En cuanto a la seguridad, no hay ningún estándar específico que yo sepa. Los sistemas de tickets inteligentes son un grupo variado, pero por lo general se componen de:
- Algún tipo de identificador de pasajero, por ejemplo, una tarjeta o dispositivo RFID / NFC.
- Un dispositivo de punto de venta (PoS), como un escáner en un bus o en una estación.
- Un enlace de comunicaciones entre el PoS y el back-office.
- Un sistema de back-office que procesa las transacciones, mantiene el saldo y la información del cliente, e interactúa con la pasarela de pago.
Lo más importante es que los detalles de la tarjeta generalmente se toman antes de tiempo y generalmente se almacenan solo en el sistema de fondo.
La configuración específica depende en gran medida del tipo de transporte. Si bien un servicio de autobuses metropolitanos podría operar un enlace celular 3G de regreso a la oficina, un tren de travesía puede tener más dificultades en las áreas rurales donde las torres de celulares son pocas y distantes entre sí.
El mecanismo normal que he visto es que la lista de ID de tarjetas válidas se sincroniza en todos los sistemas de PoS periódicamente (por ejemplo, a través de WiFi en una estación) para que las tarjetas individuales puedan ser identificadas como "válidas" sin tener que llamar a casa cada vez que alguien ingresa. Cada transacción se almacena en caché local y luego se transmite cuando hay una conexión disponible.
La seguridad de las comunicaciones reales depende completamente de la implementación. Puede depender completamente del cifrado de la capa de enlace de datos (por ejemplo, WPA2), la seguridad de la capa de transporte (por ejemplo, TLS), o puede implementar su propia seguridad de la capa de aplicación.
Por supuesto, en el caso de los sistemas donde se realizan pagos sin contacto en el PoS, el PAN puede ser transmitido, y como tal, las comunicaciones (y el dispositivo PoS) pasarán a formar parte del dominio PCI.