¿Cuáles son las implicaciones de seguridad de un dispositivo como Coin?

4

Coin es un nuevo dispositivo destinado a reemplazar hasta 8 tarjetas de crédito en su billetera con un solo dispositivo.

Aparentemente, funciona al escanear los datos de la tarjeta de crédito en una aplicación móvil que se sincroniza con el dispositivo Coin a través de Bluetooth. El escáner funciona como un skimmer de tarjeta de crédito desde mi entendimiento.

¿Cuáles son las implicaciones de seguridad y normativas de un dispositivo como este? ¿Viola el PCI-DSS de alguna manera? Sin tener realmente el dispositivo contra el cual probar, ¿qué amenazas de seguridad plausibles podrían existir?

    
pregunta Ayrx 18.11.2013 - 08:37
fuente

3 respuestas

5

Coin se basa en la laguna legal de que no son un comerciante o un intermediario que maneja los datos de pago; son solo una forma electrónica de una billetera física y los datos están siempre con el cliente (en la propia Moneda). Esto es evidente en sus preguntas frecuentes :

  

Q. ¿Coin tiene una validación PCI PA-DSS?

     

A. El programa PA-DSS de PCI Security Standards Council aborda el pago   Aplicaciones utilizadas para aceptar y procesar pagos por bienes y   servicios. Un dispositivo como una moneda se considera similar a una tarjeta de pago   en la billetera de un consumidor y el estándar no se aplica.

La moneda pierde un aspecto del manejo de una tarjeta de pago: las características físicas de identificación; el nombre no está físicamente presente en la tarjeta, así como la fecha de vencimiento y la firma del cliente. Esto se resolverá con el desacuerdo de los comerciantes, ya que esto hará que el fraude sea mucho más difícil de detectar por parte del empleado del cajero humano. (Nota: este es un aspecto uno de la detección de fraudes. Soy consciente de que esto se puede sortear fácilmente. El hecho es que los comerciantes aún capacitan a sus empleados en estas prácticas).

Claramente, este dispositivo apunta al mercado de EE. UU. donde las tarjetas de banda magnética siguen siendo el estándar. Personalmente, veo que este dispositivo está fallando masivamente (y eso espero) porque la mayoría de los emisores de tarjetas de EE. UU. han anunciado que en 2017 implementarán Un cambio de responsabilidad en casos de transacciones fraudulentas. Esto significa que cualquier comerciante u operador de cajeros automáticos que no use EMV (~ Chip & Pin) será responsable de esta transacción . Lo que significa que las tarjetas compatibles con EMV se utilizarán cada vez más.

Dado que las tarjetas compatibles con EMV no se pueden clonar *, este dispositivo Coin eventualmente morirá, al igual que el estilo inconformista de sus inventores.

* Bueno, pueden serlo, con la ayuda de microscopios electrónicos y tecnología láser sofisticada, pero no entremos en detalles sobre este.

    
respondido por el Adi 18.11.2013 - 10:15
fuente
3

PCI-DSS solo se requiere para comerciantes, pero no para clientes. El riesgo de obtener acceso al dispositivo sería el mismo que perder su billetera con las 8 tarjetas que contiene. Lo que es importante tener en cuenta es que esto no va a funcionar en países en los que solo se acepta Chip & PIN y no se puede deslizar más. (la mayoría de los países europeos en estos días)

Además, en algunos países se requiere que las tiendas verifiquen su identidad, con estas tarjetas va a ser bastante difícil porque ya no puede verificar físicamente qué nombre está escrito en la tarjeta.

    
respondido por el Lucas Kauffman 18.11.2013 - 09:02
fuente
2

Hay aspectos positivos y negativos de la seguridad con un sistema como el suyo:

Positivo:

  • El dispositivo debe tener tarjetas cargadas a pedido, por lo que solo puede ser una tarjeta a la vez. Si es robado solo has perdido una carta. EDITAR: Esto no es realmente cierto. Descubrí que esta única tarjeta contiene TODAS las tarjetas.
  • La tarjeta aparentemente no tiene los detalles físicos, como el código de 3 o 4 dígitos en la parte posterior. Si es robado, es mucho menos útil para el ladrón
  • La tarjeta puede saber cuándo está fuera del alcance de su teléfono principal y apagarse, por lo que si se la roban, dejará de funcionar cuando esté fuera del alcance. Esa función se puede desactivar tocando un botón en la tarjeta, por lo que si el ladrón sabe que puede sacar la tarjeta y presionar el botón antes de que esté fuera de alcance. Aún así, eso derrotaría a muchos carteristas

Negativos:

  • Bluetooth no es conocido por su seguridad, de hecho es relativamente fácil de detectar e interferir. Si esta compañía usa bluetooth, es mejor que tengan protecciones de hierro fundido para contrarrestar las vulnerabilidades conocidas de bluetooth
  • Si el dispositivo es robado, el propietario confía en la aplicación para informarle qué tarjeta se ha perdido, el propietario no podría tomar esa decisión sin la tecnología
  • Los ladrones que quieran su dispositivo de tarjeta también tendrán que robar su teléfono, esto podría significar que los propietarios están en riesgos físicos adicionales
  • El anuncio dice que solo puedes agregar tus propias tarjetas, sin embargo, es básicamente un skimmer para un teléfono móvil. No hay razón para que alguien no pueda comprar uno de estos y agregar sus tarjetas a su dispositivo.
  • Esta tarjeta tiene todas las tarjetas programadas, todas seleccionables con solo tocar un botón en la tarjeta, sin ningún tipo de autenticación

Personalmente, creo que es potencialmente útil y, si viviera en los estados, podría analizarlo, ya que la utilidad potencial del dispositivo puede superar los problemas de seguridad. Sin embargo, es completamente inútil para la mayoría del resto del mundo, así que a menos que puedan hacer que funcione con chip y pin, no llegará muy lejos.

    
respondido por el GdD 18.11.2013 - 10:07
fuente

Lea otras preguntas en las etiquetas