Samsung Pay
В эпоху передовых технологий использование мобильной платежной платформы становится все более популярным. Официальный производитель Samsung разработал платежную систему, позволяющую владельцам гаджетов совершать бесконтактные платежи. Это возможно благодаря технологиям NFC и MST (менее распространенным). Однако перед запуском сервиса стоит выяснить, безопасно ли платит Samsung или есть какой-то риск?
Какие меры защиты предусмотрены?
Создатели сервиса мобильных платежей уверяют, что приняли серьезные меры для повышения безопасности Samsung Pay. Пользователи гаджетов могут не беспокоиться о сохранности средств, благодаря тому, что официальный производитель реализовал следующие идеи:
1) повышение безопасности прямо на мобильном устройстве. В случае разблокировки загрузчика, получения прав суперпользователя или активации Samsung KNOH произвести оплату с помощью Samsung Pay будет невозможно. Любителям персонализации (адаптации продукта под нужды потребителя) это может не понравиться. Но все согласятся, что хранение средств намного важнее;
Apple Pay vs. Samsung Pay vs. Nokia 3310 — эпичное сравнение!
Samsung KNOH — надежная технология мобильных устройств. Независимо от операционной системы весь контент, включая Samsung Pay, надежно защищен.
2) оплата производится на основании созданного пароля или индивидуального отпечатка пальца. По заявлению официальных разработчиков, вероятность отказа сканера отпечатков пальцев не превышает 0,002%;
Не рекомендуется часто использовать RIN-код при оплате. Это связано с тем, что любой, кто находится поблизости, в момент оплаты может увидеть пароль. Такая информация не должна быть у посторонних лиц.
3) Создание специального алгоритма для сервиса Samsung Pay. После того, как пользователь добавляет номер своей карты в программу мобильных платежей, полученная информация определенным образом зашифровывается. Это создает токен (специальный цифровой код, который используется для совершения платежа). Этот алгоритм платежного сервиса безопасен, поскольку токен и криптограммы защищают конфиденциальную информацию.
После добавления карты в систему информация из банковского продукта не может быть скопирована или считана (особенно если карта имеет чип). Информация о карте поступает от банка-эмитента.
Оплачивать покупки рекомендуется отпечатком пальца. Эта функция имеет высокий уровень защиты конфиденциальности.
Если смартфон потерян или украден?
Большинство клиентов спрашивают: «Безопасен ли Samsung Pay, если телефон попадет в руки посторонних лиц?» Действительно, существует риск потери или кражи вашего мобильного устройства. Однако даже эта ситуация не означает, что средства и личные данные могут быть использованы злоумышленниками. Конфиденциальная информация и осуществление платежей не будут доступны посторонним лицам, потому что:
Samsung Pay как оно работает
- на самом смартфоне точно есть пароль, который крайне сложно угадать (если владелец не установил безопасный RIN-код, это рекомендуется сделать). Такая мера обезопасит не только платежное приложение, но и сам гаджет);
- Платежи производятся с использованием отпечатков пальцев владельца или надежного пароля. Отпечаток пальца подделать невозможно. Что касается пароля, то маловероятно, что он будет известен случайному человеку, получившему доступ к телефону;
- Встроенная служба безопасности KNOH ограничивает доступ к личным данным и препятствует полноценному использованию этих функций;
- токенизация защищает все личные данные, поэтому невозможно определить номер карты;
- если мошенник перехватит данные, поступающие со смартфона на терминал в момент оплаты, он все равно не сможет ими воспользоваться. Вся информация передается в зашифрованном виде;
- В случае обнаружения вируса система безопасности вашего смартфона заблокирует оплату через гаджет;
- Злоумышленники не смогут прочитать данные с карты и перевести деньги на другой счет с помощью специального терминала, подключенного к смартфону. Однако такая афера может быть успешной, еслитерминал подключается непосредственно к самой карте;
- невозможно идентифицировать клиента банка с помощью платежного приложения.
Следующие методы могут использоваться для обеспечения дополнительной защиты данных:
1) попросить банк клиента приостановить оплату покупок через мобильные устройства;
Что делать, когда утеряли карту?
2) самостоятельно заблокировать возможность оплаты через мобильный сервис (с помощью функции Samsung Find My Mobile).
В случае утери банковской карты необходимо принять важные меры безопасности.
Сначала необходимо подать в банк заявление о блокировке карты.
Если вы заблокируете этот банковский продукт, злоумышленник больше не сможет использовать деньги. Однако в этом случае доступ к деньгам для пользователя будет ограничен.
Нет необходимости прибегать к таким крайним мерам. Это оправдано, когда владелец карты подозревает, что карта не попала в руки мошенников (например, родственник, сосед, офис, машина или в собственной квартире забыли о ней). В этом случае вы можете отложить блокировку банковского продукта. После этого вы сможете совершать покупки с помощью Samsung Pay в любое время.
Многие банки готовы войти в позицию клиента и не блокировать уникальный токен в случае утери карты. Таким образом, пользователь может свободно использовать сайт для оплаты покупок, имея доступ к собственным средствам. Однако, чтобы избежать неприятных последствий, откладывать блокировку карты не стоит.
Заключение
Если вы не хотите блокировать карту, вы можете решить проблему другим способом. Например, вы можете перевести свои средства на счет другого пользователя с помощью мобильного приложения. Важно не быть чужим. Совершив перевод, вы можете попросить близкого человека снять переведенные средства в ближайшем платежном терминале.
Однако в этом случае вы сможете расплачиваться только наличными. Использование сервисов Samsung Pay станет неактуальным.
Источник: wikidrive.ru
Насколько безопасен Samsung Pay?
Один из главных приоритетов Samsung Pay — защита вашей конфиденциальной информации.
Токенизация
Samsung Pay вместо реального номера карты использует токен – специальный цифровой код, созданный случайным образом при добавлении карты. Данные, которые Samsung Pay передает на платежный терминал – уникальны для каждой попытки оплаты.
Новый токен создается каждый раз при добавлении карты в Samsung Pay. При этом, добавить карту можно только после проверки карты по одноразовому SMS-коду от вашего банка, который отправляется на ваш номер телефона, известный банку.
Авторизация каждой покупки
Вы контролируете каждую попытку оплаты – для каждого платежа требуется авторизация в приложении Samsung Pay. На вкладке Оплата выберите карту и способ подтверждения:
- Для подтверждения по отпечатку пальца – приложите палец к сканеру отпечатка для активации режима оплаты.
- Для подтверждения по радужке глаз (если такой способ поддерживается на вашей модели смартфона) – нажмите кнопку Радужка под изображением выбранной карты.
- Для подтверждения по PIN-коду Samsung Pay – нажмите кнопку PIN-код и введите код, настроенный в Samsung Pay.
Только после авторизации данные токена будут отправлены на платежный терминал, и далее в систему банка-эквайера (принимающего оплату по картам) и платежную систему для проверки информации и подтверждения операции. Информация о связи токена с вашей картой известна только платежной системе и банку, выпустившему вашу карту, и надежно защищена.
Для совершения платежей Samsung Pay использует только данные токена, сохраненные в безопасной области Samsung Knox на устройстве. Samsung не хранит и не имеет доступа к полным реквизитам платежной карты и информации о банковском счете. Для вашего удобства, в Samsung Pay на вашем устройстве отображается информация о последних четырех цифрах номера карты и последних платежах по добавленной карте.
Samsung Knox
Специальная встроенная система безопасности Samsung Knox обеспечивает защиту устройства и данных Samsung Pay и непрерывно отслеживает возможные уязвимости независимо от операционной системы на устройстве. При обнаружении вредоносного ПО, установке неофициальной прошивки или получения Root прав на устройстве – доступ к Samsung Pay будет заблокирован.
SmartThings Find (Find My Mobile)
В случае утери устройства или подозрений на несанкционированное использование вы всегда можете удаленно найти устройство, заблокировать его или удалить на нем все данные с помощью сервиса SmartThings Find (Find My Mobile) (smartthingsfind.samsung.com). В подобных случаях также рекомендуется сразу обратиться в банки, выпустившие ваши платежные карты, с просьбой заблокировать токены этих карт.
- При блокировке устройства через SmartThings Find (Find My Mobile) – невозможно совершить попытку оплаты по картам, добавленным в Samsung Pay на данном устройстве.
- При удалении всех данных устройства через SmartThings Find (Find My Mobile) – удаляется вся платежная информация Samsung Pay.
На смартфоне предварительно должна быть включена функция Удаленная разблокировка (меню Настройки > Безопасность > Поиск устройства (Найти телефон)).
Источник: www.samsung.com
Платить смартфоном страшно? Вся правда о безопасности банковских карт в телефоне
Apple Pay, Android Pay и Samsung Pay уже больше года работают в России, но до сих пор есть люди, которые боятся оплачивать покупки телефоном. Они переживают, что данные банковских карточек могут попасть к третьим лицам и привести к потерям на счетах. Павел Городницкий объяснил, как всё работает на самом деле.
Механика мобильных платежей элементарна: кассир называет цену, а покупатель достаёт из кармана не карточку, а смартфон. Затем нужно либо снять отпечаток пальца, либо показать лицо фронтальной камере, либо просто ввести пароль, после чего гаджет одобрит покупку.
Потом — лёгкое касание терминала. Готово: деньги моментально списываются, а кассир выдаёт чек.
Почему это удобнее, чем платить картой?
1. Не нужно ничего доставать из бумажника — можно просто извлечь телефон, который и так всегда под рукой.
2. Вводить пин-код приходится крайне редко, а вот при PayPass есть лимит беспарольных покупок (как правило, 1000 рублей). К тому же карты без PayPass тоже до сих пор живы: там пин-код требуют даже при «грандиозных» транзакциях на 10–15–20–150 рублей.
Сотни тысяч людей уже освоили и оценили Apple Pay, Android Pay и другие аналогичные системы, пришедшие в Россию осенью 2016 года. Однако есть и те, кто уверен, что данные карточки могут попасть или к производителю смартфона, или к оператору, или вообще к хакерам, которые моментально опустошат счёт.
Пора рассказать, почему эти фобии беспочвенны. Логичнее всего пояснить схему на примере Apple Pay — тем более остальные сервисы функционируют по той же схеме.
Во-первых, Apple просто сотрудничает с банками, которые и настраивают процедуру обмена данными. Далеко не каждую карту можно внести в Apple Pay — всё зависит именно от банков, а не от условного Тима Кука. У компании из Купертино вообще нет контроля за обработкой транзакции. Представители Apple лишь договариваются, что генерируемые ими токены будут приниматься банком как валидное подтверждение оплаты. Токены в этом контексте — одноразовые пакеты, которые создаются на NFC-чипе и содержат информацию о транзакции (время, сумма, зашифрованные ключи).
Во-вторых, единственный, кто получает данные карты при первом запуске Apple Pay, как раз выпустивший карту банк, который подтверждает её при стартовой настройке.
В-третьих, номер карты используется только один раз (первый, ещё при настройке), а затем не хранится вообще нигде. На отдельный чип (Secure Element в NFC-чипе, если быть точнее) в зашифрованном виде записывается специально сгенерированный номер счёта устройства (Device Account Number), который, даже если его уведут и расшифруют злоумышленники (что абсолютно нереалистично), не может использоваться совершенно ни для чего. Деньги с его помощью не украсть.
В-четвёртых, во время оплаты на терминал отправляются не данные карточки, а сгенерированный токен, который ещё должен быть подтверждён со стороны банка. Опять же: информацию о карточке в этот момент не получает вообще никто — к ней нет доступа в том числе у Apple. Кстати, на стороне банков действуют довольно продвинутые системы по распознаванию подозрительных транзакций, которые будут блокировать списание средств, если что-то пойдёт не так.
И пятый пункт для тех, кто ещё сомневается. Всё то же самое, что описано выше, происходит и при оплате через PayPass, но там токен генерируется чипом внутри карточки, а не смартфона.
Здесь же всё происходит на изолированном чипе внутри устройства, а генерация токена возможна только при подтверждении биометрическим сенсором или паролем.
PayPass даже уступает Apple Pay по уровню безопасности: мошенник может украсть карту и оплачивать ей покупки, не нарушая лимит (то есть не выходя за рамки 1000 рублей, если говорить о России). С телефоном так сделать не получится, если, конечно, жертва сама не разболтает пароль для оплаты.
Алгоритмы Samsung Pay и Android Pay такие же: передаётся исключительно токен, а не данные карточек. Правда, Samsung Pay ещё умеет оплачивать при помощи MST (Magnetic Secure Transmission), где поддерживаются даже устаревшие терминалы без NFC.
Такой способ считается чуть менее безопасным: в 2015 году компания LoopPay (её Samsung купила для создания платёжной системы) оказалась уязвима к атаке, которая позволяла перехватывать магнитный сигнал. Samsung Pay к тому моменту использовал токенизацию номеров и защитный пакет KNOX и не был уязвим, но про теоретические уязвимости MST говорят и сейчас.
Поэтому, если вам нужна полнейшая безопасность, лучше довериться NFC-системам: они как минимум не менее надёжны, чем у классических бесконтактных карт. А по факту — даже надёжнее за счёт биометрических датчиков.
Источник: life.ru