Zdaniem Avivah Litan z Gartnera, większość terminali typu POS (Point Of Sale - punkt sprzedaży) przechowuje przez pewien czas dane odczytane z kart płatniczych. Jeśli więc urządzenie takie trafi do osoby o odpowiednich umiejętnościach, będzie ona w stanie odtworzyć dane z karty i, przy pomocy odpowiedniego sprzętu i oprogramowania, wykonać jej replikę. Przestępcy mogą w ten sposób zdobywać doskonałe kopie kart, o wiele lepiej sprawdzające się podczas oszukańczych transakcji niż karty stworzone na podstawie danych przechwyconych w Internecie. "Wygląda na to, że płacenie kartą na stacji benzynowej jest bardziej niebezpieczne, niż uiszczanie płatności online. Te dane po prostu siedzą sobie w pamięci urządzenia - często nie wiedzą o tym nawet osoby obsługujące POS-y" - mówiła Avivah Litan podczas swojego wystąpienia na konferencji Gartner Identity and Access Management Summit.

Ale pamięć terminali to tylko jedno z potencjalnych źródeł danych dla przestępców - okazuje się, że w wielu sklepów urządzenia typu POS komunikują się z systemem firmy płatniczej za pośrednictwem sieci WiFi, zabezpieczonej jedynie standardem WEP, który już dawno uznany został przez ekspertów za nieodpowiedni do przesyłania poufnych informacji (z uwagi na łatwość jego złamania). Często więc zdarza się, że przestępcy parkują przed sklepem i korzystając z komputera przenośnego z kartą WiFi przechwytują numery kart, którymi płacą klienci.

Przypadki wykradania danych przez Internet lub sieć bezprzewodową stanowią jednak mniejszość - na 160 incydentów, zgłoszonych do pewnej dużej firmy obsługującej płatności kartą, jedynie 32 związane były z siecią. W pozostałych 128 przypadkach przestępca uzyskał fizyczny dostęp do karty płatniczej lub terminala POS, co pozwoliło mu na skopiowanie danych z karty.

Dlatego też większość dużych firm z tego sektora - m.in. Visa oraz Mastercard - zachęca swoich partnerów (czyli firmy korzystające z terminali) do wdrożenia standardu PCI (Payment Card Industry) Data Security Standard. Jest to zestaw praktyk, które mają utrudnić życie przestępcom - przewiduje on m.in. takie konfigurowanie POS-ów, by nie magazynowały danych dłużej, niż jest to niezbędne do przeprowadzenia transakcji.

Przyszłość nie wygląda jednak różowo - z prognoz Gartnera wynika, że w przyszłym roku celem większości ataków skierowanych przeciwko sklepom i punktom usługowym będą właśnie terminale POS. Co więcej, do 2009 r. dopiero ok. 30% wszystkich urządzeń tego typu będzie zgodne z standardem PCI DSS.