tällöin pääte säätelee itse offline-tilaan siirtymistä ja osaa asetusten pohjalta hylätä poikkeavat maksut,    summaa Räsänen.

Kauppias, suosi PIN-varmennusta

Maksupäätteen manipulointi on rikoksena Suomessa melko harvinainen. Räsäsen tiedossa ei ole, että Poplatekin maksupäätteitä olisi ikinä yritetty manipuloida. Korttihuijaukset, joissa huijari on saanut magneettijuovan kopioinnilla korttitiedot haltuunsa, ovat kuitenkin valitettavan yleisiä. Väärinkäytösten ehkäisemiseksi on tärkeää pitää mielessä maksamisen ja maksupäätteiden hallinnan turvasäännöt. Perussääntö on, että maksupäätteissä on kaksi menetelmää, joilla siru-kortin haltija voidaan tunnistaa, PIN-koodi ja allekirjoitus. Suurimmalla osalla korteista PIN-koodi on ensisijainen tunnistusmenetelmä.

–      PIN-koodin ohitus on aina kauppiaan vastuulla, emmekä suosittele kauppiaita ohittamaan PIN-koodia koskaan. Poplatekin kannettavissa erillispäätteissä se ei edes ole mahdollista, sanoo Räsänen.

Räsänen mukaan asiakas saattaa pyytää kauppiasta ohittamaan PIN-koodin esimerkiksi, jos hän ei muista tunnustaan tai kortin siru on rikki. Tällöin kauppias voi oman harkintansa mukaan käskyttää maksupäätteen käyttämään seuraavaa kortin hyväksymää kortinhaltijan tunnistusmenetelmää – yleensä allekirjoitusta. Poplatekin maksupäätteissä tämä toiminto on mahdollinen kassajärjestelmään integroiduissa maksupäätteissä. Tällöin maksamisen turvallisuus ja kortin kate varmennetaan online-yhteydellä.

–      Kauppiaan vastuulle jää tarkistaa, että kuitin allekirjoitus vastaa kortin allekirjoitusta, muistuttaa Räsänen.

Turvallinen maksupääte tukee liiketoimintaa

Räsäsen mukaan manipulointitapaus on itäsuomalaisten kauppiaiden kannalta harmillinen. Vastuu PIN-koodin ohituksesta on kauppiailla, mutta Räsänen peräänkuuluttaa myös maksupäätekehittäjien vastuuta.

–      Kauppiaiden on hyvä olla tietoinen, mikäli omassa maksupäätteessä on PIN-koodin ja online-varmennuksen ohitusmahdollisuuksia kortinhaltijan tunnistuksen varmennuksessa. Maksupäätekehittäjille viesti on myös selvä. Eli miten huomioida jatkossakin se, ettei tällaisia ominaisuuksia ole turhaan maksupäätteissä käytettävissä, linjaa Räsänen.

Maksupäätteen tulee tukea kauppiaan liiketoimintaa turvallisuudesta tinkimättä. Perusedellytys on, että käytetyt maksupäätteet ja ohjelmistot ovat kansainvälisten standardien hyväksymät. Poplatekin kaikki maksupäätteet täyttävät alan turvallisuusstandardit sekä korttiyhtiöiden asettamat vaatimukset. Ohjelmistoja ylläpidetään aktiivisesti ja mahdolliset tiedossa olevat haavoittuvuudet korjataan ohjelmistopäivityksillä.

PCI-sertifikaatit takaavat, että maksupääte täyttää alan turvallisuusvaatimukset. Lisäksi maksupäätteen toimittajan täytyy huomioida, että käyttötilanteet on suunniteltu turvallista maksamista ajatellen, koko järjestelmän tasolta aina ohjelmistojen ja PIN-syötön turvallisuuteen asti.

 


Lue lisää Poplatekin maksupäätteiden turvallisuudesta ja PCI-DSS -standardista. Mikäli maksupäätteessäsi on edellä kuvatun kaltaisia haavoittuvuuksia, voi olla tarpeen harkita maksupäätteen päivitystä – Poplatekin maksupäätteen hankinnasta saat lisätietoja täältä: https://www.poplatek.fi/payments/terminals/