ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M 4 Bank. MPOS Ермаков Александр Иванович технический директор, ООО «Центр корпоративных технологий» апрель 2013 г.
О компании ООО «Центр корпоративных технологий» ― ― Основана в начале 2011 года. Специализация: разработка и поставка мобильных корпоративных решений. Цель Компании – делать качественные инновационные продукты. Штат Компании около 20 человек. Штаб квартира в Москве. Офис разработки в Витебске. ― Начало разработки m. POS – июнь 2012 года. ― Декабрь 2012 – запуск первого проекта In-house в России с МКБ. ― В процессе регистрации в программах VISA Ready и Master. Card Mobile POS Program.
Что такое мобильный эквайринг? ― Эквайринг: Процесс приема и обработки банком-эквайрером платежной информации с банковских карт для оплаты товаров и услуг. Осуществляется путем установки на торгово-сервисное предприятие (ТСП) специального оборудования - POS-терминала. ― Мобильный эквайринг: Эквайринг, при котором в качестве POS-терминала используется мобильный терминал - смартфон и подключенный к нему считыватель карт (кард-ридер).
Что такое мобильный эквайринг? Достоинства мобильного эквайринга ― Дешевизна решений ― Мобильность решений ― Гибкость (простота доработок) решений Проблемы мобильного эквайринга ― Критическая важность обеспечения безопасности ― Организационная нечеткость схем
Мобильный терминал
Архитектура решения M 4 POS от ООО ЦКТ
Основные производственные операции Мобильный терминал ― Регистрация мобильного терминала ― Оплата товара/услуги ― Отмена оплаты ― Возврат товара/услуги ― Закрытие операционного дня (сверка; балансировка терминала) ― ― Реестр текущих операций Сервисные процедуры (смена пароля, связь с банком, справка) и т. д. )
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Оплата товара/услуги
Основные производственные операции Административное приложение Системы ― Заведение пользователей ― Формирование/редактирование объектов (фирмы, банковские терминалы, считки) ― Настройка параметров (в т. ч. лимитов операций) ― Формирование/просмотр/сохранение/печать отчетов
Основные производственные операции
Основные производственные операции Административное приложение Фирмы (ТСП) ― Заведение операторов ― Настройка собственных объектов (банковские терминалы, считки, лимиты (частично)) ― Формирование/просмотр/сохранение/печать отчетов по фирме
Основные производственные операции
Вопросы безопасности Обеспечение безопасности мобильного эквайринга ― Безопасность считки и карты ― Безопасность передачи данных между считкой и мобильным приложением ― Безопасность мобильного приложения и смартфона ― Безопасность передачи данных между мобильным терминалом и сервером ― Безопасность сервера ― Безопасность размещения в Банке
Вопросы безопасности Безопасность считки и карты ― Защищенное криптографическое устройство (Secure cryptographic device (ISO 13491)) ― Обработка критических данных – внутри устройства ― Все операции со считкой – через аппаратное (firmware) API
Вопросы безопасности Безопасность считки и карты – считки для карт на основе магнитной полосы ― Магнитная полоса – только в шифрованном виде ― Управление ключами – DUKPT или DES/TDES ― Внесение/изменение ключей – в защищенной среде ― Энергозависимые/энергонезависимые ― Проблема: поддержка различных смартфонов (Android)
Вопросы безопасности Безопасность считки и карты – считки для микропроцессорных карт (беспиновые) ― Цикл EMV-транзакции ― Управление ключами – PKI (RSA) и TDES ― Внесение/изменение ключей – в защищенной среде ― Важна сертификация EMV Level 1
Вопросы безопасности Безопасность считки и карты – считки для микропроцессорных карт (с поддержкой ПИН-кодов) (мобильные ПИНпады) ― Полная поддержка EMV-транзакций ― Управление ключами – PKI (RSA) и TDES; мощный криптопроцессор ― Интерфейсы – USB, Bluetooth ― Внутреннее приложение (Firmware) – сертификации: EMV Level 2, PA-DSS
Вопросы безопасности Мобильные ПИНпады
Вопросы безопасности Безопасность передачи данных между считкой и мобильным приложением ― Зависимость от разъема: ― Аудио не требует специальной защиты ― USB, Bluetooth - рекомендуется шифрование канала
Вопросы безопасности Безопасность мобильного приложения и смартфона ― Проблема jailbreak’ов ― Проблема распространения приложений через магазины (Google Play, Apple App Store) ― Сохранение данных во внутреннюю память телефона (домен безопасности приложения) под шифрованием ― Организационные меры защиты
Вопросы безопасности Безопасность передачи данных между мобильным терминалом и сервером ― Передача данных – всегда через публичные сети (Интернет) ― Шифрование канала по SSL ― Рекомендуется использование клиентских сертификатов (помимо серверного) ― Возможно дополнительное шифрование данных ключом приложения
Вопросы безопасности Безопасность сервера ― Выполнять требования PCI DSS ― Использовать аппаратные модули безопасности (HSM) для генерации и хранения ключей и выполнения криптографических процедур в ходе онлайновых транзакций ― Общие требования политики безопасности (сменяемость паролей, разграничение прав администраторов, и т. д. )
Вопросы безопасности Безопасность размещения в Банке ― Тщательная защита точки входа (DMZ) ― Анализ защищенности канала при SSL-терминации ― Обеспечение безопасности выхода в Интернет (получение геолокационных данных) ― Обеспечение безопасности соединения с терминальным хостом ― Общие правила организационной безопасности
Вопросы ? Спасибо за внимание! Ермаков Александр Иванович Технический директор, ООО «Центр корпоративных технологий» ermakov@centercorptech. net, ae@m 4 bank. ru http: //www. m 4 bank. ru апрель 2013 года
Скачать презентацию ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M 4 Bank MPOS
4f2001085d7db2fee7707f364480c3df.ppt