PCI Council apresenta novo padrão para pagamentos móveis com cartão

A busca por soluções de ponto de venda móvel se mostra cada vez maior entre os pequenos comerciantes por sua flexibilidade e eficiência. Devido ao crescente interesse e uso de pagamentos móveis pelo mercado, o PCI Security Standards Council (PCI SSC) anunciou um novo padrão para entrada de PIN baseada em software em dispositivos (COTS) como smartphones e tablets.

Essa nova tecnologia permitiu que os pequenos negócios recebessem pedidos e aceitassem pagamentos em um tablet ou smartphone, a qualquer hora e em qualquer lugar. Entretanto, o problema é que o custo do hardware pode ser proibitivo em determinadas situações.

Além disso, o Conselho PCI conseguiu atender às necessidades do mercado, especificando os requisitos de segurança para permitir a entrada do PIN diretamente na tela sensível ao toque móvel. Esse novo padrão de entrada do PIN possibilita que os comerciantes possam aceitar pagamentos apenas com seu dispositivo móvel, um portátil leitor de cartão conectado a ele junto com um aplicativo de entrada de PIN seguro.

Contudo, foi anunciado um novo padrão ( PDF ) anunciado. Este documento tem como previsão ser publicado no próximo mês.

De acordo com o especialista Leach,  com os avanços nos recursos de monitoramento e a capacidade de isolar dados da conta, foi possível introduzir uma abordagem de segurança que aproveita a segurança baseada em software para aceitar um PIN dentro dos limites de um dispositivo COTS.

Existem cinco princípios básicos para o novo padrão:
  • Isolamento de PIN de outros dados da conta;
  • Garantia da segurança do aplicativo de entrada do PIN no dispositivo COTS;
  • Monitoramento de segurança ativo do dispositivo;
  • Presença de um dispositivo de leitor de cartão seguro para criptografar dados da conta;
  • Restrição de transações para contato EMV e cartões sem contato.
Ainda assim, a reação inicial da indústria da segurança foi mista, isto é, é uma boa idéia, mas com ressalvas.

De acordo com o Joseph Carson, cientista-chefe da segurança da Thycotic, embora os novos requisitos de PIN PCI sejam uma boa idéia, eles possibilitam introduzir riscos maiores, pois a segurança de ponta-a-ponta para o PIN não pode ser garantida. Por exemplo, o roubo de cartões de crédito na Europa foi menor do que nos EUA devido ao requisito do PIN.

Os novos requisitos significam que o risco do PIN ser exposto e o risco de ataques cibernéticos contra os comerciantes poderão também aumentar. O PIN foi protegido até agora, no entanto, esse novo padrão está realmente diminuindo essa proteção.

O PCI SSC defende que obteve a segurança ao isolar o PIN no dispositivo COTS das informações de identificação da conta. Contudo, Leach, faz uma ressalva:”Este isolamento ocorre quando o número de conta principal (PAN) nunca é inserido no dispositivo COTS com o PIN. Em vez disso, essa informação é capturada por um leitor de chip EMV que é aprovado como um SCRP que criptografa o contato ou a transação sem contato”.

Adicionalmente, deve-se dizer que Troy Leach tem apoio de Sanjay Kalra, co-fundador e diretor de produto da Lacework, comenta: “Os tipos de negócios que devem estar conforme ao PCI são de várias áreas:  varejo, hospitalidade, entretenimento, saúde, eletrônicos e dentre outras. Para Sanjay Kalra, esta atualização do padrão PCI é bem-vinda e ajudará as organizações a tirar proveito das novas tecnologias móveis.

Para mais detalhes, leia a notícia na íntegra clicando aqui.