Płatność okiem wchodzi do Polski. Co z bezpieczeństwem?

12 czerwca br. rusza pilotażowy program Mastercard, Empik i PayEye, który umożliwi klientom płatność opartą o fuzję biometrii tęczówki oka i twarzy. Usługa będzie dostępna w pięciu Empikach w Polsce. To następujące lokalizacje: Warszawa Westfield Mokotów, Wrocław Bielany, Kraków Kazimierz, Poznań Posnania oraz Czeladź M1.

Jak działa płatność okiem?

Na to pytanie odpowiedział Daniel Jarząb, CEO PayEye, w oświadczeniu przesłanym naszej redakcji. Podczas rejestracji w aplikacji PayEye należy zrobić selfie i podpiąć kartę płatniczą. Ze zdjęć pobierane są dane biometryczne tęczówki oka i twarzy, które służą do weryfikacji płacącego.

„Płatność polega na spojrzeniu w terminal, który rozpoznaje płacącą osobę w oparciu o jej biometryczne cechy zapisane w formie kodu. Biometryczny terminal eyepos w czasie rzeczywistym porównuje nadany kod z pierwotnym wzorcem, czyli użytkownikiem. Środki pobierane są bezpośrednio z karty, przypisanej do portfela w aplikacji PayEye” – tłumaczy Daniel Jarząb.

Mastercard nie przetwarza danych biometrycznych

Pilotażowa usługa płatności okiem zostanie udostępniona w ramach programu Mastercard Biometric Checkout. Zapytaliśmy firmę, w jaki sposób zarządza danymi biometrycznymi.

„W ramach programu Biometric Checkout, Mastercard nie przetwarza żadnych danych biometrycznych, i zapewnia, że tacy interesariusze jak Empik i PayEye, zachowują najwyższy poziom bezpieczeństwa i prywatności podczas realizacji płatności biometrycznych w sklepie” - napisało biuro prasowe MasterCard w oświadczeniu wysłanym naszej redakcji w miniony piątek (tj. 14 czerwca br.).

„Firma wymaga od każdego dostawcy usług biometrycznych pomyślnego ukończenia oceny zgodności i testów bezpieczeństwa (CAST, kompleksowy proces certyfikacji bezpieczeństwa) oraz przestrzegania surowych i solidnych standardów branżowych i kontroli bezpieczeństwa, w tym tych specyficznych dla przechowywania danych biometrycznych” - dodaje Mastercard.

Zaznaczono też, że program Biometric Checkout podlega zasadom odpowiedzialności Mastercard za dane, zgodnie z którymi konsumenci mają prawo kontrolować sposób udostępniania swoich danych osobowych i czerpać korzyści z ich użytkowania.

PayEye nie przetrzymuje zdjęć z danymi biometrycznymi

Z kolei CEO PayEye zapewnia, firma nie przetrzymuje danych biometrycznych w postaci zdjęć w żadnym z elementów swojej infrastruktury.  Zamiast tego tworzy wzorce numeryczne, które są generowane w czasie rzeczywistym na podstawie unikatowego obrazu tęczówki oraz twarzy.

Nie mamy nigdzie do czynienia ze zdjęciami twarzy i/lub tęczówki, które mogą być ponownie wykorzystane przez kogoś innego.
Daniel Jarząb, CEO PayEye w rozmowie z CybderDefence24.pl

Podwójne szyfrowanie

Firma zaznacza też, że niemożliwe jest odwrócenie procesu, czyli uzyskanie zdjęcia z wzorca numerycznego. „Po wygenerowaniu wzorca dane są przesyłane pomiędzy urządzeniami a infrastrukturą zawsze szyfrowanym połączeniem, co stanowi kolejny poziom bezpieczeństwa” - stwierdza Jarząb w rozmowie z nami.

Zapewnia też, że „wzorce numeryczne umieszczone w bazie danych PayEye, nigdy jej nie opuszczają, ponieważ wszystkie identyfikacje odbywają się na serwerze w zamkniętej sieci, a sama baza jest również szyfrowana”.

Kwestię komentuje też biuro prasowe Mastercard: „obierane dane są w pełni stokenizowane, zaszyfrowane, w związku z tym nie ma do nich żadnego dostępu. Nie są to dane, które można wykraść w odróżnieniu do PIN-ów, czy haseł” - przekazano.

Co z bezpieczeństwem terminala?

Płatności spojrzeniem można dokonywać tylko przy pomocy biometrycznego terminala eyepos. PayEye oraz MasterCard twierdzą, że jest on „zabezpieczony przed każdą formą wycieku danych”.

Dane opuszczają urządzenie jedynie poprzez szyfrowane połączenie. Urządzenie oraz połączenie poddawane są regularnym testom bezpieczeństwa, a samo rozwiązanie uzyskało najważniejsze certyfikaty, w tym FIDO Biometric Component Certification.
Daniel Jarząb, CEO PayEye

Terminal uzyskał też akredytację Mastercard w ramach programu Mastercard Biometric Checkout.

Czy opłaca się podawać firmom dane biometryczne?

O bezpieczeństwo płatności okiem zapytaliśmy Fundację Panoptykon, która zajmuje się kwestią praw podstawowych w kontekście rozwoju nowoczesnych technologii.

Dominika Chachuła z Panoptykonu zwraca uwagę, że dane biometryczne to szczególny rodzaj informacji. „Ich wykorzystywanie powinno być traktowane jako ostateczność. Jeśli wyciekną, nie można przecież wygenerować nowej tęczówki albo zmienić odcisku palca” – zaznacza ekspertka.

„Każdy, kto planuje skorzystać z nowinek technologicznych opartych na identyfikacji biometrycznej, powinien zadać sobie pytanie, czy w tym konkretnym przypadku opłaca się oddawać firmom takie dane” – konkluduje Chachuła.

Redakcja CyberDefence24.pl podpisuje się pod tym stwierdzeniem. Warto też wziąć pod uwagę, że hakerzy korzystają z coraz bardziej zaawansowanych technologii. W związku z tym twierdzenie, że jakiś danych nie można wykraść, jest co najmniej kontrowersyjne. Pamiętajmy również, że wycieki danych zdarzają się nawet największym firmom technologicznym, takim jak Dell czy Microsoft, np. z powodu błędu ludzkiego lub podatności aplikacji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].