J'avoue que je peux être un peu paranoïaque.
Je sais que tu ressens la même chose aussi. Parce que lorsqu'il s'agit de confier à un tiers les détails de votre carte bancaire, on ne peut pas être trop prudent, n'est-ce pas. Qu'est ce qui pourrait aller mal? Eh bien, il existe un risque réel que les détails de votre carte tombent entre de mauvaises mains (pirates). Cela implique malheureusement que votre argent pourrait disparaître. Ou pire, mener à un cas d'usurpation d'identité.
Cela signifie des événements apparemment banals où je dois utiliser ma carte, par exemple faire des achats en ligne pour de nouveaux entraîneurs ou aller dans un restaurant à Lekki, me rend super inquiet ! Certaines des questions habituelles qui me traversent la tête sont; Dans quelle mesure ce magasin ou ce site Web est-il sécurisé ? Les détails de ma carte vont-ils être compromis ? Cette transaction est-elle vulnérable aux pirates ?
Et juste pour être clair, il ne s'agit pas d'une tentative de dénigrer un détaillant ou un processeur de paiement en particulier simplement parce qu'il appartient à des Nigérians. Par exemple, j'étais dans Cornouailles le week-end dernier et j'ai choisi quelques articles dans un magasin, je suis arrivé à la caisse pour payer et le gentil vendeur m'a dit "notre machine POS est cassée ; laissez-moi noter les détails à 16 chiffres de votre carte et nous la débiterons pour vous ». Vous auriez dû voir l'expression d'horreur absolue sur mon visage ! Tremblant, j'ai dit 'non merci…Laissez-moi voir si j'ai assez pour payer en espèces'. Ainsi, la sécurité des paiements peut être chaotique n'importe où et n'est spécifique à aucune région.
Par conséquent, je réfléchis à cet article particulier, d'une manière éclairée d'intérêt personnel - laissez-moi vous aider, vous protéger, me protéger. Voici donc mes conseils gratuits sur la façon de penser à la sécurité et à la paranoïa alors que le Nigeria continue de faire de grands progrès dans la FinTech ;
Limites de la certification PCI
Nous aimons les certifications. Ils nous donnent ce sentiment chaleureux et flou que tout va bien et dandy. Et lorsqu'il s'agit de sécurité des paiements, il n'y a probablement rien de plus réconfortant qu'une entreprise à annoncer au monde (j'ai aussi entendu dire que nous buvions du champagne), qu'elle vient d'atteindre la norme PCI DSS1 ou PA DSS2 ou la conformité P2PE, etc. Pour l'entreprise (et le public), cela semble toujours être le cas : plus il y a d'acronymes, meilleure est la sécurité ! Bien sûr, la réalisation de l'industrie des cartes de paiement (PCI) est significative, car elle établit une norme acceptable pour la sécurisation et le transfert de données sensibles, par exemple en utilisant des protocoles tels que SSL, HTTPS, etc. qui sont obligatoires pour la conformité.
Mais il y a un hic; La certification PCI n'est pas l'alpha et l'oméga de la sécurité. C'est censé être un début. À mon avis, il existe deux façons simples de penser aux limites de la conformité PCI ; les domaines qu'il couvre; cependant, il y a une lacune dans l'expertise et les domaines qu'elle couvre; mais l'adhésion significative dans le monde réel est faible.
La première limitation est qu'elle délègue la responsabilité dans certains cas à des parties incapables ou incapables (par manque d'expertise) de livrer. Par exemple, si vous regardez la directive PA-DSS pour la protection du code mémoire, cela relève de la responsabilité de l'utilisateur (commerçant). Cela signifie que pour atteindre le statut de réalisation de PA-DSS, les développeurs d'applications (startups) n'ont pas besoin de chiffrer les données sensibles en mémoire ou de dissimuler leur code compilé. Au lieu de cela, il est de la responsabilité du commerçant (par exemple, votre supermarché) de mettre en place des solutions de contournement telles que des pare-feu et la surveillance de l'intégrité des fichiers. Cela signifie que si j'entre dans un magasin pour acheter un produit, ma sécurité dépend également de la connaissance qu'ils ont de ces choses. Ce dont je doute est beaucoup.
Soyez le plus intelligent de la pièce
Essayez-le, vous pouvez vous désinscrire à tout moment. Politique de confidentialité.
La deuxième limite est que les normes PCI-DSS et PA-DSS interdisent également certaines actions conformes aux règles, alors que dans le monde réel, ces règles sont difficiles à appliquer. Par exemple, il ne permet clairement pas le stockage complet des données de piste, comme indiqué dans ci-dessous référence.
Les données d'authentification sensibles ne doivent pas être stockées après l'autorisation (même si elles sont cryptées)
Le point qui mérite d'être souligné est que "après autorisation" sont les mots clés de cette phrase. Par exemple, lorsqu'elle est appliquée au traitement de secours (par exemple lorsque le réseau est en panne), cette exigence signifie que les données de suivi peuvent être stockées (par exemple pour Store & Forward ou Timeout Reversal), et en réalité presque toutes les applications de paiement le font. Il existe de sérieux problèmes de rapprochement et de rétrofacturation car ils nécessitent que le numéro de demande de paiement complet (PAN) soit renvoyé à l'hébergeur, ce qui signifie que des données très sensibles peuvent être archivées pendant des minutes, des heures ou même plusieurs jours.
Que faire?
Pour votre entreprise/startup, ne pensez pas que la certification PCI signifie qu'il n'y a plus de problèmes de sécurité à résoudre. Investissez également du temps et de l'énergie pour éduquer vos utilisateurs finaux, par exemple si vous avez PA-DSS, vous êtes probablement un fournisseur de logiciels qui vend à plusieurs clients. Vous devez éduquer ces multiples clients.
(Remarque : une troisième limitation évidente du PCI concerne les domaines qu'il ne couvre tout simplement pas. Cela dépasse le cadre de cet article)
L'attractivité comme cible
Commençons par les faits ; aucune plateforme n'est sécurisée à 100% ! Rien. Ainsi, les méchants n'ont que l'embarras du choix et se dirigent généralement là où les gains sont ridiculement élevés. Trop d'exemples à citer mais des cas récents de Valeur de 50 millions de dollars d'Ether dans l'affaire DOA ainsi que 81 millions de dollars volés à la banque centrale du Bangladesh venir à l'esprit. Même le réseau Swift, également connu sous le nom de "Rolls-Royce des réseaux de paiement" en raison de son système ultra-sécurisé, que les banques (du monde entier) utilisent pour autoriser les paiements d'un compte à un autre, a été compromis à de nombreuses reprises.
C'est là que réside l'énigme; plus une plate-forme devient grande et puissante, plus elle devient vulnérable aux attaques. Pour nous au Nigéria, nous ne sommes pas encore à cette échelle qui nous rend si attractifs. C'est à la fois une bonne et une mauvaise chose, car cela signifie que nous avons peut-être le temps de mettre de l'ordre dans notre maison, avant le jour du jugement.
Mais une autre chose qui mérite d'être soulignée est que vous avez des facteurs internes à prendre en compte en ce qui concerne la vulnérabilité aux attaques. Cela ne dépend pas de l'échelle.
Que faire?
Reconnaissez les problèmes de préposés que l'échelle apporte à votre porte. Pour paraphraser un sage, c'est plus d'argent, plus de problèmes. Il est donc temps de se préparer en examinant les processus et en recherchant avec diligence les failles. Vous en avez certainement dans votre entreprise.
Un appel à l'auto-déclaration et à la collaboration
Enfin, nous devons améliorer notre auto-déclaration. Il y a un besoin de collaboration lorsque nos systèmes sont piratés ou compromis, pour partager des idées et de l'expertise sur la meilleure façon de nous protéger contre les événements futurs. C'est la norme dans d'autres parties du monde de le faire (bien que cela se fasse parfois à contrecœur), c'est pourquoi nous entendons parler d'attaques et avons tant d'études de cas sur la façon de les prévenir.
Même les méchants collaborent ! L'infâme Le piratage de JP Morgan 2014 qui a vu plus de 100 millions de comptes piratés était un grand travail de collaboration. Il y a beaucoup à apprendre de cet aspect.
Alors là, vous avez tout, les amis! S'il vous plaît, travaillons ensemble pour nous protéger les uns les autres. Maintenant, où ai-je encore laissé ma carte…
Cet article a été publié pour la première fois le Le blog d'Ade Olabode.
Crédit photo: Stefan Muth via Compfight cc
1. PCI DSS : norme de sécurité des données de l'industrie des cartes de paiement
2. PA DSS : Norme de sécurité des données de l'industrie des applications de paiement
