web-dev-qa-db-ja.com

テレフォンバンキングはどの程度安全ですか?

複数の銀行での私のオンラインバンキングログインのフォールバックは、テレフォンバンキングです。電話では支払いを行うことができますが、パスワードやその他の重要なセキュリティ機能をリセットすることもできます。通常、セキュリティの質問に沿って、比較的簡単な質問をすることで私を認証します。 セキュリティの質問はWebサイトのログインには適切なセキュリティ対策ではありません なので、テレフォンバンキングに対して十分に安全であると考えられているのは奇妙に思われます。

弱い認証は別として、私の知る限り、通話は暗号化されていません。盗聴(ショルダーサーフィンのようなもの)を超えて、誰かが通話(パッシブMITM)を利用して、セキュリティの質問またはPINへの回答を記録することは可能だと思います。最近、自動認証サービスに渡されたことに気づきましたが、銀行の従業員が私の回答/ PINを手動で確認する必要があるため、それ以外の場合は必ずMITMが存在します。これは、機密情報を従業員に漏らすことを意味するだけでなく、データが暗号化されずに保存される可能性があることを意味します。

それで、私の最初の質問は私の理解が正しいかどうか、テレフォンバンキングはオンラインバンキングよりも安全性が低いということでしょうか?もしそうなら、なぜそれがまだそれほど広く使用されており、オンラインバンキングへのフォールバックとして使用されているのですか?

4
craq

これは素晴らしい質問です。

TLDRは、 はいコールセンターは通常、オンライン決済より安全ではありません。この理由は、コールセンターに固有の人間的要因によるものです。支払いサービスがダウンしているため、後で処理するために支払いカードの詳細をメモ帳に保存する(真剣に!!!)。

ただし、ここで対処する必要がある点がいくつかあります。1。支払いのセキュリティと2.通話のセキュリティ。

まず、2から始めますare電話会社のPBXから銀行に向かう途中と、銀行DMZに到達したときに、SBC(Session Border Controller)と呼ばれるもので暗号化されます。これは、エンタープライズ環境でのVoIP技術の普及以来、標準となっています。とはいえ、暗号化の品質はそれほど高くなく(Base64 ??)、電話会社と銀行のテレフォニーチームの両方がキットにパッチを適用し、必要に応じてアップグレードしているという前提に基づいています。

1に関しては、支払い/銀行業界は、これが彼らにとって非常に大きなリスクであるので、これを正しくすることの重要性を長い間理解することの最前線にありました。

安全な支払いプロセス/インフラストラクチャ/アーキテクチャの標準は PCI DSS と呼ばれます。 PCI DSSは、特に私たちのような消費者に支払いを行う際のセキュリティを向上させるために開発されました。銀行を含むすべてのコールセンターは、その基準を遵守する必要があります。これは、店舗やオンラインでの支払いなど、他の支払い「エンドポイント」にも適用されます。

毎年処理している支払いの数に基づいて、さまざまなレベルのPCIコンプライアンスがあります。最低でも、組織がコンプライアンス証明書を保持するために、毎年4つのランダムな監査を実施する必要があります。

実際、最近のPCI DSSはほぼ独自の産業であり、企業はインフラストラクチャと支払いサービスを構築して、すべてのリスクを所有することによってPCI DSSの「範囲外」の支払いサービスを組織に提供しています。

具体的にあなたの質問に答えるために、PCI DSSで概説されている主要事項のいくつかは次のとおりです。

  1. カードデータを平文で保存しないでください-これを克服するためにトークン化が使用されます。
  2. CVVやPinなどのカード確認IDを保存しない-決して
  3. 最小特権の原則の使用
    • ネットワークサービスへのアクセス用
    • 支払いGUI(コールセンターエージェント)へのアクセス用
    • QA目的で通話録音にアクセスするため
  4. 公共ネットワークを介したカード会員データの送信が確実に暗号化されるようにする-SSL/TLSなどの標準を使用
  5. DTMFマスキング-キーパッドからカード番号を入力すると、すべてのビープ音が単調になります

私は2つを超えるリンクを投稿するのに十分な担当者がいませんが、電話による支払いに必要なもののより良い概要については、これをチェックしてください ブログ投稿

そのため、銀行やコールセンターは、トークン化され、壁に囲まれたPCI準拠ネットワークに保存されている限り、あなたの支払いカード情報の一部を保存することができます。さらに、行われている通話で、また銀行のテレフォニーネットワーク内でも基本的な暗号化が提供され、キーパッドの支払い中にDTMFマスキングが行われます。

要約すると、これらの標準と慣行を使用すると、自動化されたサービスで支払うときは、人間と話すときよりもテクノロジーの観点から安全になります。

長い投稿でごめんなさい! :)

3
llorrac