La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza e Sistemi di pagamento con carte Veronica Borgogna Funzione di Audit & Risk Management Modena, 15 Maggio 2012.

Presentazioni simili


Presentazione sul tema: "Sicurezza e Sistemi di pagamento con carte Veronica Borgogna Funzione di Audit & Risk Management Modena, 15 Maggio 2012."— Transcript della presentazione:

1 Sicurezza e Sistemi di pagamento con carte Veronica Borgogna Funzione di Audit & Risk Management Modena, 15 Maggio 2012

2 22 Agenda Cosè la sicurezza? Fenomeni Gli attacchi ai sistemi di accettazione carte La declinazione dei Fenomeni Modello di Sicurezza del Consorzio BANCOMAT Analisi dei rischi tipici Rafforzamento delle aree di esposizione Verifiche di compliance

3 33 Cosè la sicurezza? Le Norme ISO definiscono la sicurezza come linsieme delle misure atte a garantire la disponibilità, lintegrità e la riservatezza delle informazioni gestite. Un sistema sicuro è pertanto un sistema che rende le informazioni disponibili solo ai soggetti abilitati impedendo lalterazione diretta o indiretta da parte di soggetti e processi autorizzati o meno e impedisce a chiunque di ottenere e/o dedurre informazioni che non è autorizzato a conoscere.

4 44 I Fenomeni Tutti gli eventi indesiderati, accidentali o volontari, che compromettono queste condizioni si chiamano Fenomeni e si possono configurare come di seguito: Sono eventi dannosi accidentali, verificatisi per cause interne o esterne al sistema, scatenatisi senza alcuna volontarietà di innesco, che ne altera le condizioni. Incidenti Gli attacchi volontari sfruttano le debolezze del sistema o il fatto che un utente abbia disatteso qualche norma. Possono essere divisi in: Fisici: sono manovre che mirano alla sottrazione o al danneggiamento di una risorsa; Logici: sono manovre che danneggiano le informazioni e minacciano la disponibilità del sistema. Gli attacchi volontari sfruttano le debolezze del sistema o il fatto che un utente abbia disatteso qualche norma. Possono essere divisi in: Fisici: sono manovre che mirano alla sottrazione o al danneggiamento di una risorsa; Logici: sono manovre che danneggiano le informazioni e minacciano la disponibilità del sistema. Attacchi deliberati FENOMENI

5 55 Gli attacchi ai sistemi di accettazione carte Sono caratterizzati da un trend relativo a: Maggiore esposizione apparecchiature unattended Vulnerabilità dei componenti interazione carta (es: lettore banda magnetica, dispensatore/accettatore banconote) Vulnerabilità del sito di alloggiamento dellapparecchiatura (es: piazzale, lobby)

6 66 Gli attacchi ai sistemi di accettazione carte Qualche numero Rimangono comunque maggiormente esposti agli attacchi i terminali unattended Fenomeno in calo grazie alla migrazione dei terminali da protocollo HGEPOS a Microcircuito

7 77 Gli attacchi ai sistemi di accettazione carte Qualche cifra * Fonte dati: MEF - UCAMP Rilevazioni 2011* delle transazioni PagoBANCOMAT disconosciute su ATM e POS:

8 88 La declinazione dei Fenomeni Questi fenomeni possono dar luogo a diverse ricadute: Il contenimento dei possibili danni deve essere gestito attraverso un modello di processi strutturato. Ricaduta fenomenodanno Ricadute operative Manutenzione o sostituzione dellapparecchiatura Ricadute reputazionali Perdita del cliente e perdita di fiducia da parte del Circuito Ricadute economicheEventuali danni da risarcire Definizione e adozione di un Modello di Sicurezza

9 99 Strategie di contrasto Strategie preventive Modello di Sicurezza del Consorzio BANCOMAT Compensazione economica Quarantena dei dispositivi coinvolti Modello di Sicurezza Sistemi di contenimento delle perdite Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Un Modello di Sicurezza è un insieme di processi e requisiti atti a gestire la vulnerabilità di un sistema attivando tutte le strategie possibili di attenzione e tutte le contromisure adatte a respingere possibili attacchi e attenuarne i danni. Le Strategie realizzative del Modello di Sicurezza del Consorzio BANCOMAT si dividono in: Strategie preventive: finalizzate a individuare il pericolo e diminuire la probabilità che il danno si verifichi; Strategie di contrasto: finalizzate ad attenuare limpatto del danno subito.

10 10 Analisi dei rischi tipici Il Consorzio Bancomat nellambito delle attività di Risk Management monitora i rischi cui sono esposti il Consorzio e gli attori che partecipano ai Circuiti BANCOMAT e PagoBANCOMAT attraverso un proprio framework. Il Consorzio BANCOMAT ha identificato le tipologie di rischio delineando in tal modo il profilo di rischio complessivo che risulta essere articolato come segue: Rischio Operativo; Rischio di Governo; Rischio di Reputazione. Le azioni preventive agiscono sui rischi e permettono un miglior governo della situazione e la messa in campo di più leve Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici

11 11 Rafforzamento delle aree di esposizione Consiste nelladozione di tutti i sistemi di protezione fisica e logica previsti dagli standard. mutua autenticazione (adozione della logica di certificato); key management (logiche di Dual Control e Split Knowledge); cifratura delle chiavi con 3DES. mutua autenticazione (adozione della logica di certificato); key management (logiche di Dual Control e Split Knowledge); cifratura delle chiavi con 3DES. Protezione logica tamper detection e tamper evidence; antiskimming; tutti i sistemi di prevenzione di tipo interazione elettro-magnetica e quelli di interazione carta-dispositivo durante il processo transazionale. tamper detection e tamper evidence; antiskimming; tutti i sistemi di prevenzione di tipo interazione elettro-magnetica e quelli di interazione carta-dispositivo durante il processo transazionale. Protezione fisica Come si realizza tutto ciò? - 1° Fase: adozione dello standard Microcircuito - 2° Fase: adozione dello standard PagoBANCOMAT livello 2 (CB2) Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici

12 12 Rafforzamento delle aree di esposizione Benefici delladozione dei nuovi standard Irrobustimento del processo di riconoscimento fra i soggetti interagenti (mutua autenticazione); Implementazione di nuove funzionalità quale il Multi-Acquiring; Conformità con gli standard internazionali dellarea SEPA. Irrobustimento del processo di riconoscimento fra i soggetti interagenti (mutua autenticazione); Implementazione di nuove funzionalità quale il Multi-Acquiring; Conformità con gli standard internazionali dellarea SEPA. Elementi migliorativi dello standard CB2 Area di rischio tipicoBenefici per il Sistema Rischio economicoContenimento delle perdite in termini economici (riduzione del numero di disconoscimenti e transazioni fraudolente) Rischio reputazionaleCopertura rispetto ai possibili danni dimmagine arrecati al merchant e al soggetto Acquirer Rischio operativoRiduzione del coinvolgimento di altri soggetti negli eventi fraudolenti I benefici derivanti dalla migrazione al protocollo CB2 sono i seguenti: Messa in sicurezza del terminale non più utilizzabile come punto di spesa; Rafforzamento del processo autorizzativo derivante dal trasporto di maggiori informazioni durante la richiesta di autorizzazione; Irrobustimento delle apparecchiature POS derivante dai nuovi requisiti di tampering. Messa in sicurezza del terminale non più utilizzabile come punto di spesa; Rafforzamento del processo autorizzativo derivante dal trasporto di maggiori informazioni durante la richiesta di autorizzazione; Irrobustimento delle apparecchiature POS derivante dai nuovi requisiti di tampering. Elementi migliorativi dello standard a chip Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici

13 13 Rafforzamento delle aree di esposizione Impegni derivanti dalladozione dei nuovi standard Soggetto Fase 1: Standard a chip stato completamento: 98,5% Fase 2: Standard CB2 Stato completamento: < 1% Merchant Sostituzione apparecchiature POS Possibile sostituzione apparecchiature POS Possibili ripercussioni sul sistema distribuito indoor/outdoor VendorOmologazione dei prodotti AcquirerOmologazione dei processi Gestore Terminali Adeguamento dei moduli a supporto delle pre- autorizzazioni carburanti Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici

14 14 Verifiche di compliance Il Modello di Sicurezza funziona se lintero Sistema degli stakeholder è ottemperante agli impegni richiesti. A tal fine il Consorzio ha attivato specifiche procedure di monitoraggio delle apparecchiature POS Piani di omologazione e replacement delle apparecchiature focalizzati allottenimento rapido del desiderata e al contenimento dellimpatto sulla filiera Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici

15 Grazie


Scaricare ppt "Sicurezza e Sistemi di pagamento con carte Veronica Borgogna Funzione di Audit & Risk Management Modena, 15 Maggio 2012."

Presentazioni simili


Annunci Google