像硬币这样的设备的安全含义是什么？

Question

硬币是一种新设备，旨在用一台设备替换钱包中多达8张信用卡。

它的工作方式显然是将信用卡数据扫描到一个移动应用程序中，该应用程序通过蓝牙与硬币设备本身同步。根据我对它的理解，扫描仪的工作原理就像信用卡掠夺机。

这种设备的安全和监管意味着什么？它是否违反PCI-DSS在任何情况下？如果没有实际的测试设备，那么可能存在哪些可信的安全威胁？

Answer 1

PCI只对商家有需求，而对客户则不需要.使用这款设备的风险就像在钱包里放8张卡一样。有一件事很重要，那就是在那些只接受芯片和PIN的国家里，这是行不通的，而且刷卡已经不可能了。(如今大多数欧洲国家)

此外，在一些国家，商店需要核实你的身份，用这些卡，这将是相当困难的，因为你不能再实际检查哪个名字是写在卡上。

Answer 2

对像他这样的系统来说，安全有积极的方面也有消极的方面：

积极：

• 该设备必须按需加载卡，因此一次只能装载一张卡。如果它被偷了，你只丢了一张卡。编辑:这不是真的，我发现了，这张单张卡上有所有的卡片。
• 这张卡显然没有具体的细节，比如背面的3或4位数字代码。如果它被偷了，对小偷的用处就小多了
• 这张卡可以从它的母手机上判断出它什么时候超出了范围，然后关闭它自己，所以如果它被偷了，它就会在超出范围的时候停止工作。这个功能可以通过触摸卡上的一个按钮来禁用，所以如果窃贼知道他们可以在卡超出范围之前将其弹出并按下按钮。尽管如此，那还是会击败不少扒手

底片：

• 蓝牙并不以其安全性而闻名，事实上它相对容易嗅探和干扰。如果这家公司正在使用蓝牙，他们最好有铸铁保护来对付蓝牙已知的漏洞。
• 如果设备被偷，用户依赖应用程序来告诉他们哪一张卡丢失了，如果没有技术，所有者就无法做出这样的判断。
• 盗贼想要你的卡片设备，也需要偷你的手机，这可能意味着业主有更多的身体风险。
• 广告说，你只能添加自己的卡，但它基本上是一个浏览手机。没有理由有人不能买其中之一并将你的卡添加到他们的设备中
• 这一张卡上有所有的卡片，所有的卡都可以选择，只需按一下卡上的按钮就可以选择，无需任何认证。

就我个人而言，我认为它可能是有用的，如果我生活在美国，我可能会调查它，因为设备的潜在用途可能大于安全问题。但是，对于世界上大多数其他地方来说，它是完全无用的，所以除非他们能够用芯片和引脚来工作，否则它不会走得太远。