Para quem não leu as notícias sobre como o Burger King integrou o software indesejado AppSee em seu aplicativo móvel, publico uma breve informação:
- O AppSee é um serviço de malware que pode ser integrado a um aplicativo móvel e obter uma captura de tela para algum tipo de análise;
- Como pode ser visto no vídeo interceptado - os dados são transmitidos sem processamento e, já no AppSee, o vídeo é processado e os dados dos portadores de cartão (DDC) são pintados com quadrados pretos, como se costuma dizer;
- Os representantes do Burger King assumiram a posição de que não violaram nada, uma vez que os dados do AppSee já chegam a eles após o processamento e não veem o DDK neles, como dizem.
Mesmo se você acredita que as duas afirmações são verdadeiras, o Burger King viola
o padrão de segurança de qualquer maneira, enviando um arquivo de vídeo ao AppSee com suas ações: você não pode transferir a data de validade e o nome do proprietário com um número de cartão (PAN). Eu geralmente estou em silêncio sobre o telefone. Isso é uma violação direta do PCI DSS em particular e do senso comum em geral. MITM comum em WiFi público para organizar um vazamento de DDC, e um número de telefone geralmente é a maneira mais fácil de obter uma duplicata de um cartão SIM em qualquer departamento usando o nome do proprietário e as habilidades básicas de um editor gráfico.
O próprio Burger King
passou no teste de padrões , o que significa que se enquadra em todas as medidas punitivas, a saber:
- Grandes multas
- Re-auditorias de QSA
- Menor certificação
Concluindo, quero acrescentar que padrões como o GDPR ou o 152-, aos quais apelam, operam em certas áreas geopolíticas, enquanto o PCI DSS é um padrão internacional para sistemas de pagamento e não pode ser violado em nenhum lugar.