McDonald's-test af selvbetjeningsløsning på kant med sikkerhedsstandarder

Illustration: Instagram mcdonaldspaderup
Et selvbetjeningsprojekt på McDonald’s-restauranter mangler den formelle godkendelse fra Nets i forhold til sikkerhedsstandarder. Alligevel er projektet hen over de seneste syv måneder blevet udrullet til seks restauranter i landet.

Den 2. marts 2016 søsatte McDonald’s sit nye selvbetjeningskoncept ’Din McDonald's’. Uden at have helt styr på de regler, der er gældende på området, er McDonald's alligevel begyndt at udrulle deres projekt til en række restauranter landet over.

I et tip fra en læser bliver det beskrevet, at McDonald’s nye selvbetjeningsstandere bruger Dankort-terminaler, der kun er godkendt til betjente løsninger.

Konceptet bygger på en selvbetjeningsløsning med skærme a la dem, du kender fra DSB’s billetautomater, hvor man bestiller et produkt via skærmen på standeren og betaler med sit kreditkort i en indbygget betalingsterminal, uden at dette overvåges af en medarbejder, som det eksempelvis er tilfældet i Føtex og Bilka.

McDonald’s pressechef, Pia Tobberup, fastslår i en e-mail til Version2, at 'sikkerheden er i orden', men skriver samtidig:

»Vi forventer at have den formelle certificering på plads inden for kort tid – og naturligvis før den egentlige udrulning af bestillingsskærmene i restauranterne.«

Det er imidlertid ikke helt i overensstemmelse med reglerne fra Nets. Herfra ønsker man dog ikke at udtale sig om den konkrete sag.

»Selvbetjeningsløsninger skal godkendes af Nets for at kunne få tilladelse til at tage imod Dankort-betalinger,« fortæller Ulrik Marschall, der er pressemedarbejder hos Nets.

Samarbejde om godkendelse i gang

McDonald’s oplyser, at de er i tæt samarbejde med Nets, men vil ikke kommentere det samarbejde yderligere.

»Som et led i konverteringen indfører vi digitale bestillingsskærme. Skærmene fungerer som de løsninger, man ser i eksempelvis Føtex og Bilka. Det er deres (Nets, red.) vurdering, at vores skærme skal defineres som det, man kalder en overvåget selvbetjeningsløsning,« forklarer Pia Tobberup i mailen til Version2.

Med andre ord har McDonald’s altså kørt deres pilotprojekt i syv måneder med et system, der ikke overholder Nets' sikkerhedsstandarder for betalingsterminaler uden opsyn af en medarbejder, og nu arbejder de på at få den formelle godkendelse.

Forskel på terminaler

Nets forklarer, at kortlæser og tastatur i en ubemandet selvbetjeningsterminal skal være låst inde, så der ikke er fysisk adgang til den. Derudover skal terminalen automatisk lukke ned, når den fysisk åbnes - og terminalen skal først starte op, når eksempelvis en servicekode er blevet indtastet.

Ifølge vores læser, der har handlet på en af restauranterne fra pilotprojektet, er der tale om en helt almindelig dankortterminal, som man kender dem fra f.eks. supermarkedet.

Nets forklarer, at reglerne skal overholdes, hvis man fortsat vil tage imod Dankort i sine betalingsterminaler.

»Såfremt kravene ikke overholdes, kan Dankort i yderste konsekvens opsige forretningens indløsningsaftale,« fortæller Ulrik Marschall.

Ifølge planen vil McDonald’s begynde den egentlige udrulning af konceptet til alle landets 89 restauranter fra 2017, hvor planen er, at der skal konverteres op til to restauranter om ugen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Thomas Alexander Frederiksen

Max har kørt med den løsning i Sverige i årevis, og da de regler NETS har er defineret ud fra internationale standarder skulle de undre meget om ikke såvel terminaler som tilladelser har været på plads inden de åbnede. Set udefra ligner den løsning Max har i øvrigt den bl.a. DSB bruger til billetautomater, så mon ikke det er hyldevare.

  • 1
  • 0
#4 Claus Andersen

NETS forklarer, at kortlæser og tastatur i en ubemandet selvbetjeningsterminal skal være låst inde, så der ikke er fysisk adgang til den. Derudover skal terminalen automatisk lukke ned, når den fysisk åbnes - og terminalen skal først starte op, når eksempelvis en servicekode er blevet indtastet.

Men billedet viser at terminalerne er monteret inde i restauranten. Dette modsat DSB eksemplet, hvor de ofte står alene på en perron på en ubemandet station.

Argumentet med at være mere "tamper proof" (pillefri? :-)) giver god mening. Men jeg tænker blot på alle de steder der har sattelit betjeningssteder. F.eks. en større biograf hvor de har flere udsalgssteder, der lukker ned når der ikke er travlt. Her står der jo så almindelige "udsatte" terminaler der er "nemme" at pille ved. Disse er vel ikke mere "overvåget" end i dette tilfælde?

Skal der være en medarbejder ved kassen? Skal der være en medarbejder i lokalet? Eller skal der bare være et kamera (som en medarbejder kan se)?

  • 0
  • 0
#5 Povl H. Pedersen

PCI standarden har forskellige krav til attended og unattended terminaler, specielt omkring det fysiske.

Hvor meget skal en medarbejder/video overvåge en terminal før den går fra attended til unattended status ? Det er ikke klart defineret i PCI.

Er det nok med en medarbejder i området til at hjælpe kunderne ? Evt kombineret med video ? Selvscanning i supermarkederne m.fl. har typisk en medarbejder til 4-8 kasser. Men det vil være en ekstra lønomkostning at skulle have en ansat i selvbetjeningsområdet. Terminalen er tamperproof / selvdestruerende, så risikoen er nok også begrænset.

  • 1
  • 0
#7 Povl H. Pedersen

Det er jeg klar over, men PCI er PCI, og beregnet til en verden alene med magnetkort. Skandinaviske terminaler lever ingen kortdata ud. Kommunikerer krypteret mellem de enkelte dele af terminalen. Så de er relativt sikre. Men hvis man åbner en, så kan man altid undersøge den, og bore ind i den næste og holde kontakter nede når man åbner. Det er trivielt at åbne dem hvis man har nogle at øve sig på. Derudover vil et kamera der fotograferer begge sider af kortet kunne placeres udenfor Cardholder Date Environment (som fysisk omfatter området omkring terminalen), og vil kunne kopiere masser af kortdata/CVV2. Problemet er, at kortnummer + et par tal mere er tilstrækkeligt til at handle. Det burde man gøre op med. Minimum en 2-FA på det hele.

  • 2
  • 0
#8 Claus Wøbbe

Og sådan kan man bruge meget krudt på noget, som slet ikke er noget reelt problem. Terminalerne tændes og slukkes jo i takt med restaurantens åbningstider, og de står jo lige foran disken, hvor der ekspederes.

  • 0
  • 2
#10 Povl H. Pedersen

Men hvad er problemet ? Vil det ikke opdages hvis nogen begynder at pille for meget ? Dem på tankstationerne, samt udendørs pengeautomater hos banker, som skulle være sikre er kendt for falske fronter, skimmers m.m. - Men vi har ingen tilfælde (mig bekendt) af svindel hvor en nyere ipp350 er involveret. Reglerne generer os i Nordeuropa med chipkort, men beskytter ikke de steder hvor man burde beskytte.

  • 2
  • 0
#11 Jonas Jersborg

Min arbejdsplads leverer til størstedelen af det danske natteliv (samt restauranter), hvoraf IPP350 er primær som integreret terminal. Vi har endnu ikke oplevet svindel med dem, som man ser det med unattended terminaler. IPP350 har flere sikkerhedsmekanismer som udløses hvis den forsøges tampered med. Bl.a. små "stave" imellem top og bundplade. Hvis disse udløses, så låses terminalen (den taber sikkerhedsnøgler) og skal til NETS for at omkodes. Den er ret følsom for tampering vil jeg sige.

  • 1
  • 0
#12 Chris Bagge

Dette er et ikke-problem der, nok en gang, har fået en 'journalistisk kant'. PCI kender kun to typer, attended og unattended. Det der karakteriserer en unattended terminal er at 'nogen' kan komme til og rode-rage med den uden at der er en forretningsmedarbejder der lige kan gribe ind. Det der skal sikres er, at man ikke (for let) kan komme ind i en terminal og få fat i data eller lave ændringer i terminalen. M.h.t. ændringer så er det for at undgå at der bliver sat skimmer udstyr ind. Se f.eks. https://krebsonsecurity.com/2016/09/inside-arizonas-pump-skimmer-scourge/ Det viser hvor slemt det står til "over there". I det aktuelle tilfælde er man sandsynligvis i en gråzone, men der er næppe nogen der kan pille ret meget uden at der er en bestyrer der "kommer hen og kigger". Derfor er der brug for at der findes en fornuftig brugbar løsning.

  • 0
  • 0
#13 Chris Bagge

Tamperproof = vis grad af beskyttelse mod ændring, hvilket ikke er det samme som "ændringssikker" da intet er 100% sikkert.

Det der krævet er kort sagt at: 1) terminalen opdager hvis nogen forsøger at pille 2) der ikke kan trækkes nogle følsomme data ud af terminalen 3) det ikke er muligt at indsætte et 'skimmer' udstyr i terminalen. Her er der nogle formelle krav til hvor svært det skal være at lave sådanne indgreb. Re:1 De fleste terminaler 'smider nøglerne' når det sker. Derefter kan de ikke håndtere data. Der har mig bekendt kun været et problem med det en gang, nemlig ved rumænerangrebet i 2006. Se evt. bogen "Historien om Dankortet". Re 2: De er der ikke, så snart transaktionen er forbi. I Danmark gemmer man ikke (mere) data i terminalen. I USA er en stor del af 'terminalerne' Windows maskiner med tilbygget kortlæser. Et ondsindet program på maskinen der 'scraper' hukommelsen for kortnumre har været en meget almindelig årsag. Re 3: De terminaler der er på markedet er efterhånden godt beskyttet, så det er svært at gå ind i terminalen og gøre noget, så man finder en anden (lettere) vej. Det der er mere almindeligt er at der sættes 'en hætte' hen over terminalen. Se f.eks: https://krebsonsecurity.com/2016/06/how-to-spot-ingenico-self-checkout-s... Den viste terminaltype findes mig bekendt ikke i Norden. Her kan der så sættes en ekstra kortlæser ind samt lægges en ekstra aftastning af tastaturet ind. Den sidste type angreb kan man næppe 'bebrejde' selve terminalen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere