Transcript Archivo Adjunto

Sistemas de seguridad
y protección aplicados
a los ATMs
.
Víctor Sánchez Estrada
Diebold de México, S.A. de C.V.
México
Aspectos vulnerables del ATM
Dinero, Hardware, Software
Aspectos a proteger en el ATM
Dinero
Robos
Hardware
Robo y clonación de partes
Software
Acceso a información sensitiva
Situación actual de redes de ATMs
Situación, Modelos, Plataformas, Seguridad
Situación de las redes de ATMs
Familias y Modelos de ATMs
Existencia de Series previas y Series nuevas
Plataformas ( Sistemas Operativos y Aplicativos )
IBM OS/2 y Microsoft Windows XP Pro
Aplicativo: sofware pre-empaquetado y algunas soluciones propietarias
Protocolos
SNA/SDLC, TCP/IP
Grupos de soporte
Grupo de Sistemas y Operación ATMs, Grupo de Seguridad
Seguridad
Uso de Single y Triple DES, prácticamente no se usa el RKL ni el EMV,
enfoque en el retardo de apertura de la caja fuerte. Inicia el uso del
Anti-skimming y el Jitter, se esta incrementando el uso del CCTV,
Alarmas y controles de acceso, incrmento en el uso de cajas CENL
Situación de las redes de ATMs
Migración de plataforma “cerrada” a “abierta”
Mayor conocimiento de herramientas basadas en Windows
Acceso a los ATMs mediante redes TCP/IP
Esquemas Multivendor
Mayor frecuencia de aplicación de Fixes de seguridad
Uso de software de terceros ( antivirus, agentes de seguridad )
Migraciones de sistemas operativos y software aplicativo más
acelerada
Aparición de nuevos mecanismos de seguridad
Servicio Técnico de Hardware de ATMs a diferentes marcas
Aplicación de la seguridad de ATMs
Hardware, Software
Aplicación de la seguridad hardware
Entintado de Billetes
Caja Fuerte
Refuerzos a las cajas actuales
Incorporación de la caja CENL, adicional a la UL,
Autenticación del Procesador con el Dispenser
TPM
CCTV / Video Digital / Controles de acceso / Monitoreo de Alarmas
Video ligado a las transacciones
Periféricos
EPP5 ( PCI ), Anti-skimming, Jitter, Anti-fishing, Sensores para objetos
sobrepuestos, Espejos laterales, Cubiertas para teclados, Alarmas y
Sirenas disuasivas, Anclaje mecánico y químico.
Aplicación de la seguridad software
Hardening del Sistema Operativo
Passwords
Agente de seguridad
Antivirus
EPP5 ( PCI / TDES / RKL )
ATM Patch Management
PCI Compliance
Protección de información sensitiva ( Traces, logs,
etc..)
EMV
Monitoreo de códigos nuevos
Proveedores de ATMs
Organizaciones orientada a la seguridad
Proveedores de ATMs
Compromiso de las corporaciones
Manejo y resguardo de la información de los clientes
Innovar mecanismos de diseño de hardware, software
relacionados con la seguridad
Auditorias permanentes por parte de los clientes
Un solo punto de contacto
Catalogo de productos y servicios que vayan desde la obra civil,
hardware, software, desarrollo, seguridad física y electrónica,
etc..
Personal
Cuidar estrictamente su procedencia, antecedentes y
establecer los mecanismos de confidencialidad necesarios
Consideraciones Generales
Actividades de seguridad
Consideraciones
El ATM no es una PC
Se deben integrar cada vez más los grupos de seguridad con los
grupos de sistemas y operación de ATMs
Hacer seguimiento a las regulaciones de la industria
Tener cubierto el mantenimiento de Hardware y Software
Encontrar un balance entre seguridad y negocio
El tiempo de solución de problemas se puede ver afectado por la
protección de datos sensitivos.
Se debe tener mucho cuidado con el flujo de la información
Tener presente en todo momento los Roadmaps ( hardware y
software ) de los proveedores
Consideraciones
Considerar los anillos de seguridad :
1.- Seguridad Electrónica
2.- Seguridad Física
3.- Seguridad Lógica
Consideraciones
Gracias …..