Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/02/2013
Els riscos en el pagament per mòbil haurien de fer que la indústria esperara al desplegament d'este sistema
El PCI Security Standards Council advertix dels riscos de seguretat dels sistemes de pagament per mòbil i recomana als comerciants que vullguen fer ús de telèfons intel·ligents i tauletes tàctils, com a dispositius de pagament mòbil amb processament de targetes, ser prudents i esperar a la disponibilitat de majors tècniques de protecció.
El PCI Security Standards Council ha publicat un document de 27 pàgines, part del PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users, que recull recomanacions de seguretat per a aquells comerciants que vullguen utilitzar sistemes de pagament amb targeta a través del mòbil en compte dels TPV tradicionals. Estes recomanacions complementen les publicades el passat mes de setembre dirigides especialment als desenvolupadors i proveïdors de dispositius implicats en el disseny de controls de seguretat.
El document –que a més alerta dels perills de BYOD– partix de la premissa que els dispositius mòbils utilitzats per a realitzar pagaments, pel fet de ser multipropòsit i no estar dedicats només a estes tasques, no són especialment segurs, i per això estan exposats a robatoris, pèrdues o manipulacions. En concret, el PCI Security Standards Council vol que els comerciants s’asseguren que els dispositius utililitzats per a processar targetes disposen de PIN xifrat i que els lectors de targetes utilitzats estiguen certificats degudament.
Segons el PCI Security Standars Council, els dispositius mòbils utilitzats en el processament dels pagaments han de disposar de controls com antivirus, autenticació i escaneig de seguretat. Igualment, els seus fabricants han d’informar puntualment de vulnerabilitats i realitzar actualitzacions de seguretat. I en una clara al·lusió als dispositius iOS d’Apple i Android, les recomanacions advertixen els comerciants del fet que “si se subvertixen deliberadament els controls natius de seguretat per mitjà de jailbreaking o rooting s’incrementa el risc que el terminal siga infectat per programari maliciós. Cap dispositiu que haja sigut sotmés a les alteracions esmentades hauria de ser utilitzat amb fins de pagament”, advertix el document.
En línia amb el NIST
El PCI Security Standars Council recomana a més en un altre document (Accepting Mobile Payments with a Smartphone or Tablet) que fins que les implementacions de maquinari i programari mòbils no siguen especialment segures els comerciants haurien d’utilitzar encriptació amb certificació PCI en el punt de venda. Així mateix, l’entitat informa que continuarà publicant directrius i recomanacions sobre pagaments per mòbil en el futur, en línia amb les que està preparant el National Institute of Standards and Technology (NIST), com el NIST 800-164 (Guidelines for Hardware-Rooted Security in Mobile Devices).