PIN on Glass - новая эра ввода пин-кодов

Осталось не так много времени, когда покупатели во всем мире смогут вводить персональный идентификационный номер на экране своего смартфона для совершения покупок. Технология, необходимая для запуска «PIN-on-Glass» транзакций уже доступна, и не так давно PCI стандарты сфокусированы на программном обеспечении для ввода Пин-кода на коммерческих устройствах.

Технология «Pin-on-Glass» - это возможность ввода проверочного кода PIN на экране смартфона, планшета или другого коммерческого устройства

Данная технлогия была рядом с нами уже в течении долгого времени, говорит Трой Лич - главный технический директор Совета по стандартам безопасности PCI «Концепция ненова» Новым является то, что ввод PIN-кода будет осуществлять на устройствах COTS (коммерческие устройства), не предназначенных исключительно для оплаты, говорит Лич

Совет подготовил открытый период для новых стандартов с октября 2017, когда члены участвующих организаций будут приглашены для получения от них отзыва по стандартам для данного программного обеспечения. В зависимости от полученных отзывов, стандарты смогут быть представлены широкой публике примерно к Декабрю этого года.

PIN 2.0

С первого взгляда кажется, что перенос ввода Пин-кода на тачскрин будет логичным шагом для нашего времени, но это «на удивление сложная тема,» говорить Джеймс Вестер директор по исследованиям глобальных платежей, International Data Corp. Внедрение Пин-кода на мобильных устройствах «кажется достаточно простым, но если вы посмотрите в глубь этого процесса, все становится немного сложнее»

Без программного обеспечения для ввода Пин-кода, для совершения мобильной транзакции необходим второй девайс для ввода и это «как дорого, так и неудобно иметь два устройства», поддерживает Wester. «Возможность комбинировать все в одном - это более элегантный, имеющий лучший дизайн, и устраняющий неудобства в процессе оплаты вариант».

Движение к специальному программному обеспечению для ввода пин-кода на коммерческих устройствах — это «еще один шаг для того, чтобы мобильные устройства становились все более и более мобильными по части платежей». Добавил Вэстер. «Так как наши платежи и существующие пути оплаты сильно изменились за последние 5 лет» Разные компаний на данный момент вовлечены в платежные схемы, от эмитетов до сетей и эквайреров, и обе стороны поставщиков устройств и приложений, говорит Вэстер. Изменения в EMV, мобильных платежах, и новые возможности покупок, все это сыграло определенную роль в развитии платежей. - так же как это сделает софт для ввода пин-кода, предполагает Вэстер.

Сдвиг направленный в сторону новых стандартов отходит от традиционных решений «Pin-on-Glass» - которые обычно требуют дополнительное оборудование- на встречу новым решениям, которые позволят планшетам и смартфонам принимать номера Пин в «изолированном» виде говорит Лич. «До того, как Пин введен на “Стекле” или в программном обеспечении – начальный номер счета (PAN) уже зашифрован и не может быть дешифрован» утверждает он. Когда новые стандарты будут введены, ожидается, что они будут сфокусированы на программном обеспечении необходимом для управления транзакциями на коммерческих устройствах.

Новые стандарты

Стандарт на ввод Пин-кода через приложение- это один из семи PCI стандартов опубликованных или обновленных в этом году- рассматривающий возможность отделения Пин от другой информации счета. Изолирование Пин-кода от другой информации может предотвратить будущие атаки мошенников, которые могут выкрасть платежные данные в общественных местах, объясняет Лич. «Мы полагаемся на целостность аутентификации Пин-кода в течении десятков лет» говорит он, и новые стандарты позволят новаторам изолировать Пин-код для новых целей, не ставя под угрозу его целостность.

Существует три главных компонента предложенного стандарта, согласно Линчу:

  • Изолирование PIN от PAN. «Мы рассматриваем требования программного обеспечения, для платежных приложений, которые управляют транзакциями на коммерческих устройствах» говорит Лич. «Чтобы создать изоляцию, вам необходимо быть способным вводить номер счета таким способом, чтобы он не мог быть дешифрован на коммерческих устройствах.»
  • Безопасность программного обеспечения. Сохранность целостности приложений на коммерческих устройствах, является ключевым для них. «Среда таких девайсов как правило небезопасна» Лич признает, что безопасность должна быть дополнена чтобы гарантировать защиту Пин информации.
  • Мониторинг. Удаленный контроль должен быть обеспечен независимой стороной чтобы подтвердить, что программное обеспечение, коммерческих устройств, и транзакция имеют целостность и ведут себя должным образом, а также чтобы найти различные виды подозрительной активности. «Необходимо постоянное обеспечение безопасности и контроль чтобы быть уверенным, что сам девайс не подвержен риску.» утверждает Лич.

«Это действительно связано с изоляцией» говорит он. Так как когда динамические данные и динамическая аутентификация выполняются, они уменьшают объел информации счета для будущих соображений оплаты. «Если вы используете EMV Payment Tokens или мультифакторную аутентификацию, важность безопасности ПИН будет уменьшаться поскольку это не будет единственным способом для проверки, поэтому сохранность Пин-кода была настолько важной до сегодняшнего дня» объясняет Лич. «Это первичная верификация в среде, которая связана с номером счета и другими конфиденциальными данными».

Решения по Безопасности

После того как было разработано новое программное обеспечение для ввода пин-кода, защита пин-кода держателей карт стало самым важным, говорит Скот Спайкер, основатель Cipherithm, главный партнер Rockledge Group и участник Working Group X9F6 Комитета по аккредитации 9X inc. который создает и поддерживает стандарты для индустрии платежей.

В настоящий момент, безопасное окружение Пин «достаточно крепкое», говорит Спайкер. ANSI/ISO стандарты требуют чтобы девайсы, обслуживающие Пин-код и использующиеся процессинговыми компаниями и эквайрерами были защищенными криптографическими устройствами (SCDs). Правда те стандарты применимы только к оборудованию, в то время как новые PCI стандарты относятся к программному обеспечению.

Со слов Лича, ANSI/ISO стандарты написаны для среды, где ввод, Пин-а поддерживается в том же окружении где вводится информация счета, в то время как новый стандарт относится к мобильным транзакциям где «информация счета никогда не будет использована в том же пространстве что и Пин» Это означает, что стандарты вероятно будут разработаны только для транзакций использующий chip-технологию и не будут разрешать транзакции с помощью магнитной ленты, чтобы информация о счете была изолирована от Пин-кода, говорит Лич.

Различные угрозы безопасности могут быть быстро устранены благодаря преимуществам программного обеспечения для ввода Пин-кода, утверждают сторонники этой технологии. ПО как правило более гибкое и может быть быстро обновлено, благодаря удаленным обновлениям, которые включают информацию о новых представленных кибератаках. «Продавцы хотят простое решение» утверждает Лич. «Мы должны сокращать риски для продавцов. Один из способов сделать это с Советом PCI - это двухточечное шифрование» говорит он. ПО для ввода Пин-кода предлагает новый способ для изоляции продавца от транзакционных рисков.

В дополнении, Коммерческие устройства, включенные в ПО для ввода Пин-кода, могут обеспечить больше возможностей в последующие года. Интегрирование безопасности ПО и требований мониторинга третьей стороной в стандартах предлагает «возможность обеспечить больше платежных каналов, большему числу продавцов» и предоставить новую платформу для аутентификации, говорит он.

Что будет дальше?

Как только стандарты представят, будет непонятно как скоро новые решения станут полностью соответствовать необходимым нормам и будут представлены на рынке.

На данный момент модели такого ПО тестируются и реализуются в разных странах, к примеру программа Chip-and-PIN от Visa, которая является пилотной в Австралии и Великобритании. Но «не один из пилотных проектов, запущенных в данный момент не имеют ассоциации с Советом PCI» говорит Лич «Я могу представить, что есть несколько решений сегодня на рынке» которые однажды будут соответствовать предстоящему стандарту PCI для программного обеспечения ввода Пин-кода, но «еще очень рано говорить о том, что какое-либо из этих решений, доступных сейчас, будет соответствовать этому стандарту».

Значением стандарта будет «представление новых возможностей чтобы думать о безопасности и аутентификации» говорит Лич. Основываясь на существующих преимуществах, созданных EMV чипом и шифрованием, изолирование Пин-кода для использования на мобильных коммерческих устройствах предлагает другой путь защиты потребителя, пока происходит леверидж новых технологий, объясняет Лич. «Можем ли мы создать новые типы целостности, и быть уверены, что владельцы карт те, за кого себя выдают?» спрашивает он. «У нас есть проблемы с конфиденциальностью- с хранением информации от попадания в руки преступников». Изолирование Пин-кода может девальвировать информацию держателя карты и снизить шанс использования ее для незаконных действий киберпреступников.

Вестер верит, что после появления стандартов, технология окажет большее влияние на реализацию продавцов чем на поведение потребителей. «Идея ввода пин-кода, чтобы сделать покупку, не является самым важным для потребителя» объясняет он. Фактически же, большинству потребителей кажется достаточно комфортным использовать электронную подпись для оплаты нежели Пин-код, который запрашивается продавцом. Но если потребитель не нацелен на безопасность, продавцу это просто необходимо. Говорит Вестер.

Спайкер отмечает, что «любая система, основывающаяся на программном обеспечении, имеет возможность быть атакованной». Вестер так же заинтересован, в возможности киберпреступников написать приложения для кражи информации о пин-коде. Безопасность продолжит быть самым важным пунктом, как только будут представлены новые стандарты и продукты поступят на рынок.

«Компании обеспечивающие сервисное обслуживание» думают обо всех проблемах безопасности, говорит Вестер. Введения нового PCI стандарта даст возможность компаниям предложить свои решения в области безопасности «Некоторые вещи невозможно предсказать, и существует вероятность что плохие парни могут найти пути подорвать новые технологии. Но каждый из нас следит за безопасностью»

Взгляд в будущее

Поступление решений, которые могут позволить программному обеспечению вводить Пин-код на коммерческих устройствах неизбежно, но куда эта дорога приведет будет видно в дальнейшем. С таким темпом изменений в области платежей «Действительно сложно предсказать, увидим ли мы подобные приложения» когда будут представлены стандарты, говорит Вестер.

«Вещи развиваются постоянно» говорит Лич. «Этот стандарт выглядит футуристично» Это перевернет представление о том, как платежи развевались в прошлом, говорит он. «Очень часто мы пытается модифицировать старые способы безопасности с помощью новых технологий. Но мы должны быть новаторами по части безопасности, чтобы она могла предотвратить современные угрозы и не быть неповоротливой для новой эры платежей».

Появление нового стандарта будет содействовать объяснению «нового пути, по которому мы сможешь совершенствовать технологию» говорит Лич. «чтобы сделать платежную информацию безопасной для продавцов»