Помимо уже используемых в мобильных устройствах QR-кодов, сервисов SMS, протоколов WAP, эксперты ISACA видят перспективы в токенизации мобильных гаджетов, шифровании данных на них и двухфакторной аутентификации.
Токенизация. Наборы приложений для безопасных мобильных платежей во время транзакций вместо номера банковской карты позволяют передавать платежному терминалу (или в сеть) случайным образом сгенерированный набор данных - токен. Токен может быть сконфигурирован с таким расчетам, чтобы отвечать специальным критериям: точному моменту времени, конкретному ритейлеру, определенному размеру платежа... И только выпустивший токен банк и авторизованные клиенты и партнеры банка могут отождествить его с конкретной платежной картой. Так образуется еще один рубеж защиты чувствительных пользовательских данных.
Шифрование данных производится с таким расчетом, чтобы привязать платежи к устройству, принадлежащему владельцу карты. Шифрограмма устройства отправляется на платежный терминал вместе с токеном. Это образует защиту транзакционных данных в случае их перехвата и попытке использовать на других устройствах.
Двухфакторная аутентификация организуется по традиционной схеме: что-то, что пользователь знает (пароль), что-то, чем он располагает физически (устройство, платежная карта) и биометрические данные (отпечатки пальцев, голоса, распознавание лица).
Если владелец устройства не хранит на нем данные платежной карты, то для предлагаемой схемы защиты утеря устройства не страшна, тем более, что память устройства может быть очищена дистанционно.
Однако следует учитывать, что предлагаемая схема требует строгой аутентификации при доступе к набору платежных приложений. Эксперты ISACA рекомендуют использовать для этого сильные пароли и биометрию.
Интеграция технологий мобильных платежей с мерчант-бизнесом позволяет повысить безопасность платежей (например, через геолокацию устройства плательщика) и развивать программу лояльности клиентов.
Прошлогодние исследования ISACA показывают, что отношение к безопасности мобильных платежей в среде ИТ- и ИБ-специалистов скептическое — только 23% из опрошенных считают их безопасными. Однако, исследования компании Ovum говорят, что к 2019 году количество мобильных плательщиков превысит 1 млрд. (против 44,5 млн. в 2014 году). А к этому ИТ- и ИБ-специалистам нужно готовиться, даже если они считают на сегодняшний день эти технологии слабо защищенными.
