Per quanto riguarda la sicurezza, non ho uno standard specifico di cui sono a conoscenza. I sistemi di ticketing intelligenti sono vari, ma di solito consistono in:
- Una sorta di identificatore di passeggero, ad es. una scheda o dispositivo RFID / NFC.
- Un dispositivo point-of-sale (PoS), ad esempio uno scanner su un bus o in una stazione.
- Un collegamento di comunicazione tra il PoS e il back-office.
- Un sistema di back-office che elabora le transazioni, mantiene l'equilibrio e le informazioni sui clienti e si interfaccia con il gateway di pagamento.
Soprattutto, i dettagli delle carte di solito vengono presi prima del tempo e solitamente vengono memorizzati solo nel sistema di back-end.
La configurazione specifica dipende in larga misura dal tipo di trasporto. Mentre un servizio di autobus metropolitano può utilizzare un collegamento cellulare 3G per tornare in ufficio, un treno che attraversa il paese potrebbe avere più difficoltà nelle aree rurali dove le torri cellulari sono poche e lontane tra loro.
Il normale meccanismo che ho visto è che l'elenco degli ID delle carte validi viene sincronizzato periodicamente su tutti i sistemi PoS (ad esempio tramite WiFi a una stazione) in modo che le singole carte possano essere identificate come "valide" senza dover chiamare casa ogni volta che qualcuno esegue lo swipe. Ogni transazione viene memorizzata nella cache locale e quindi trasmessa quando è disponibile una connessione.
La sicurezza delle comunicazioni effettive dipende interamente dall'implementazione. Può basarsi interamente sulla crittografia dei livelli di collegamento dei dati (ad es. WPA2), sulla sicurezza dei livelli di trasporto (ad esempio TLS) o sulla sicurezza del proprio livello di applicazione.
Naturalmente, nel caso di sistemi in cui i pagamenti contactless sono eseguiti al PoS, il PAN potrebbe essere trasmesso, e come tale le comunicazioni (e il dispositivo PoS) diventeranno parte del dominio PCI.