La mayoría de las violaciones de datos relacionadas con la información de tarjetas de pago (un gran número en los últimos dos años) son producto de la falta de implementación de medidas de seguridad.

Casi todas las violaciones implican la explotación de vulnerabilidades muy simples y muchos de los comerciantes afectados tienen programas de seguridad aún inmaduros, señalaron Charles Henderson de Trustwave y David Byrne de Bishop Fox en su presentación en la Conferencia RSA 2015.

"Las violaciones futuras probablemente aprovecharán vulnerabilidades más complejas que la simple seguridad de los comercios", postulan, mientras tanto se han encontrado cosas como:

• Utilizar la misma contraseña de administrador durante casi una década o que no se utilice contraseña alguna.
• No utilizar un antivirus actualizado con el que fácilmente se detectaría malware del tipo memory-scripting.
• Servidores configurados para mantenimiento remoto con herramientas como pcAnywhere.
• Utilizar las computadoras con entorno de datos de titulares de tarjetas para navegar por Internet, descargar torrents o jugar.
• Falta de seguridad física que permita a propios y extraños modificar los dispositivos de punto de venta y sus sistemas añadiendo skimmers.
• No cambiar la contraseña predeterminada en los dispositivos. En un caso específico, un proveedor importante distribuía la misma contraseña predeterminada para todos sus productos desde 1990, esta contraseña fue documentada públicamente en un FAQ en línea, junto con los nombres de las empresas que utilizan estos dispositivos.
• Uso inapropiado de claves de cifrado simétrico.
• Utilizar sólo contraseña como medida de seguridad para dispositivos finales.
• No contar con cifrado de unidad.
• Uso de un conjunto de credenciales de autenticación para toda la empresa o ningún tipo de autenticación.
• Ejecución de dispositivos en una cuenta de administrador.
• Permitir el uso de programas no autorizados.
• Fallar al autenticar los dispositivos finales, no cifrar la comunicación, etc.

Por último, se ofrecieron algunos consejos sobre cómo implementar un buen programa de seguridad de punto de venta y que incluye: la garantía de que no hay datos de tarjetas de pago que se almacenen en un registro, hacer cumplir las políticas de autenticación, que no se ejecute como "administrador" la interfaz del usuario en el punto de venta, mantener los AV actualizados y en constante descarga de nuevas firmas.

Además de esto, se habló de evaluar la seguridad de la comunicación de datos, servidores de prueba de vulnerabilidades de aplicaciones, bloquear el entorno de ejecución de cliente, utilizar la autenticación de clave basada en certificados e implementar cifrado de extremo a extremo con claves asimétricas.