בעוד בעולם נכנסים תקני תשלום מחמירים כמו EMV – התקן המחייב בגוגל פיי ובאפל פיי, לצד השירות המחמיר באבטחה שלו פייפאל, אפליקציות התשלומים של הבנקים בישראל אינן מציגות את התקנים המחמירים או לפחות הבנקים לא משתפים אותם.
היחידה שמצהירה על תקן אבטחה ספציפי היא פייבוקס של דיסקונט. התקן נקרא PCI DSS. הוא תקן שנוצר על ידי 5 חברות כרטיסי האשראי הגדולות (ויזה, מסטרקארד, JCB, Discover ואמריקן אקספרס) כדי להבטיח הגנה על נתוני כרטיסי אשראי בכל סביבה בה הם מאוחסנים, מועברים או מעובדים. התקן כולל דרישות שונות ליישום בקרות אבטחת מידע במטרה ליישם הגנה בארגונים המטפלים בפרטי כרטיסי אשראי באמצעים שונים כגון קופה רושמת, ארנקים אלקטרוניים, אתרי אינטרנט, מכונות ממכר אוטומטיות וכספומטים.
חברת סליקה שומרת את פרטי האשראי באופן מוצפן ומעבירה אותם לשרתי PayBox בעזרת מערכת טוקנים כך שכל התקשורת בינה לבין האפליקציה מבוצעת בפרוטוקול בטיחותי. זאת הסיבה שלאחר הזנת אמצעי התשלום בפעם הראשונה, לא מבקשים להזין אותם מחדש – בהתאם לשאר האפליקציות
בפפר, לשעבר פפר פיי, מצהירים על התקנים אך מציינים בכלליות באתר שלהם כי "חלק מתפיסת אבטחת המידע של בנק לאומי, השקענו משאבים רבים כדי שכל המידע הרגיש יהיה מוצפן, ואנחנו מפקחים באופן קבוע על הגישה למאגרי המידע בטכנולוגיות האבטחה המתקדמות ביותר". עם זאת, התגלו פרצות אבטחה בעבר במוצרים של פפר, כמו בעיות באבטחה באתר תדמית וקבלת מספרי טלפונים של משתמשים באמצעות הזנת פרטי משתמש בפפר אינווסט. מומלץ להשתמש בזיהוי באמצעות טביעת אצבע.
בביט של בנק הפועלים גם לא מציינים תקן ספציפי, רק שהאפליקציה עומדת בסטנדרטים המקובלים והבינלאומיים של אבטחת מידע. גם כאן אפשר להשתמש בטביעת אצבע. השנה עם זאת התלוננו לקוחות ביט שמתחזה גונב להם את הכסף. בבנק טענו שלא מדובר בפריצה לאפליקציה אלא בגניבה של פרטי האשראי והפרטים האישיים ממאגר אחר. אז חל ויכוח בין חברת האשראי לביט מי אחראי לספוג את ביטול העסקה. טענה נוספת הייתה שהמוקד לא פתוח 24 שעות, מה שמקשה לבטל את העסקה הזדונית – אף שאותרה. מקרה אחר היה הודעה שהופצה בוואטסאפ על פריצה לחשבונות ביט. זו התבררה כפייק ניוז
מה לעשות אם פרצו לכם לאפליקציה
בכל מקרה, במקרה שפרצו לכם לאפליקציה, בטלו מיד את כרטיס האשראי, דווחו לבנק ולחברה המפעילה את האפליקציה. יש לדרוש מחברת האשראי לבטל את העסקה. זו תעביר את המידע לבעלת האפליקציה.