¿Agregación de tarjetas de crédito basada en estándares abiertos?

Navega tus respuestas
0

Últimamente, ha habido un par de proyectos que tienen como objetivo reemplazar todas las tarjetas de crédito en su billetera con un solo dispositivo inteligente que las tendrá a todas, se sincronizará con su teléfono inteligente, etc. (A saber, Coin y Protean )

Lo que específicamente no me gusta, sin embargo, es que hay muchos puntos de falla involucrados:

  1. Ambos requieren ingresar información de la tarjeta en su teléfono inteligente, y ambos parecen sincronizar la información de la tarjeta con sus servidores. Prometen que "cifran" todos los datos. Problemas:
    1. ¿Realmente confío en ellos con su criptografía de despliegue correctamente?
    2. ¿Realmente confío en ellos que almacenarán las cosas de manera segura?
  2. Ambos usan Bluetooth para comunicarse con su teléfono, lo que parece francamente peligroso.
    • Coin además utiliza Bluetooth para desarrollar un tipo de sensor de proximidad que no permite que la tarjeta procese transacciones a menos que el teléfono esté cerca.
      1. ¿Cómo están haciendo esto? Si solo están haciendo una búsqueda de Bluetooth MAC, es fácil de imitar.
    • Bluetooth tiene varios problemas de seguridad.

¿Hay alguna solución por ahí (o incluso en las obras) que actúe más como dispositivos TPM / tarjeta inteligente que funcionen con estándares probados y resistan las auditorías?

Específicamente, no me gusta la idea de tener tantos puntos de falla (Bluetooth, "cifrado" en el teléfono proporcionado por ellos, copias de seguridad en línea "cifradas" proporcionadas por ellos). Estoy realmente interesado en la idea de usar un dispositivo seguro de una sola tarjeta, siempre que en realidad esté seguro de manera auditable y probada.

    
pregunta Naftuli Kay 08.07.2014 - 01:14
fuente

1 respuesta

1

¿Confías en los proveedores a los que les compras? Todos ellos están obligados por el PCI-DSS y las sanciones por almacenarlo de forma insegura pueden ser bastante duras. Las versiones anteriores de Bluetooth tenían problemas de seguridad (2.3 y anteriores), pero si están usando versiones actuales, no hay problemas de seguridad conocidos, por lo que es posible tener una asociación confiable.

Es tan fuerte como tener un sistema basado en TPM, no, pero tampoco es tan costoso o complicado de usar y no es menos seguro que muchas opciones de "tarjetas de crédito almacenadas" que muchos consumidores aún usan . Para muchos, las transacciones de CC solo son válidas si las realizaron, y disputar las transacciones no válidas es trivialmente simple, con cero responsabilidad, por lo que muchos no lo consideran un riesgo.

También tenga en cuenta que estos dispositivos SOLO funcionan en tarjetas de banda magnética, que son intrínsecamente inseguras para empezar. No puede usarlas con tarjetas de crédito basadas en chip, por lo que los mercados a los que se aplican ya no están especialmente preocupados por la seguridad de los datos de la tarjeta.

El uso de un TPM, aunque es bueno para nosotros, es una exageración en comparación con los riesgos existentes en el sistema para las tarjetas con las que están diseñados estos dispositivos. Ya proporcionan un nivel de seguridad comparable o mejor que el sistema existente. Sus tarjetas podrían ser robadas o copiadas, este sistema proporciona una manera de saber cuándo se escanea su tarjeta y de vincularlas todas a un dispositivo (su teléfono) que probablemente sea mucho más rápido de notar si es robado. Utiliza una copia de seguridad en línea opcional, pero muchos consumidores ya lo hacen con los proveedores.

Hay un riesgo de seguridad nuevo bastante mínimo introducido por estos dispositivos siempre y cuando utilicen una versión reciente y segura de bluetooth y, especialmente, si protegen los detalles de la tarjeta de crédito con una clave almacenada en la propia tarjeta. (para que el malware en el teléfono no pueda acceder).

    
respondido por el AJ Henderson 08.07.2014 - 16:05
fuente

Lea otras preguntas en las etiquetas

¿Las “Plantillas de certificado” se usan solo como una “Plantilla” o validan una solicitud de certificado? Rastreo empresarial de dispositivos conectados a WiFi