¿Puede Revolut ser compatible con PCI DSS?

4

Básicamente, la aplicación Revolut muestra el PAN y el CVV de forma predeterminada en la aplicación y tiene una opción "mostrar PIN", ¿cómo puede esto ser obediente?

Aquí hay una captura de pantalla de la aplicación , tengo visto la aplicación real y que realmente rinde PAN, CVV y PIN.

Actualización 1

Uno de los problemas adicionales es cómo el PAN, PIN y CVV entran en la aplicación móvil.

Suponiendo que no se almacenan en caché (lo que abriría sus propios conjuntos de problemas en un entorno no seguro, como un teléfono Android + abre el problema de la reinicialización de fábrica), entonces significa que se recuperan en cada inicio de la aplicación,

significa que hay una API que alguien podría utilizar teóricamente para extraer toda la información PAN / PIN / CVV mediante programación,

simplemente deja que esto se hunda en ...

Esto haría que la aplicación móvil sea algo completamente diferente de un "equivalente moral de una tarjeta física", y estamos hablando de un código PIN de inicio de sesión de 4 años que afaik no bloquea la cuenta.

Alguien comentó:

  

Las reglas DSS normales que se aplican a los procesadores y comerciantes no se aplican a los titulares de tarjetas.

¿Alguien tiene recursos sobre cosas que se aplican?

¿O es que la empresa de seguridad emisora es una especie de libre para todos en este momento que surge del supuesto de que se supone que el emisor está preocupado por su propia exposición y no es necesario realizar una auditoría de estas opciones porque el fraude tiene un impacto financiero? ¿Es el emisor y, en teoría, el emisor solo?

Supongo que este tipo de comportamiento podría generar brechas y una caída de la confianza en el mercado de billeteras móviles. Me encantaría que si alguien pudiera ofrecer una recompensa por esto, me encantaría ver a un autor informado. respuesta.

    
pregunta bbozo 13.12.2016 - 12:49
fuente

1 respuesta

5

Básicamente, no tienen que ser.

Si bien los comerciantes y proveedores de servicios a menudo están obligados por contrato a cumplir con las normas PCI-DSS, las aplicaciones de pago tienden a ser compatibles con las PA-DSS (Normas de seguridad de datos de aplicaciones de pago) y están certificadas (si desean ser utilizadas por los comerciantes que desean mantener Cumplimiento de PCI-DSS).

De acuerdo con el documento del Consejo de Seguridad de PCI, Solicitudes de aceptación de pagos móviles y preguntas frecuentes de PA-DSS :

  

Aplicaciones utilizadas para la iniciación de pagos, por ejemplo, aquellas   descargados por los consumidores en sus teléfonos móviles y utilizados para uso personal   compras: se ven similares a la tarjeta de pago en la billetera de un consumidor.

Dado que Revolut no acepta pagos (bueno, realmente lo son, pero esa es una función diferente a la que se refiere), sino que actúa como su billetera digital personal en este caso, el Consejo de Seguridad de PCI no lo hace. No lo veas como diferente de la billetera en tu bolsillo.

    
respondido por el David A 28.12.2016 - 23:33
fuente

Lea otras preguntas en las etiquetas