La masificación en el uso de teléfonos móviles para realizar compras por internet y el consiguiente desarrollo sin control de aplicaciones para estas plataformas, ha abierto un nuevo vector de ataque para los delincuentes, quienes, a través de la explotación de vulnerabilidades en el dispositivo o en el entorno de pago, pueden exfiltrar datos sensibles, incluyendo datos de tarjetas de pago.

Por otro lado, los dispositivos móviles son equipos mutifunción (es decir: no son exclusivamente para pagos), su configuración puede ser manipulada por el usuario final y contiene múltiples interfaces de conexión a redes y transmisión de datos (redes móviles (LTE, CDMA, GSM), bluetooth, WIFI, infrarrojos, near-field communication (NFC), etc.) y medios removibles de almacenamiento (microSD, SIM, etc.), que complican aún más su aseguramiento.

Para facilitar la implementación de controles de seguridad en estas aplicaciones, en julio de 2014 el PCI SSC publicó la primera versión del documento “PCI Mobile Payment Acceptance Security Guidelines“, en donde se enumeraban una serie de recomendaciones tanto para comercios como para desarrolladores. En septiembre de 2017 se realizó una actualización de estas guías para incluir mejoras y cubrir con nuevas características de las plataformas móviles.

Estos documentos son aplicables a entornos en los cuales un comercio hace uso de aplicaciones instaladas en teléfonos móviles para procesar cobros de sus clientes (por lo general con el soporte de dispositivos externos certificados PCI PTS) y a los desarrolladores de dichas aplicaciones. No están orientados al desarrollo de aplicaciones de pago para usuarios finales (como es el caso de las aplicaciones publicadas en Google Play y Apple Play Store), que se instalan en el teléfono propiedad de un único usuario y que capturan y transmiten únicamente los datos de tarjeta de ese usuario, como es el caso de pagos de comercio electrónico con tarjeta no presente (“card not present”), aunque algunas de sus recomendaciones pueden ser extrapoladas a estos escenarios.

A continuación se describe en términos generales el contenido de estas guías:

PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users

El documento “PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users” contiene recomendaciones generales de seguridad para comercios que hacen uso de smartphones y dispositivos similares (tablets) para aceptar pagos. En estos casos, es un proveedor de servicios quien proporciona el software a instalar en los teléfonos móviles y la plataforma de backend para el procesamiento de estas transacciones y (opcionalmente) los dispositivos móviles en los cuales será instalada la aplicación de pago, que también pueden ser propiedad del comercio.

Este documento está esquematizado de la siguiente manera:

  • Análisis de los procesos de ingreso, almacenamiento y egreso de datos de tarjetas de pago.
  • Recomendaciones para el aseguramiento del dispositivo móvil:
    • Prevención de acceso físico y lógico no autorizado a los dispositivos.
    • Protección del dispositivo contra malware.
    • Verificación de que el dispositivo se encuentra en un estado “seguro”.
    • Deshabilitación de funciones no necesarias del dispositivo.
    • Detección de pérdida o robo del dispositivo.
    • Eliminación segura de dispositivos antiguos.
  • Recomendaciones para el aseguramiento de la solución de aceptación de pagos:
    • Implementación de soluciones seguras.
    • Verificación del uso seguro de la solución de aceptación de pagos.
    • Uso preferente de transacciones en línea (“online”).
    • Prevención de uso de autorizado.
    • Inspección de registros de eventos del sistema y reportes.
    • Verificación de que los clientes pueden validar el comercio o la transacción.
    • Generación segura de recibos de pago.

Como anexos, se incluyen guías específicas para delegación de responsabilidades entre los proveedores de servicio y los comercios y los criterios de selección de un proveedor de servicios para estas plataformas.

PCI Mobile Payment Acceptance Security Guidelines for Developers

Como complemento a la guía para comercios, el documento “PCI Mobile Payment Acceptance Security Guidelines for Developers” se focaliza en los siguientes controles en el desarrollo y ejecución de la aplicación de pagos en teléfonos móviles:

  • Prevención de acceso lógico no autorizado al dispositivo.
  • Creación de controles de lado del servidor (“server-side”) y reportes de acceso no autorizado.
  • Prevención de escalamiento de privilegios.
  • Creación de controles para deshabilitar de forma remota la aplicación de pagos.
  • Detección de pérdida o robo.
  • Controles de aseguramiento (“hardening”) de los sistemas de soporte.
  • Controles de aseguramiento (“hardening”) de la aplicación.
  • Alineación con criterios de seguridad en la codificación, ingeniería y pruebas.
  • Protección contra vulnerabilidades conocidas.
  • Protección del dispositivo contra aplicaciones no autorizadas.
  • Protección del dispositivo contra malware.
  • Protección del dispositivo contra periféricos no autorizados.
  • Creación de material instructivo para implementación y uso.
  • Protección de datos de tarjetas en recibos.
  • Proveer un mecanismo de indicación de estado “seguro” de la aplicación.
  • Proveer mecanismos de auditoría y registro para accesos de usuarios al dispositivo.

Finalmente, se incluye una matriz de responsabilidades entre diferentes actores que pueden estar involucrados en el proceso de desarrollo e implementación de aplicaciones de pago en dispositivos móviles.

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia.