Transcript 20130409m4banksecur - Центр корпоративных технологий

ВОПРОСЫ БЕЗОПАСНОСТИ
МОБИЛЬНОГО ЭКВАЙРИНГА
M4Bank.MPOS
апрель 2013 г.
О компании
ООО «Центр корпоративных технологий»
―
―
―
―
Основана в начале 2011 года.
Специализация: разработка и поставка мобильных корпоративных решений.
Цель Компании – делать качественные инновационные продукты.
Штат Компании около 20 человек. Штаб квартира в Москве. Офис разработки в
Витебске.
― Начало разработки mPOS – июнь 2012 года.
― Декабрь 2012 – запуск первого проекта In-house в России с МКБ.
― В процессе регистрации в программах VISA Ready и MasterCard Mobile POS
Program.
Что такое мобильный эквайринг?
― Эквайринг: Процесс приема и обработки банком-эквайрером платежной
информации с банковских карт для оплаты товаров и услуг. Осуществляется
путем установки на торгово-сервисное предприятие (ТСП) специального
оборудования - POS-терминала.
― Мобильный эквайринг: Эквайринг, при котором в качестве POS-терминала
используется мобильный терминал - смартфон и подключенный к нему
считыватель карт (кард-ридер).
Что такое мобильный эквайринг?
Достоинства мобильного эквайринга
― Дешевизна решений
― Мобильность решений
― Гибкость (простота доработок) решений
Проблемы мобильного эквайринга
― Критическая важность обеспечения безопасности
― Организационная нечеткость схем
Мобильный терминал
Архитектура решения
M4POS от ООО ЦКТ
Bank
HTTP://www.yandex.ru
M4Bank.MPOS
WEB-Admin
Https://Server_IP:Port
HSM
MPOS System
Admin
M4Bank.MPOS
SERVER
Card Processing Terminal Host
Card processing Terminal Host IP:Port
Yandex.ru
Https://Server_IP:Port
SMTP Server IP_adress
SMTP-Server
Https://Server_IP:Port
HSM
Key Loading Device Security
officer
Https://Server_IP:Port
CCT
M4Bank.MPOS_Client
Android/IPhone
Merchant
Salesman
M4Bank.MPOS
Merchant
WEB-Cabinet
Merchant
Admin
Основные производственные
операции
Мобильный терминал
― Регистрация мобильного терминала
― Оплата товара/услуги
― Отмена оплаты
― Возврат товара/услуги
― Закрытие операционного дня (сверка; балансировка терминала)
―
―
Реестр текущих операций
Сервисные процедуры (смена пароля, связь с банком, справка) и т.д.)
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Основные производственные
операции
Административное приложение Системы
― Заведение пользователей
― Формирование/редактирование объектов (фирмы, банковские терминалы,
считки)
― Настройка параметров (в т.ч. лимитов операций)
― Формирование/просмотр/сохранение/печать отчетов
Основные производственные
операции
Основные производственные
операции
Административное приложение Фирмы (ТСП)
― Заведение операторов
― Настройка собственных объектов (банковские терминалы, считки, лимиты
(частично))
― Формирование/просмотр/сохранение/печать отчетов по фирме
Основные производственные
операции
Вопросы безопасности
Обеспечение безопасности мобильного эквайринга
― Безопасность считки и карты
― Безопасность передачи данных между считкой и мобильным приложением
― Безопасность мобильного приложения и смартфона
― Безопасность передачи данных между мобильным терминалом и сервером
― Безопасность сервера
― Безопасность размещения в Банке
Вопросы безопасности
Безопасность считки и карты
― Защищенное криптографическое устройство (Secure cryptographic device (ISO
13491))
― Обработка критических данных – внутри устройства
― Все операции со считкой – через аппаратное (firmware) API
Вопросы безопасности
Безопасность считки и карты – считки для карт на основе магнитной полосы
― Магнитная полоса – только в шифрованном виде
― Управление ключами – DUKPT или DES/TDES
― Внесение/изменение ключей – в защищенной среде
― Энергозависимые/энергонезависимые
― Проблема: поддержка различных смартфонов (Android)
Вопросы безопасности
Безопасность считки и карты – считки для микропроцессорных карт
(беспиновые)
― Цикл EMV-транзакции
― Управление ключами – PKI (RSA) и TDES
― Внесение/изменение ключей – в защищенной среде
― Важна сертификация EMV Level 1
Вопросы безопасности
Безопасность считки и карты – считки для микропроцессорных карт (с
поддержкой ПИН-кодов) (мобильные ПИНпады)
― Полная поддержка EMV-транзакций
― Управление ключами – PKI (RSA) и TDES; мощный криптопроцессор
― Интерфейсы – USB, Bluetooth
― Внутреннее приложение (Firmware) – сертификации: EMV Level2, PA-DSS
Вопросы безопасности
Мобильные ПИНпады
Вопросы безопасности
Безопасность передачи данных между считкой и мобильным приложением
― Зависимость от разъема:
― Аудио не требует специальной защиты
― USB, Bluetooth - рекомендуется шифрование канала
Вопросы безопасности
Безопасность мобильного приложения и смартфона
― Проблема jailbreak’ов
― Проблема распространения приложений через магазины (Google Play, Apple
App Store)
― Сохранение данных во внутреннюю память телефона (домен безопасности
приложения) под шифрованием
― Организационные меры защиты
Вопросы безопасности
Безопасность передачи данных между мобильным терминалом и сервером
― Передача данных – всегда через публичные сети (Интернет)
― Шифрование канала по SSL
― Рекомендуется использование клиентских сертификатов (помимо серверного)
― Возможно дополнительное шифрование данных ключом приложения
Вопросы безопасности
Безопасность сервера
― Выполнять требования PCI DSS
― Использовать аппаратные модули безопасности (HSM) для генерации и
хранения ключей и выполнения криптографических процедур в ходе
онлайновых транзакций
― Общие требования политики безопасности (сменяемость паролей,
разграничение прав администраторов, и т.д.)
Вопросы безопасности
Безопасность размещения в Банке
― Тщательная защита точки входа (DMZ)
― Анализ защищенности канала при SSL-терминации
― Обеспечение безопасности выхода в Интернет (получение геолокационных
данных)
― Обеспечение безопасности соединения с терминальным хостом
― Общие правила организационной безопасности
Вопросы ?
Спасибо за внимание!
Ермаков Александр Иванович
Технический директор, ООО «Центр корпоративных технологий»
[email protected], [email protected]
http://www.m4bank.ru
апрель 2013 года