Sistemas de tickets inteligentes de bus y EMV

1

Recientemente he empezado a estudiar los sistemas de tickets inteligentes. La mayoría de los sistemas modernos son compatibles con el uso de los estándares EMVCo para comprar boletos en el autobús. Además, en cada autobús generalmente hay más de un dispositivo desde el cual un pasajero puede comprar un boleto. En mi opinión, estos dispositivos intercambian datos relacionados con las tarjetas bancarias, por ejemplo, el validador debe enviar algunos datos a la PC principal en el bus (en la unidad de a bordo, obu) cuando un pasajero compra un boleto, y por supuesto, todos los datos se envían a la oficina administrativa. Creo que estos datos deben estar encriptados para evitar las escuchas ilegales. ¿Alguien tiene alguna idea de si hay algún estándar que especifique el tipo de este cifrado? He leído sobre los estándares de PCI y el cifrado de punto a punto, pero no estoy seguro de que estos sean aplicables en los sistemas de tickets inteligentes.

    
pregunta Herc11 02.02.2015 - 15:26
fuente

1 respuesta

1

En cuanto a la seguridad, no hay ningún estándar específico que yo sepa. Los sistemas de tickets inteligentes son un grupo variado, pero por lo general se componen de:

  • Algún tipo de identificador de pasajero, por ejemplo, una tarjeta o dispositivo RFID / NFC.
  • Un dispositivo de punto de venta (PoS), como un escáner en un bus o en una estación.
  • Un enlace de comunicaciones entre el PoS y el back-office.
  • Un sistema de back-office que procesa las transacciones, mantiene el saldo y la información del cliente, e interactúa con la pasarela de pago.

Lo más importante es que los detalles de la tarjeta generalmente se toman antes de tiempo y generalmente se almacenan solo en el sistema de fondo.

La configuración específica depende en gran medida del tipo de transporte. Si bien un servicio de autobuses metropolitanos podría operar un enlace celular 3G de regreso a la oficina, un tren de travesía puede tener más dificultades en las áreas rurales donde las torres de celulares son pocas y distantes entre sí.

El mecanismo normal que he visto es que la lista de ID de tarjetas válidas se sincroniza en todos los sistemas de PoS periódicamente (por ejemplo, a través de WiFi en una estación) para que las tarjetas individuales puedan ser identificadas como "válidas" sin tener que llamar a casa cada vez que alguien ingresa. Cada transacción se almacena en caché local y luego se transmite cuando hay una conexión disponible.

La seguridad de las comunicaciones reales depende completamente de la implementación. Puede depender completamente del cifrado de la capa de enlace de datos (por ejemplo, WPA2), la seguridad de la capa de transporte (por ejemplo, TLS), o puede implementar su propia seguridad de la capa de aplicación.

Por supuesto, en el caso de los sistemas donde se realizan pagos sin contacto en el PoS, el PAN puede ser transmitido, y como tal, las comunicaciones (y el dispositivo PoS) pasarán a formar parte del dominio PCI.

    
respondido por el Polynomial 02.02.2015 - 16:01
fuente

Lea otras preguntas en las etiquetas