Chiedete a qualsiasi commerciante e tutti vi risponderanno che accettare pagamenti con carta di credito presenta vari problemi per la sicurezza. Essere un professionista della sicurezza in un contesto commerciale non comporta solo l'osservanza dei requisiti (alquanto rigorosi) del PCI DSS (Payment Card Industry Data Security Standard), ma coinvolge anche tutta una serie di elementi da considerare con cauta attenzione. Ad esempio occorre prevenire transazioni potenzialmente fraudolente; mantenere schede contenenti le informazioni sul titolare della carta; mantenere i percorsi seguiti dai dati nel loro viaggio in seno all'ambiente "merchant"; garantire un'adeguata separazione tra l'ambiente dati del titolare della carta (CDE) e gli altri ambienti partendo dalla valutazione della sicurezza e conformità dei provider di servizi, e occupandosi anche di numerosi altri problemi.
Il punto è che i pagamenti possono risultare difficili dal punto di vista della sicurezza. Poiché nessuno dispone di mezzi illimitati, spetta ai professionisti della sicurezza trovare modi creativi per affrontare tali sfide con un occhio di rispetto per le esigenze di budget e di sicurezza. In questo contesto, essere creativi significa spesso servirsi di mezzi, apparentemente non ortodossi, per promuovere la sicurezza, spremendo ogni goccia di valore aggiunto dalle opportunità che si presentano e minimizzando simultaneamente l'impatto sulle attività di lavoro.
Che ci crediate o no, accettare pagamenti da supporti "mobile" può essere uno di tali mezzi. Conoscendo il loro funzionamento interno — e cercando modi creativi per monetizzare questa conoscenza in vantaggi dal punto di vista della sicurezza — gli stakeholder hanno la possibilità di far compiere vari progressi ai loro programmi di sicurezza, offrendo nel contempo ai loro clienti un prezioso servizio.
Pagamenti: perché "mobile"?
In verità, per molti professionisti questa scelta potrebbe suonare assurda. Il "Mobile Payment Survey 2015" di ISACA, ad esempio, ha mostrato che dei 900 professionisti della sicurezza intervistati, l'87 percento sia spettava di rilevare nell'anno successivo un aumento delle violazioni dei dati dei pagamenti mobile. Circa metà di loro (il 47 percento) ha espresso l'opinione che i pagamenti mobile non siano sicuri, mentre solo il 23 percento è dell'idea che i pagamenti mobile offrano ai dati personali una protezione sicura. Sarebbe riduttivo limitarsi ad affermare che i professionisti guardano ai pagamenti mobile con scetticismo.
Ciò detto, vale la pena di chiedersi quali siano le alternative ai pagamenti mobile. Riflettete per un momento a tutte le autostrade aperte a frodi e abusi, ogni singola volta che un cliente presenta la propria carta di credito per eseguire una transazione che ne richieda l'impiego diretto. Ogni volta che la carta di credito esce dal portafoglio del titolare si presenta la possibilità di perderla o subirne il furto. È possibile sia intercettare i dati sul punto di vendita (ad es., con uno "skimmer"), sia rubarli sui supporti di memorizzazione logica del POS, sia intercettarli (sniffing) in rete tra il POS e qualsivoglia sistema gestisca i dettagli del pagamento fino al back end di elaborazione del pagamento, e così via. Grossi problemi sono possibili in ogni singolo passaggio lungo tale percorso.
Confrontiamo ora questo panorama con uno scenario di pagamento "mobile" come Android Pay, Samsung Pay o Apple Pay. In questi contesti il numero dell'account primario (PAN) è protetto con l'impiego di token per il pagamento, inoltre le transazioni vengono autenticate usando crittografia forte ed esistono meccanismi per ridurre, se non eliminare, molte delle possibilità di frode che esistono nel tradizionale contesto di esibizione e impiego diretto della carta di credito. Si instaura poi un solido legame tra il titolare della carta e la transizione in sé tramite il requisito di un'autenticazione supplementare (biometrica o PIN) prima che il pagamento venga eseguito.
Con questo non si vuol affermare che i pagamenti mobile abbiano delle caratteristiche di sicurezza universalmente migliori in tutti i casi possibili, ma solamente che in molte situazioni essi possono avere dei vantaggi rispetto alle transazioni tradizionali che comportano l'esibizione della carta di credito. Con questa consapevolezza, accettare i pagamenti mobile può trasformarsi da sfida in opportunità.
Prassi di riduzione del rischio
Stabilito questo, in quali modi i professionisti della sicurezza nel campo possono fare della scelta "mobile" un proprio punto di forza? Il primo è che capiscano le proprietà di sicurezza proprie dai pagamenti mobile e i possibili vantaggi/svantaggi che ne derivano, come evidenziato sopra. Qui il suggerimento non è che leggano le specifiche tecniche o consultino altro materiale analogo, ma che si concentrino convenientemente sui concetti di alto livello perché, in ultima analisi, saranno loro a farsi carico delle scelte correlate, in tema di rischio. Il recente documento (white paper) di ISACA, Is Mobile the Winner in Payment Security?, sottolinea le proposte di valore aggiunto all'attività operativa (inclusi gli aspetti di sicurezza) e descrive alcuni controlli che possono essere d'aiuto ai professionisti della sicurezza di settore, nel ridurre alcuni dei rischi potenziali.
Come il documento citato spiega più in dettaglio, uno dei vantaggi fondamentali di ricorrere al token per i pagamenti mobile è il fatto che il PAN non viene archiviato sul dispositivo mobile o trasmesso al commerciante. Anche nel caso che la rete del commerciante stesso sia compromessa, questo non compromette il PAN. In tal modo il rischio di furto o frode si riduce.
Un buon punto di partenza. Ma in aggiunta, il fatto di supportare pagamenti mobile può conferire valore aggiunto ai programmi di sicurezza anche in un altro modo. In particolare, dato che il processo di attivazione dei pagamenti mobile richiede l'aggiornamento parallelo dei POS nelle sedi di vendita, questo stesso aggiornamento può costituire un'utile opportunità per rivisitare tali sedi di vendita e, contemporaneamente, ottenere una panoramica più ampia sulle contromisure di sicurezza attuate (poiché, come ogni commerciante può confermarvi, i punti di vendita al dettaglio sono spesso la sede di specifici problemi).
La rivisitazione sistematica delle misure di sicurezza adottate nelle sedi di vendita — sia per il POS, sia per la sede nel suo complesso — offre numerosi vantaggi. Occorre tener presente che un sottoinsieme di queste sedi è in ogni caso il probabile oggetto di un riesame, cosa necessaria per completare la documentazione richiesta dal programma PCI DSS (un RoC [Report on Compliance – Rapporto di conformità] per le organizzazioni commerciali maggiori o un SAQ [Self- Assessment Questionnaire - Questionario di autovalutazione] per quelle più piccole). In particolare, dal momento che le sedi di vendita al dettaglio interessate da transazioni di pagamento sono quasi sempre parte del CDE, esse saranno di regola anche incluse in un riesame di valutazione. Ne segue che il budget dedicato all'aggiornamento del POS può avere una doppia utilità: da un lato aggiornare il POS (e potenzialmente ridurre determinate aree di rischio che già esistono), dall'altro ampliare la possibilità di rivisitare altre potenziali aree di criticità proprie della sede di vendita.
Il progresso nell'accettazione dei pagamenti in modalità mobile rappresenta certamente una sfida, che comporta comprensibilmente dei disagi poiché la tecnologia in sé è relativamente nuova. Ma costituisce anche un'occasione per i professionisti capaci che sanno cosa cercare e possono — come i judoka — capovolgere le situazioni a proprio vantaggio.
Robert Clyde, CISM
È il Managing director di Clyde Consulting LLC (USA). Presiede inoltre i consigli di amministrazione di White Cloud Security, (impiego operativo di liste di app affidabili); di TZ Holdings (nuova identità della Zimbra), un leader nel software di comunità e collaborazione; e di Xbridge Systems, un leader nel software di analisi e studio dati. È a capo di un comitato direzionale ISACA ed è stato membro dello Strategic Advisory Council di ISACA, del Conference and Education Board e del comitato consultivo di IT Governance Institute (ITGI). In precedenza è stato CEO di Adaptive Computing, che fornisce software per HPC (High Performance Computing), per ambienti di Big Data e per la gestione del carico, in uso presso alcuni dei cloud più grandi del mondo. Prima di fondare Clyde Consulting, è stato CTO in Symantec e co-fondatore di Axent Technologies. Clyde è un oratore abituale alle conferenze di ISACA e della NACD (National Association of Corporate Directors). Fa parte del comitato consultivo tecnico del Dipartimento dei Sistemi di Gestione delle Informazioni dell'Università Statale dello Utah (USA).