La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza e Sistemi di pagamento con carte

PubblicatoCiro Cozzolino Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Sicurezza e Sistemi di pagamento con carte"— Transcript della presentazione:

1 Sicurezza e Sistemi di pagamento con carte
Veronica Borgogna Funzione di Audit & Risk Management Modena, 15 Maggio 2012

2 Agenda Cos’è la sicurezza? Fenomeni
Gli attacchi ai sistemi di accettazione carte La declinazione dei Fenomeni Modello di Sicurezza del Consorzio BANCOMAT Analisi dei rischi tipici Rafforzamento delle aree di esposizione Verifiche di compliance

3 Cos’è la sicurezza? Le Norme ISO definiscono la sicurezza come l’insieme delle misure atte a garantire la disponibilità, l’integrità e la riservatezza delle informazioni gestite. Un sistema sicuro è pertanto un sistema che rende le informazioni disponibili solo ai soggetti abilitati impedendo l’alterazione diretta o indiretta da parte di soggetti e processi autorizzati o meno e impedisce a chiunque di ottenere e/o dedurre informazioni che non è autorizzato a conoscere.

4 I Fenomeni Incidenti Attacchi deliberati
Tutti gli eventi indesiderati, accidentali o volontari, che compromettono queste condizioni si chiamano Fenomeni e si possono configurare come di seguito: FENOMENI Incidenti Sono eventi dannosi accidentali, verificatisi per cause interne o esterne al sistema, scatenatisi senza alcuna volontarietà di innesco, che ne altera le condizioni. Attacchi deliberati Gli attacchi volontari sfruttano le debolezze del sistema o il fatto che un utente abbia disatteso qualche norma. Possono essere divisi in: Fisici: sono manovre che mirano alla sottrazione o al danneggiamento di una risorsa; Logici: sono manovre che danneggiano le informazioni e minacciano la disponibilità del sistema.

5 Gli attacchi ai sistemi di accettazione carte
Sono caratterizzati da un trend relativo a: Maggiore esposizione apparecchiature unattended Vulnerabilità dei componenti interazione carta (es: lettore banda magnetica, dispensatore/accettatore banconote) Vulnerabilità del sito di alloggiamento dell’apparecchiatura (es: piazzale, lobby)

6 Gli attacchi ai sistemi di accettazione carte Qualche numero
Fenomeno in calo grazie alla migrazione dei terminali da protocollo HGEPOS a Microcircuito Rimangono comunque maggiormente esposti agli attacchi i terminali unattended

7 Gli attacchi ai sistemi di accettazione carte Qualche cifra
Rilevazioni 2011* delle transazioni PagoBANCOMAT disconosciute su ATM e POS: * Fonte dati: MEF - UCAMP

8 La declinazione dei Fenomeni
Questi fenomeni possono dar luogo a diverse ricadute: Il contenimento dei possibili danni deve essere gestito attraverso un modello di processi strutturato. Ricaduta fenomeno danno Ricadute operative Manutenzione o sostituzione dell’apparecchiatura Ricadute reputazionali Perdita del cliente e perdita di fiducia da parte del Circuito Ricadute economiche Eventuali danni da risarcire Definizione e adozione di un Modello di Sicurezza

9 Modello di Sicurezza del Consorzio BANCOMAT
Un Modello di Sicurezza è un insieme di processi e requisiti atti a gestire la vulnerabilità di un sistema attivando tutte le strategie possibili di attenzione e tutte le contromisure adatte a respingere possibili attacchi e attenuarne i danni. Le Strategie realizzative del Modello di Sicurezza del Consorzio BANCOMAT si dividono in: Strategie preventive: finalizzate a individuare il pericolo e diminuire la probabilità che il danno si verifichi; Strategie di contrasto: finalizzate ad attenuare l’impatto del danno subito. Strategie preventive Strategie di contrasto Modello di Sicurezza Sistemi di contenimento delle perdite Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Compensazione economica Quarantena dei dispositivi coinvolti

10 Analisi dei rischi tipici
Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Il Consorzio Bancomat nell’ambito delle attività di “Risk Management” monitora i rischi cui sono esposti il Consorzio e gli attori che partecipano ai Circuiti BANCOMAT e PagoBANCOMAT attraverso un proprio framework. Il Consorzio BANCOMAT ha identificato le tipologie di rischio delineando in tal modo il profilo di rischio complessivo che risulta essere articolato come segue: Rischio Operativo; Rischio di Governo; Rischio di Reputazione. Le azioni preventive agiscono sui rischi e permettono un miglior governo della situazione e la messa in campo di più leve

11 Rafforzamento delle aree di esposizione
Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Consiste nell’adozione di tutti i sistemi di protezione fisica e logica previsti dagli standard. Protezione logica mutua autenticazione (adozione della logica di certificato); key management (logiche di Dual Control e Split Knowledge); cifratura delle chiavi con 3DES. Protezione fisica tamper detection e tamper evidence; antiskimming; tutti i sistemi di prevenzione di tipo interazione elettro-magnetica e quelli di interazione carta-dispositivo durante il processo transazionale. Come si realizza tutto ciò? - 1° Fase: adozione dello standard Microcircuito - 2° Fase: adozione dello standard PagoBANCOMAT livello 2 (CB2)

12 Rafforzamento delle aree di esposizione Benefici dell’adozione dei nuovi standard
Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Elementi migliorativi dello standard a chip Messa in sicurezza del terminale non più utilizzabile come punto di spesa; Rafforzamento del processo autorizzativo derivante dal trasporto di maggiori informazioni durante la richiesta di autorizzazione; Irrobustimento delle apparecchiature POS derivante dai nuovi requisiti di tampering. Elementi migliorativi dello standard CB2 Irrobustimento del processo di riconoscimento fra i soggetti interagenti (mutua autenticazione); Implementazione di nuove funzionalità quale il Multi-Acquiring; Conformità con gli standard internazionali dell’area SEPA. I benefici derivanti dalla migrazione al protocollo CB2 sono i seguenti: Area di rischio tipico Benefici per il Sistema Rischio economico Contenimento delle perdite in termini economici (riduzione del numero di disconoscimenti e transazioni fraudolente) Rischio reputazionale Copertura rispetto ai possibili danni d’immagine arrecati al merchant e al soggetto Acquirer Rischio operativo Riduzione del coinvolgimento di altri soggetti negli eventi fraudolenti

13 Rafforzamento delle aree di esposizione Impegni derivanti dall’adozione dei nuovi standard
Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Soggetto Fase 1: Standard a chip stato completamento: 98,5% Fase 2: Standard CB2 Stato completamento: < 1% Merchant Sostituzione apparecchiature POS Possibile sostituzione apparecchiature POS Possibili ripercussioni sul sistema distribuito indoor/outdoor Vendor Omologazione dei prodotti Acquirer Omologazione dei processi Gestore Terminali Adeguamento dei moduli a supporto delle pre-autorizzazioni carburanti

14 Verifiche di compliance
Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Il Modello di Sicurezza funziona se l’intero Sistema degli stakeholder è ottemperante agli impegni richiesti. A tal fine il Consorzio ha attivato specifiche procedure di monitoraggio delle apparecchiature POS Piani di omologazione e replacement delle apparecchiature focalizzati all’ottenimento rapido del desiderata e al contenimento dell’impatto sulla filiera

15 Grazie

Scaricare ppt "Sicurezza e Sistemi di pagamento con carte"

Presentazioni simili

A che punto siamo in Italia

A che punto siamo in Italia
Certificazioni Infrastrutture IT di Telecom Italia

Certificazioni Infrastrutture IT di Telecom Italia
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Informatica e Telecomunicazioni

Informatica e Telecomunicazioni
PREVENIRE: FARE O DIRE QUALCOSA IN ANTICIPO AL PREVEDIBILE ORDINE DI SUCCESSIONE PREVENZIONE: AZIONE DIRETTA A IMPEDIRE IL VERIFICARSI O IL DIFFONDERSI.

PREVENIRE: FARE O DIRE QUALCOSA IN ANTICIPO AL PREVEDIBILE ORDINE DI SUCCESSIONE PREVENZIONE: AZIONE DIRETTA A IMPEDIRE IL VERIFICARSI O IL DIFFONDERSI.
La documentazione nel Sistema Gestione Qualità

La documentazione nel Sistema Gestione Qualità
2° PROJECT CONSULTATION BOARD ITALIA Firenze 11 luglio 2013.

2° PROJECT CONSULTATION BOARD ITALIA Firenze 11 luglio 2013.
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008

Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
STRUTTURA DELLA LEZIONE

STRUTTURA DELLA LEZIONE
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.

Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
Sistema Gestione Progetti

Sistema Gestione Progetti
RISK MANAGEMENT IN SANITA’

RISK MANAGEMENT IN SANITA’
“Potenziamento della cultura della prevenzione degli infortuni e della normativa vigente rispetto a stage, tirocini e alternanza nel mondo del lavoro”.

“Potenziamento della cultura della prevenzione degli infortuni e della normativa vigente rispetto a stage, tirocini e alternanza nel mondo del lavoro”.
CNIPA 10 maggio 2006 1 Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
Per crittografia si intende la protezione

Per crittografia si intende la protezione
Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.

Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
1 PROGETTO:VERONA AZIENDE SICURE 2006 Verona, 19 giugno 2006 VERONA AZIENDE SICURE – 19.06.2006 1 LA POLITICA PER LA SICUREZZA E LA SALUTE SUI LUOGHI DI.

1 PROGETTO:VERONA AZIENDE SICURE 2006 Verona, 19 giugno 2006 VERONA AZIENDE SICURE – LA POLITICA PER LA SICUREZZA E LA SALUTE SUI LUOGHI DI.
Il Framework di riferimento del progetto

Il Framework di riferimento del progetto
La sicurezza degli impianti elettrici

La sicurezza degli impianti elettrici

Presentazioni simili

Annunci Google