1 / 31

ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS

ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS. апрель 2013 г. Ермаков Александр Иванович технический директор, ООО «Центр корпоративных технологий». О компании. ООО «Центр корпоративных технологий» Основана в начале 2011 года.

qamra
Download Presentation

ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ВОПРОСЫ БЕЗОПАСНОСТИМОБИЛЬНОГО ЭКВАЙРИНГАM4Bank.MPOS апрель2013 г. Ермаков Александр Ивановичтехнический директор, ООО «Центр корпоративных технологий»

  2. О компании ООО «Центр корпоративных технологий» • Основана в начале 2011 года. • Специализация: разработка и поставка мобильных корпоративных решений. • Цель Компании – делать качественные инновационные продукты. • Штат Компании около 20 человек. Штаб квартира в Москве. Офисразработки в Витебске. • Начало разработки mPOS – июнь 2012 года. • Декабрь 2012 – запуск первого проекта In-house в России с МКБ. • В процессе регистрации в программах VISA Ready и MasterCard Mobile POS Program.

  3. Что такое мобильный эквайринг? • Эквайринг: Процесс приема и обработки банком-эквайрером платежной информации с банковских карт для оплаты товаров и услуг. Осуществляется путем установки на торгово-сервисное предприятие (ТСП) специального оборудования - POS-терминала. • Мобильный эквайринг: Эквайринг, при котором в качестве POS-терминала используется мобильный терминал - смартфон и подключенный к нему считыватель карт (кард-ридер).

  4. Что такое мобильный эквайринг? • Достоинства мобильного эквайринга • Дешевизна решений • Мобильность решений • Гибкость (простота доработок) решений • Проблемы мобильного эквайринга • Критическая важность обеспечения безопасности • Организационная нечеткость схем

  5. Мобильный терминал

  6. Архитектура решения M4POS от ООО ЦКТ

  7. Основные производственные операции • Мобильный терминал • Регистрация мобильного терминала • Оплата товара/услуги • Отмена оплаты • Возврат товара/услуги • Закрытие операционного дня (сверка; балансировка терминала) • Реестр текущих операций • Сервисные процедуры (смена пароля, связь с банком, справка) и т.д.)

  8. Оплата товара/услуги

  9. Оплата товара/услуги

  10. Оплата товара/услуги

  11. Оплата товара/услуги

  12. Оплата товара/услуги

  13. Оплата товара/услуги

  14. Оплата товара/услуги

  15. Оплата товара/услуги

  16. Основные производственные операции • Административное приложение Системы • Заведение пользователей • Формирование/редактирование объектов (фирмы, банковские терминалы, считки) • Настройка параметров (в т.ч. лимитов операций) • Формирование/просмотр/сохранение/печать отчетов

  17. Основные производственные операции

  18. Основные производственные операции • Административное приложение Фирмы (ТСП) • Заведение операторов • Настройка собственных объектов (банковские терминалы, считки, лимиты (частично)) • Формирование/просмотр/сохранение/печать отчетов по фирме

  19. Основные производственные операции

  20. Вопросы безопасности • Обеспечение безопасности мобильного эквайринга • Безопасность считки и карты • Безопасность передачи данных между считкой и мобильным приложением • Безопасность мобильного приложения и смартфона • Безопасность передачи данных между мобильным терминалом и сервером • Безопасность сервера • Безопасность размещения в Банке

  21. Вопросы безопасности • Безопасность считки и карты • Защищенное криптографическое устройство (Securecryptographicdevice (ISO 13491)) • Обработка критических данных – внутри устройства • Все операции со считкой – через аппаратное (firmware) API

  22. Вопросы безопасности • Безопасность считки и карты – считки для карт на основе магнитной полосы • Магнитная полоса – только в шифрованном виде • Управление ключами – DUKPT или DES/TDES • Внесение/изменение ключей – в защищенной среде • Энергозависимые/энергонезависимые • Проблема: поддержка различных смартфонов (Android)

  23. Вопросы безопасности • Безопасность считки и карты – считки для микропроцессорных карт (беспиновые) • Цикл EMV-транзакции • Управление ключами – PKI (RSA) и TDES • Внесение/изменение ключей – в защищенной среде • Важна сертификация EMV Level 1

  24. Вопросы безопасности • Безопасность считки и карты – считки для микропроцессорных карт (с поддержкой ПИН-кодов)(мобильные ПИНпады) • Полная поддержка EMV-транзакций • Управление ключами – PKI (RSA) и TDES; мощный криптопроцессор • Интерфейсы – USB, Bluetooth • Внутреннее приложение (Firmware) – сертификации: EMV Level2, PA-DSS

  25. Вопросы безопасности Мобильные ПИНпады

  26. Вопросы безопасности • Безопасность передачи данных между считкой и мобильным приложением • Зависимость от разъема: • Аудио не требует специальной защиты • USB, Bluetooth - рекомендуется шифрование канала

  27. Вопросы безопасности • Безопасность мобильного приложения и смартфона • Проблема jailbreak’ов • Проблема распространения приложений через магазины (Google Play, Apple App Store) • Сохранение данных во внутреннюю память телефона (домен безопасности приложения) под шифрованием • Организационные меры защиты

  28. Вопросы безопасности • Безопасность передачи данных между мобильным терминалом и сервером • Передача данных – всегда через публичные сети (Интернет) • Шифрование канала по SSL • Рекомендуется использование клиентских сертификатов (помимо серверного) • Возможно дополнительное шифрование данных ключом приложения

  29. Вопросы безопасности • Безопасность сервера • Выполнять требования PCI DSS • Использовать аппаратные модули безопасности (HSM) для генерации и хранения ключей и выполнения криптографических процедур в ходе онлайновых транзакций • Общие требования политики безопасности (сменяемость паролей, разграничение прав администраторов, и т.д.)

  30. Вопросы безопасности • Безопасность размещения в Банке • Тщательная защита точки входа (DMZ) • Анализ защищенности канала при SSL-терминации • Обеспечение безопасности выхода в Интернет (получение геолокационных данных) • Обеспечение безопасности соединения с терминальным хостом • Общие правила организационной безопасности

  31. Вопросы ? • Спасибо за внимание! • Ермаков Александр Иванович • Технический директор, ООО «Центр корпоративных технологий» • ermakov@centercorptech.net, ae@m4bank.ru • http://www.m4bank.ru • апрель 2013 года

More Related