È sicuro chiedere a un utente di inserire il pin della sua carta di debito per eseguire determinate azioni sulla sua app di mobile banking? (pagamento, visualizza il numero della carta, ecc.)
Il pin verrà trasmesso su HTTPS, che è conforme ai requisiti PCI per l'elaborazione dei pin online. Ma gli HTTP possono essere violati, quindi inviare il PIN così spesso non sembra saggio (e potrebbe non essere conforme allo standard PCI o seguire le best practice del settore)
Penso che PCI Pin Security (v2) Requisito 1 sia il più pertinente alla tua domanda:
"All cardholder-entered PINs must be processed in equipment that conforms to the requirements for secure cryptographic devices (SCDs). PINs must never appear in the clear outside of an SCD.
A secure cryptographic device (SCD) must meet the requirements of a “Physically Secure Device” as defined in ISO 9564. For POI PIN-acceptance devices this is evidenced by their being validated and PCI approved"
Quindi, a meno che il dispositivo non soddisfi i requisiti di una SCD (non conosco alcun dispositivo simile a quello dei computer domestici o dei cellulari consumer che soddisfano tali requisiti) non può essere fatto. I dettagli della crittografia e del trasporto dei dati sono secondari a questo (che, IMO, non può essere superato).
Ciò che ho capito, questo requisito non viene applicato (controllo compensativo: il compromesso è limitato a un singolo titolare di carta) per le apparecchiature di proprietà del titolare della carta, poiché il rischio di compromissione si riduce a una singola istanza di una carta. Ad esempio, se l'app di mobile banking è compromessa, otterresti il codice PIN per un singolo cliente . Non molti clienti come se fosse stato compromesso un dispositivo di ingresso PIN ATM / POS.
Quando si parla anche di transito, credo che la banca abbia adottato misure per impedire che il PIN sia visibile anche se l'HTTPS è stato decifrato / rimosso / compromesso, utilizzando la crittografia specifica per app che sta utilizzando il codice PIN per generare uno ZKP.
Il motivo per cui un pinpad ATM / POS deve essere ad esempio un SCD è quello di impedire a qualcuno di installare uno skimmer invisibile sotto la tastiera che "snoop" il codice PIN. Ora lo skimmer deve ricorrere a metodi rilevabili come fotocamere o overlay PINpad, in quanto il PIN è crittografato nel pad PIN antimanomissione.
Anche un'altra cosa che fanno gli emittenti:
Pensa a tutti quei "card reader OTP" in cui inserisci la tua carta, inserisci il PIN del titolare della carta, e sullo schermo viene mostrato un codice OTP che può essere utilizzato per accedere a Internet banking. Anche questi non soddisfano i requisiti per SCD, in quanto non hanno alcuna resistenza alla manomissione. Ma la resistenza alla manomissione sarebbe anche impossibile da implementare su un "card reader OTP", in quanto quindi il cardreader dovrebbe quindi essere personalizzato per il cliente invece di essere "generico".
Stessa cosa con Samsung Pay, Android Pay e Apple Pay. L'autenticazione del titolare della carta è qui eseguita su un dispositivo "non sicuro", ma il dispositivo è ancora di proprietà del titolare della carta, il che lo rende molto più sicuro, in quanto la manomissione del dispositivo potrebbe ottenere i dettagli di un titolare di carta, non molti, e anche la manomissione richiederebbe mani fisiche su di esso, il che è molto più difficile che scremare un bancomat o simile.
Il settore delle carte di pagamento ha già approvato Samsung Pay, Android Pay e Apple Pay, anche se il loro supporto per l'autenticazione PIN viene eseguito su un dispositivo che non è conforme a SCD. (L'impronta digitale viene normalmente utilizzata, ma è possibile utilizzare il PIN se il dito è sporco ecc.)