移动支付获得了ISACA的安全批准
移动支付已在ISACA,全球协会,信息安全风险和IT治理专业人员的报告中获得安全批准。
根据该报告,由于安全技术的进步,行业感知正在转向倾向于通过塑料支付卡的无与伦比的支付。
ISACA研究人员已经确定了移动支付相对于物理和电子商务交易的几个优势。
但是,这不包括使用移动设备但没有所有现代移动支付功能的传统支付系统,描述了该报告。
这些遗留系统包括快速响应(QR)代码,短信(短消息服务) - 基础,移动设备上的存储价值应用程序和使用WAP代理的无线接入协议(WAP)形式以预先填充在线电子商务支付表单。
在物理支付中,卡可以通过卡,卡篡改,交易欺骗,捕获认证数据等盗窃或丢失来损害卡,例如卡验证码,并筛选磁轨迹数据。
在电子商务世界中,可以在电子商务世界中妥协或欺诈事务可以以多种方式启动,包括事务重播,会话窃取和数据捕获。
然而,令牌,设备特定的密码和双因素认证等重点安全性改进可能使移动支付更有吸引人的消费者和商家。
随着正确的控制,报告称,移动支付技术的安全进步可以减少交易付款,特别是零售业的企业的风险。
将移动支付整合到商家的业务也为更强大的客户忠诚度计划创造了机会,并在客户无法访问其物理支付卡时在情况下购买。
报告称,在移动支付交易期间,商家可以优化具有特殊优惠,忠诚点更新,优惠券和其他信息的客户忠诚度功能。
“具有嵌入式,改进和透明的安全控制的移动支付是安全性可以充当企业推动者的一个很好的例子,促成了建立用户信任,”Isaca董事会主席和Intranot的信息安全集团总监。
报告称,象征化是该报告称的主要机制之一,该报告称。
安全移动支付应用程序 - 或移动钱包 - 不要传输卡的主账号(PAN),而是将随机生成的令牌发送到销售点(POS)终端和支付网络。此令牌在运输过程中保障消费者的数据。
根据该报告,象征化正在持续在持续竞赛中在消费者敏感的金融信息保护中推动移动支付,以保持在黑客和其他威胁。
令牌可以康明德仅适用于符合特定标准的交易,以确切的时间,特定零售商和某些货币金额。只有发行银行和授权实体可以将代币牢固地映射到原始支付卡数据。
设备特定的密码可确保付款源自卡持有人的设备。这意味着如果黑客获得移动支付交易数据,则不能在另一个移动设备上使用与令牌发送到POS终端的密码。这有助于渲染任何被盗的数据不可避免和无用。
双因素认证(2FA)通过使用两个独立的身份验证机制,为防范移动支付欺诈提供额外的图层。
在使用的普通凭证中,用户知道(例如密码)的东西,用户拥有的物理(例如支付卡或电话)和诸如指纹,语音打印或面部识别的生物识别。
该报告指出,如果丢失包含移动钱包的移动设备,则可以远程擦除移动设备。此外,由于消费者的支付卡信息不在移动设备上,因此不需要更换支付卡。
但是,报告指出,用户应该对其移动式钱包应用程序的强大身份验证,最好是复杂的密码和生物识别。移动钱包应该使用标记,并且可以使用手机处理的交易数量应限于存储在手机中的少数令牌。
移动设备所有者还应设置或打开设备定位器/远程擦除功能,以便如果丢失或被盗,它们可以远程擦除其设备。
像消费者一样,商人在许多情况下可以从移动支付中受益。报告称,“商家的一个主要福利是,增强的安全性应该降低欺诈,从而降低成本。
该报告概述了移动支付的安全优势挑战移动支付风险的看法。
ISACA 2015的移动支付安全研究表明,只有23%的IT和网络安全专业人员表示,他们认为移动支付保持个人信息安全。据Ovum称,仍然预计到2019年全球移动支付用户数目,预计将达到10.9亿升至2014年。
虽然现代移动支付方法提供了许多好处,但指南也注明了一些潜在的漏洞。
这些包括在用户在移动钱包应用程序中注册支付卡时的一次性注册。移动钱包提供商使用诸如将支付卡数据和设备的地理协调提供给发行银行的方法,并且任何差异可能导致寻求额外验证的呼叫。
该指南鼓励采用移动支付选项的商家定期重新评估风险控制措施,以确保可能出现的任何情况得到充分解决。