Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 80.000 euros a una entidad bancaria como responsable de una infracción grave al emitir las tarjetas de crédito/débito con tecnología contactless que presentaban serias brechas de seguridad en la transmisión de los datos.
Tal y como su nombre indica, la utilización de estas tarjetas permitía realizar las transacciones a distancia transmitiendo la información relacionada con el titular de esta tarjeta por radiofrecuencia.
Con fecha de 16/04/2014, tuvo entrada en esta Agencia un escrito del denunciante, en el que puso de manifiesto que los datos personales contenidos en sus tarjetas de crédito contactless de la entidad bancaria podían ser accedidos de forma bastante sencilla por terceros.
Con fecha 12/05/2015, los servicios de Inspección de la AEPD realizaron las comprobaciones y llegaron a la conclusión que utilizando los dispositivos adecuados, era posible obtener la información sobre nombre del titular, el banco emisor, el número de cuenta y la fecha de caducidad, a distancias de hasta dos metros, sin que el titular datos fuese consciente de que sus datos estaban siendo recabados. En este sentido existía un serio riesgo a que los datos leídos de la tarjeta pudieran ser utilizados para realizar compras en algunos comercios online que no pedían el CVV2. Además, las operaciones mediante contactless, que no requerían introducir el PIN, permitían que se realizasen transacciones sin la intervención del usuario.
Como agravante se ha podido comprobar que la entidad bancaria realizó con anterioridad unas auditorias que revelaron las no conformidades también con el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS, Payment Card Industry Data Security Standard, en sus siglas en inglés) puesto que los datos se transmitían sin cifrar, se detectó la carencia de controles que impidieran a un atacante la lectura de los datos contenidos en la tarjeta ni se establecía ningún control de autenticación para que la tarjeta verificase que estaba hablando con un TPV válido.
Además de la sanción, un verdadero problema puede suponer la retirada de estas tarjetas del mercado puesto que en una nota de prensa insertada en el portal web de la entidad bancaria se informaba que habían emitido cuatro millones de contactless.
Por tanto desde Áudea, queremos recordar la importancia de adoptar las medidas de seguridad que garanticen la seguridad y confidencialidad de la información conforme lo dispuesto en el artículo 9 de la LOPD así como implementar controles y prácticas adicionales para mitigar otros riesgos. En especial, las empresas que almacenan datos de tarjetas de pago, aparte de la LOPD deben cumplir con el estándar PCI DSS.