Según tengo entendido, este requisito no se aplica (control de compensación: el compromiso se limita a un solo titular de la tarjeta) para el equipo propiedad del titular de la tarjeta, ya que el riesgo de compromiso se reduce a una sola instancia de una tarjeta. Por ejemplo, si la aplicación de banca móvil está comprometida, obtendría el código PIN para un solo cliente . No hay muchos clientes como si se comprometiera un dispositivo de entrada de PIN de POS / ATM.
Cuando también se trata de tránsito, creo que el banco ha tomado medidas para evitar que el PIN sea visible incluso si el HTTPS fue descifrado / eliminado / comprometido, mediante el uso de un cifrado específico de la aplicación que utiliza el código PIN para generar un ZKP.
La razón por la que un pinpad ATM / POS debe ser, por ejemplo, un SCD, es para evitar que alguien instale un skimmer invisible bajo el teclado que "extrae" el código PIN.
Ahora el skimmer debe recurrir a métodos detectables como cámaras o superposiciones de PINpad, ya que el PIN se cifra en el teclado PIN a prueba de manipulaciones.
También otra cosa que hacen los emisores:
Piense en todos esos "lectores de tarjetas OTP" donde inserta su tarjeta, ingrese el PIN del titular de la tarjeta y luego se muestra un código OTP en la pantalla que se puede usar para iniciar sesión en la banca por Internet.
Estos tampoco cumplen con los requisitos de SCD, ya que no tienen ninguna resistencia a la manipulación indebida.
Pero la resistencia a la manipulación indebida también sería imposible de implementar en un "lector de tarjetas OTP", ya que entonces el lector de tarjetas tendría que ser personalizado para el cliente en lugar de ser "genérico".
Lo mismo con Samsung Pay, Android Pay y Apple Pay. La autenticación del titular de la tarjeta se realiza aquí en un dispositivo "inseguro", pero el titular de la tarjeta aún es de su propiedad, lo que lo hace mucho más seguro, ya que la manipulación del dispositivo le brindará UNO datos del titular de la tarjeta, no muchos, y también, la manipulación. Requeriría tener manos físicas en él, lo cual es mucho más difícil que robar un cajero automático o similar.
La industria de las tarjetas de pago ya ha aprobado Samsung Pay, Android Pay y Apple Pay, incluso si su soporte para la autenticación con PIN se realiza en un dispositivo que no es compatible con SCD. (Normalmente se usa la huella digital, pero se puede usar el PIN si el dedo está sucio, etc.)