Ciò che ho capito, questo requisito non viene applicato (controllo compensativo: il compromesso è limitato a un singolo titolare di carta) per le apparecchiature di proprietà del titolare della carta, poiché il rischio di compromissione si riduce a una singola istanza di una carta. Ad esempio, se l'app di mobile banking è compromessa, otterresti il codice PIN per un singolo cliente . Non molti clienti come se fosse stato compromesso un dispositivo di ingresso PIN ATM / POS.
Quando si parla anche di transito, credo che la banca abbia adottato misure per impedire che il PIN sia visibile anche se l'HTTPS è stato decifrato / rimosso / compromesso, utilizzando la crittografia specifica per app che sta utilizzando il codice PIN per generare uno ZKP.
Il motivo per cui un pinpad ATM / POS deve essere ad esempio un SCD è quello di impedire a qualcuno di installare uno skimmer invisibile sotto la tastiera che "snoop" il codice PIN.
Ora lo skimmer deve ricorrere a metodi rilevabili come fotocamere o overlay PINpad, in quanto il PIN è crittografato nel pad PIN antimanomissione.
Anche un'altra cosa che fanno gli emittenti:
Pensa a tutti quei "card reader OTP" in cui inserisci la tua carta, inserisci il PIN del titolare della carta, e sullo schermo viene mostrato un codice OTP che può essere utilizzato per accedere a Internet banking.
Anche questi non soddisfano i requisiti per SCD, in quanto non hanno alcuna resistenza alla manomissione.
Ma la resistenza alla manomissione sarebbe anche impossibile da implementare su un "card reader OTP", in quanto quindi il cardreader dovrebbe quindi essere personalizzato per il cliente invece di essere "generico".
Stessa cosa con Samsung Pay, Android Pay e Apple Pay. L'autenticazione del titolare della carta è qui eseguita su un dispositivo "non sicuro", ma il dispositivo è ancora di proprietà del titolare della carta, il che lo rende molto più sicuro, in quanto la manomissione del dispositivo potrebbe ottenere i dettagli di un titolare di carta, non molti, e anche la manomissione richiederebbe mani fisiche su di esso, il che è molto più difficile che scremare un bancomat o simile.
Il settore delle carte di pagamento ha già approvato Samsung Pay, Android Pay e Apple Pay, anche se il loro supporto per l'autenticazione PIN viene eseguito su un dispositivo che non è conforme a SCD. (L'impronta digitale viene normalmente utilizzata, ma è possibile utilizzare il PIN se il dito è sporco ecc.)