¿Qué tan seguro es la banca telefónica?

4

El respaldo para mi inicio de sesión de banca en línea en varios bancos es la banca telefónica. En el teléfono puedo realizar pagos, pero también puedo restablecer las contraseñas y otras funciones de seguridad críticas. Por lo general, me autentican haciendo preguntas relativamente triviales, en la línea de preguntas de seguridad. Las preguntas de seguridad no son una buena práctica de seguridad para los inicios de sesión de sitios web , por lo que parece extraño que se consideren lo suficientemente seguras para el teléfono. banca.

Aparte de la autenticación débil, que yo sepa, las llamadas telefónicas no están cifradas. Más allá de las escuchas ilegales (que supongo que es como navegar por el hombro), me imagino que es posible que alguien toque la llamada (MITM pasivo) y registre las respuestas a mis preguntas de seguridad o mi PIN. Recientemente, me he dado cuenta de que he pasado a un servicio de autenticación automática, pero de lo contrario, necesariamente hay un MITM, ya que el empleado del banco tiene que verificar mis respuestas / PIN manualmente. Esto no solo significa divulgar información confidencial al empleado, sino que implica que los datos pueden almacenarse sin cifrar.

Entonces, mi primera pregunta sería si mi comprensión es correcta, ¿que la banca telefónica es menos segura que la banca en línea? Si es así, ¿por qué sigue siendo tan ampliamente utilizado, e incluso se utiliza como alternativa a la banca en línea?

    
pregunta craq 04.08.2017 - 06:21
fuente

1 respuesta

2

Esta es una gran pregunta.

El TLDR es; Sí , Los centros de llamadas generalmente son menos seguros que los pagos en línea . La razón de esto se debe al factor humano inherente en un centro de llamadas, por ejemplo, guardando los detalles de la tarjeta de pago en el bloc de notas para procesarlos más tarde, ya que el servicio de pago está inactivo (¡en serio!).

Pero, hay un par de cosas que tratar aquí, 1. Seguridad de pagos y 2. Seguridad de llamadas.

Para comenzar con 2. Las llamadas están encriptadas en su camino hacia el banco desde la central de su Telco, y nuevamente una vez que llegan a los bancos DMZ, con una cosa llamada SBC (Session Border Controller) . Esto ha sido estándar desde la proliferación de la tecnología VoIP en el entorno empresarial. Dicho esto, la calidad de dicho cifrado no es excelente (Base64 ??) y se basa en la suposición de que tanto su compañía de telecomunicaciones como el equipo de telefonía de los bancos están aplicando parches a su kit y lo están actualizando cuando sea necesario.

En 1, la industria bancaria / de pagos ha estado a la vanguardia de la comprensión de la importancia de hacer que esto funcione correctamente durante mucho tiempo porque representa un gran riesgo para ellos.

El estándar para procesos de pagos seguros / infraestructura / arquitectura se denomina PCI DSS . PCI DSS fue desarrollado específicamente para brindar a los consumidores como nosotros una mejor seguridad al realizar pagos. Todos los centros de llamadas, incluidos los bancos, deben cumplir con sus normas. Esto también se aplica a cualquier otro "punto final" de pago, como pagos en tienda o en línea.

Hay diferentes niveles de cumplimiento de PCI según la cantidad de pagos que esté procesando cada año. Incluso el más bajo requiere que se realicen 4 auditorías aleatorias cada año para que una organización retenga su certificado de cumplimiento.

De hecho, las PCI DSS son casi una industria propia en estos días, ya que las compañías están creando infraestructura y servicios de pago para que los servicios de pago de las organizaciones queden "fuera del alcance" de las PCI DSS al asumir todo el riesgo.

Para responder específicamente a su pregunta, algunas de las cosas clave descritas por PCI DSS son:

  1. Nunca almacene los datos de la tarjeta en texto plano en reposo: se utiliza la tokenización para solucionar esto.
  2. Nunca almacene ID de verificación de tarjeta como CVV o Pin - Nunca jamás
  3. Usando el principio de privilegio mínimo
    • Para acceder a los servicios de red
    • Para acceder a las GUI de pago (agentes del centro de llamadas)
    • Para acceder a las grabaciones de llamadas con fines de control de calidad
  4. La garantía de transmisión de datos de titulares de tarjetas a través de redes públicas está encriptada, con estándares como SSL / TLS
  5. Enmascaramiento de DTMF: de modo que si ingresa su número de tarjeta desde el teclado, todos los pitidos son monótonos

No tengo suficiente representante para publicar más de 2 enlaces, pero para obtener una mejor visión general de lo que se requiere para pagos por teléfono, consulte este publicación de blog .

Por lo tanto, los bancos y los centros de llamadas pueden almacenar parte de la información de su tarjeta de pago en reposo, siempre y cuando se muestre en una red amurallada compatible con PCI. Además, se le proporcionará un cifrado básico en la llamada que se realiza, y nuevamente dentro de la red de telefonía de los bancos, más el enmascaramiento DTMF durante los pagos del teclado.

En resumen, con estos estándares y prácticas, está más seguro desde una perspectiva tecnológica cuando paga con un servicio automatizado que cuando habla con un humano.

Lo siento por el largo post! :)

    
respondido por el llorrac 04.08.2017 - 08:16
fuente

Lea otras preguntas en las etiquetas