Los riesgos en el pago por móvil deberían hacer a la industria esperar a su despliegue
El PCI Security Standards Council advierte de los riesgos de seguridad de los sistemas de pago por móvil y recomienda a los comerciantes que quieran hacer uso de smartphones y tablets como dispositivos de pago móvil con procesamiento de tarjetas, ser prudentes y esperar a la disponibilidad de mayores técnicas de protección.
El PCI Security Standards Council ha publicado un documento de 27 páginas, parte del “PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users", que recoge recomendaciones de seguridad para aquellos comerciantes que quieran utilizar sistemas de pago con tarjeta a través del móvil en vez de los TPV tradicionales. Tales recomendaciones complementan las publicadas el pasado mes de septiembre dirigidas especialmente a los desarrolladores y proveedores de dispositivos implicados en el diseño de controles de seguridad.
El documento –que además alertan de los peligros de BYOD- parte de la premisa de que los dispositivos móviles utilizados para realizar pagos, al ser multipropósito y no estar dedicados solo a estas tareas, no son especialmente seguros, por lo que están expuestos a robos, pérdidas o manipulaciones. En concreto, el PCI Security Standards Council quiere que los comerciantes se aseguren de que los dispositivos utililizados para procesar tarjetas dispongan de PIN cifrado y de que los lectores de tarjetas empleados estén debidamente certificados.
Según el PCI Security Standars Council, los dispositivos móviles utilizados en el procesamiento de los pagos deben disponer de controles como antivirus, autenticación y escaneo de seguridad. Igualmente, sus fabricantes deben informar puntualmente de vulnerabilidades y proceder a realizar actualizaciones de seguridad. Y en una clara alusión a los dispositivos iOS de Apple y Android, las recomendaciones advierten a los comerciantes de que, “al subvertir deliberadamente los controles nativos de seguridad mediante ´jailbreaking´ o ´rooting´ se incrementa el riesgo de que el terminal sea infectado por malware. Ningún dispositivo que haya sido sometido a dichas alteraciones debería ser utilizado con fines de pago”, advierte el documento.
En línea con el NIST
El PCI Security Standars Council recomienda además en otro documento (“Accepting Mobile Payments with a Smartphone or Tablet") que hasta que las implementaciones de hardware y software móviles no sean especialmente seguros los comerciantes debería utilizar encriptación con certificación PCI en el punto de venta. Asimismo, la entidad informa de que seguirá publicando directrices y recomendaciones sobre pagos por móvil en el futuro, en línea con las que está preparando el National Institute of Standards and Technology (NIST), como el NIST 800-164 ("Guidelines for Hardware-Rooted Security in Mobile Devices).
