Комментарии 5
Из статьи осталось неясным, как связаны между собой некие приватные ключи и SMS на телефонах.
То что карточные процессинги не хранят пин, понятно.
То что в карточном процессинге где-то лежат приватные ключи, которые участвуют в авторизации пинов, тоже понятно.
Но причем здесь SMS на телефонах?
SMS-ки ходят по обычным условным sms-сным протоколам. Приватность обеспечивается только на уровне инфраструктуры. Соответственно доступ к sms-кам имеют все те, кто имеет доступ к инфраструктуре. Т.е. в связке Банк-Оператор это несколько десятков или сотен человек. Понятно, что есть сертификация PCI DSS. Но те, кто надеется, что наличии сертификации PCI DSS автоматически гарантирует недоступность пинов — они несколько самонадеянны.
В целом, тенденция использования SMS-ок вместо бумажных конвертов удручает. С конвертами хотя бы понятно, кто физически имеет доступ в помещение с принтером.
То что карточные процессинги не хранят пин, понятно.
То что в карточном процессинге где-то лежат приватные ключи, которые участвуют в авторизации пинов, тоже понятно.
Но причем здесь SMS на телефонах?
SMS-ки ходят по обычным условным sms-сным протоколам. Приватность обеспечивается только на уровне инфраструктуры. Соответственно доступ к sms-кам имеют все те, кто имеет доступ к инфраструктуре. Т.е. в связке Банк-Оператор это несколько десятков или сотен человек. Понятно, что есть сертификация PCI DSS. Но те, кто надеется, что наличии сертификации PCI DSS автоматически гарантирует недоступность пинов — они несколько самонадеянны.
В целом, тенденция использования SMS-ок вместо бумажных конвертов удручает. С конвертами хотя бы понятно, кто физически имеет доступ в помещение с принтером.
Попросил технического эксперта Infobip написать ответ.
Ниже его комментарий:
«В стандартный процесс доставки, подразумевающий распечатку и доставку до локального отделения банка, вовлечено множество людей, что существенно повышает риски вскрытия конверта и срок доставки. Мы же предлагаем автоматизировать данный процесс, причем кодовое слово, необходимое для активации, возможно внести автоматически путем отправки „смс“.
В данном случае мы полностью исключаем доступ третьих лиц к данным, необходимым для верификации пользователя, включая сотрудников банка. На нашей платформе данные сообщения не логируются. Т.е. журнал аудита предоставляет нам полную информацию касательно того, кому из клиентов банка и в какой момент наша система выполнила верификацию и расшифровала, и отправила ПИН от карты, однако сам контент на нашей платформе не хранится.
Единственное слабое звено — между платформой Инфобип и мобильным оператором. Но тут так же присутствуют плюсы. Даже в случае перехвата данного сообщения — злоумышленнику оно не даст ровным счетом ничего. Мы не передаем ни CCV код с обратной стороны карты, ни информацию о картодержателе, ни срок действия карты или же полный номер карты/счета. Т.е. даже если кто-то увидит смс с текстом „Ваш пин 2525“ — этих данных недостаточно для взлома клиентского счета.
Аналогичным способом у многих банков реализован подобный способ доставки кодов, только голосом через IVR. И скепсиса касательно безопасности данный способ не вызывает. Так почему бы не доставлять через смс?
Ниже его комментарий:
«В стандартный процесс доставки, подразумевающий распечатку и доставку до локального отделения банка, вовлечено множество людей, что существенно повышает риски вскрытия конверта и срок доставки. Мы же предлагаем автоматизировать данный процесс, причем кодовое слово, необходимое для активации, возможно внести автоматически путем отправки „смс“.
В данном случае мы полностью исключаем доступ третьих лиц к данным, необходимым для верификации пользователя, включая сотрудников банка. На нашей платформе данные сообщения не логируются. Т.е. журнал аудита предоставляет нам полную информацию касательно того, кому из клиентов банка и в какой момент наша система выполнила верификацию и расшифровала, и отправила ПИН от карты, однако сам контент на нашей платформе не хранится.
Единственное слабое звено — между платформой Инфобип и мобильным оператором. Но тут так же присутствуют плюсы. Даже в случае перехвата данного сообщения — злоумышленнику оно не даст ровным счетом ничего. Мы не передаем ни CCV код с обратной стороны карты, ни информацию о картодержателе, ни срок действия карты или же полный номер карты/счета. Т.е. даже если кто-то увидит смс с текстом „Ваш пин 2525“ — этих данных недостаточно для взлома клиентского счета.
Аналогичным способом у многих банков реализован подобный способ доставки кодов, только голосом через IVR. И скепсиса касательно безопасности данный способ не вызывает. Так почему бы не доставлять через смс?
ПИНы через IVR тоже удручают, увы.
Объективно подходя к вопросу, телефонные технологии по определению не являются секурными. Их не создавали для этого.
Также можно, например, слать ПИН по электронной почте. В частном случае, тоже можно обеспечить его безопасность со стороны инфраструктуры. Будет ли такой подход в целом правильным?
И сейчас же мы не рассматриваем особенности работы конкретной компании. Мы говорим про технологии. Про их сильные и слабые стороны. Слать ПИН по SMS — не самое лучшее решение с точки зрения безопасности. С точки зрения удобства конечного пользователя — очень может быть, что удобно.
зы
сейчас почти все телефоны обладают функционалом загрузки содержимого телефона в облако.
т.е. пин твоей карты уже лежит где-то в интернете… узас-узас
Объективно подходя к вопросу, телефонные технологии по определению не являются секурными. Их не создавали для этого.
Также можно, например, слать ПИН по электронной почте. В частном случае, тоже можно обеспечить его безопасность со стороны инфраструктуры. Будет ли такой подход в целом правильным?
И сейчас же мы не рассматриваем особенности работы конкретной компании. Мы говорим про технологии. Про их сильные и слабые стороны. Слать ПИН по SMS — не самое лучшее решение с точки зрения безопасности. С точки зрения удобства конечного пользователя — очень может быть, что удобно.
зы
сейчас почти все телефоны обладают функционалом загрузки содержимого телефона в облако.
т.е. пин твоей карты уже лежит где-то в интернете… узас-узас
Чтобы отправлять PIN по электронной почте, нужно, как минимум, быть уверенным, что данное письмо обойдет все спам фильтры и не будет заблокировано многочисленными файрволами на пути к адресату. И в данном случае мы точно делимся пинкодом с системным администратором домена (в случае корпоративной почты) или с сотрудниками публичного почтового сервиса (google, mail и т.д.).
В случае использования смс/голоса для доставки – уровень безопасности во многом зависит от страны в которой реализовывается сервис и ее законодательства. В идеале, нужно требовать от операторов того же уровня безопасности, не хранения логов и т.д.
Однако, на территории РФ операторы вынуждены хранить логи сообщений. Естественно, в рамках реального клиента, оператор готов идти на встречу (выделение отдельного подключения для данного сервиса, согласования лимитированного списка сотрудников, которые имели бы доступ к мониторингу данного канала и т.д.) Как правило, такие вопросы уже решаются в рамках трехсторонних встреч, исходя из необходимых требований банка.
В случае использования смс/голоса для доставки – уровень безопасности во многом зависит от страны в которой реализовывается сервис и ее законодательства. В идеале, нужно требовать от операторов того же уровня безопасности, не хранения логов и т.д.
Однако, на территории РФ операторы вынуждены хранить логи сообщений. Естественно, в рамках реального клиента, оператор готов идти на встречу (выделение отдельного подключения для данного сервиса, согласования лимитированного списка сотрудников, которые имели бы доступ к мониторингу данного канала и т.д.) Как правило, такие вопросы уже решаются в рамках трехсторонних встреч, исходя из необходимых требований банка.
интересно когда банки осилят телеграм ботов для оповещений
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
PIN-коды банковских карт. Как современные технологии вытесняют бумажную почту