Zapłacisz kartą na cudzym smartfonie? Analiza terminali na telefonie

dodał 26 listopada 2018 o 09:12 w kategorii Info, Mobilne  z tagami:
Zapłacisz kartą na cudzym smartfonie? Analiza terminali na telefonie

Pod względem technicznym smartfon spełnia wszystkie wymagania, by móc realizować funkcjonalność terminala płatniczego (mPOS – Mobile Point-of-Sale). Posiada wszystkie niezbędne interfejsy komunikacyjne, wystarczy użyć specjalnej aplikacji.

Trzeba jednak pamiętać, że nowe rozwiązania wymagają tzw. „wygrzania technologii”, czyli zweryfikowania wszystkich potencjalnych problemów i zagrożeń, jakie ze sobą niosą. Krótki czas „od pomysłu do realizacji” może skutkować ujawnianiem nowych podatności czy błędów implementacji.

Stosując bezpośrednio smartfon jako terminal, nie mamy pewności, czy PIN nie zostanie zapamiętany w urządzeniu w trakcie przetwarzania bądź też przechwycony przez inną aplikację. Między innymi z tego powodu pilotażowe rozwiązania terminali mobilnych realizowały transakcje o niskich kwotach bez konieczności potwierdzania PIN-em (realizacja była zbliżona do dobrze znanych płatności zbliżeniowych). Jednak uzyskanie pełnej funkcjonalności terminala i płatność dowolnej wysokości kwoty wymagają wprowadzania numeru PIN. Technicznie nie ma żadnego problemu, by wprowadzać numer PIN bezpośrednio na smartfonie, ale pojawiają się wątpliwości dotyczące bezpieczeństwa takiego rozwiązania. Projektanci terminalów POS przez wiele lat dopasowali funkcje oraz zabezpieczenia do wysokich wymagań rynku (standard bezpieczeństwa dla płatności kartowych – PCI  DSS). Standard ten ma na celu ochronę danych klientów i ujednolicenie minimalnych wymagań bezpieczeństwa (infrastruktura sieciowa, urządzenia oraz procedury) dla wszystkich podmiotów biorących udział w obsłudze płatności kartą. To właśnie te doświadczenia i wyznaczniki stały się podstawą wymagań implementacji terminali w smartfonach.

Pomysły są dobre, jednak smartfony są bardzo uniwersalnymi urządzeniami, a to powoduje, że niosą bardzo wiele zagrożeń i nie jest łatwo zapewnić ich wysoki poziom bezpieczeństwa. Stosunkowo łatwo jest o infekcję urządzenia typowym malware’em. Równie łatwo można zainstalować aplikację, która na pozór jest niegroźna, jednak ma zbyt wysokie uprawnienia i może śledzić działania użytkowników lub przechwytywać wrażliwe informacje. Bankomaty lub terminale płatnicze są zweryfikowane i certyfikowane, by dawać pewność poufności całej transakcji, a w szczególności chronić proces czytania karty i wprowadzania numeru PIN. Z punktu widzenia standardu PCI DSS stosowanie samego smartfonu jest dopuszczalne – mamy do czynienia z urządzeniem kategorii Software-Based PIN Entry. Jednak nadal istnieje kilka czynników, które mogą podważać bezpieczeństwo tego procesu, w związku z czym poszukiwano rozwiązania umożliwiającego wypełnienie stawianych wysokich wymagań.

źródło: https://sumup.pl

Obecne rozwiązania mPOS składają się z dwóch elementów: jednym z nich jest oczywiście sam smartfon, drugim – specjalny moduł zawierający czytnik kart oraz klawiaturę do wprowadzania numeru PIN (COTS zawierający Secure Card Reader PIN). Smartfon natomiast realizuje logikę biznesową płatności oraz komunikację z operatorem usługi. Rozwiązania takie uzyskały zgodność ze standardem PCI DSS.

Bezpieczeństwo terminali mPOS skupia się na pięciu podstawowych wymaganiach:

  1. Izolacja numeru PIN od innych danych konta.
  2. Zapewnienie bezpieczeństwa oprogramowania i integralności aplikacji na urządzeniu do wprowadzania kodu PIN (COTS – Commercial  Off-The-Shelf).
  3. Aktywne monitorowanie usługi w celu złagodzenia potencjalnych zagrożeń dla środowiska płatniczego w telefonie lub tablecie.
  4. Użycie bezpiecznego czytnika kart (SCRP – Secure Card Reader PIN) do szyfrowania i utrzymywania poufności danych.
  5. Ograniczenie transakcji do kart z chipem EMV oraz kart bezstykowych.

Przy poprawnej implementacji powyższych zasad można uznać, że mamy do czynienia z rozwiązaniem równie bezpiecznym jak tradycyjny terminal POS, łatwiejszym do powszechnego stosowania, a mającym znacznie większe możliwości rozwoju.

źródło: https://www.cebih.org

Tak jak w przypadku większości rozwiązań, również tutaj bezpieczeństwo zależy w dużej mierze od użytkownika. Zaleca się zachowanie ostrożności i stosowanie możliwych mechanizmów zabezpieczających. Jednymi z najważniejszych zasad obowiązujących w użytkowaniu smartfonów do dokonywania operacji finansowych są higiena komputerowa oraz separacja (zastosowań). Wbrew temu, co w swoich materiałach reklamowych sugerują producenci tych rozwiązań, aplikacja terminala płatniczego nie powinna być zainstalowana i używana na urządzeniu, które jest wykorzystywane w codziennym życiu i pracy jego właściciela. Taki smartfon powinien być traktowany jako token sprzętowy – mieć tylko to jedno zastosowanie (tylko i wyłącznie do funkcji terminala POS). Dodatkowo lepiej jest użyć nowego (nikomu nieznanego) numeru telefonu do połączeń do sieci. Bezpieczniej jest również korzystać z urządzenia opartego na systemie operacyjnym, który jest mniej narażony na infekcje (tu przewagę ma iOS).

Trzy zasady bezpieczeństwa użytkowania smartfonu w połączeniu z aplikacjami finansowymi:

  1. Aktualne oprogramowanie antywirusowe.
  2. Bezpieczne szyfrowane połączenie VPN.
  3. Nieużywanie smartfonu z innymi aplikacjami (zasada separacji ról jako separacja zastosowań).

Podobne zasady warto stosować w sytuacji, gdy używa się smartfonu do potwierdzania przelewów bankowych: osobne urządzenie traktowane jako token tylko do przelewów, bez dodatkowych aplikacji, z odrębnym numerem telefonu, najlepiej jakiś iPhone. Oczywiście nie jest to łatwe do zrobienia dla użytkowników indywidualnych, jednak w przypadku większych organizacji koszt jest akceptowalny. W ten sposób mityguje się ryzyka oszustw i nadużyć przy wykonywaniu przelewów, wykorzystywanych w znanych obecnie wektorach ataku.

Producenci urządzeń mobilnych bardzo dynamicznie reagują na potrzeby rynku i można się spodziewać, że kolejne modele urządzeń będą zawierały rozwiązania, które sprawią, iż będzie można bezpiecznie stosować je w operacjach finansowych. Dołączenie biometrycznych metod identyfikacji do procesu autoryzacji, jak również potwierdzania transakcji w systemach bankowych podniesie bezpieczeństwo oraz ujednolici kanały dostępowe do usług, ale przede wszystkim ułatwi korzystanie z nowoczesnych technologii w bankowości.

Technologicznie jesteśmy już gotowi do takich rozwiązań, jednak najtrudniej jest przełamać obawy użytkowników odnośnie bezpieczeństwa. Strach zbliżenia karty kredytowej do cudzego smartfonu z jednoczesnym podaniem PIN-u jest zrozumiały, jednakże gdyby taką operację użytkownik wykonywał na własnym telefonie, a dodatkowo potwierdzał transakcje odciskiem palca, to wydaje się, że przełamanie bariery psychologicznej i zaufanie takiej technologii byłyby łatwiejsze.