Sicurezza e Sistemi di pagamento con carte

Slides:



Advertisements
Presentazioni simili
A che punto siamo in Italia
Advertisements

Certificazioni Infrastrutture IT di Telecom Italia
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Informatica e Telecomunicazioni
PREVENIRE: FARE O DIRE QUALCOSA IN ANTICIPO AL PREVEDIBILE ORDINE DI SUCCESSIONE PREVENZIONE: AZIONE DIRETTA A IMPEDIRE IL VERIFICARSI O IL DIFFONDERSI.
La documentazione nel Sistema Gestione Qualità
2° PROJECT CONSULTATION BOARD ITALIA Firenze 11 luglio 2013.
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
STRUTTURA DELLA LEZIONE
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
Sistema Gestione Progetti
RISK MANAGEMENT IN SANITA’
“Potenziamento della cultura della prevenzione degli infortuni e della normativa vigente rispetto a stage, tirocini e alternanza nel mondo del lavoro”.
CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
Per crittografia si intende la protezione
Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
1 PROGETTO:VERONA AZIENDE SICURE 2006 Verona, 19 giugno 2006 VERONA AZIENDE SICURE – LA POLITICA PER LA SICUREZZA E LA SALUTE SUI LUOGHI DI.
Il Framework di riferimento del progetto
La sicurezza degli impianti elettrici
1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Definizione parole-chiave Progetto RAP.
Control and Risk Self Assessment – CRSA. Il caso Telecom.
Roma, 7 Giugno 2013 Federico Gherardi Letizia Vannelli
1 Dai principi all'effettiva misurazione e valutazione dei risultati Giornata della trasparenza – CCIAA Prato 19 luglio 2012.
LA VISIONE INTEGRATA DEL RISCHIO:
Elaborato F.S. Di Somma V. PROGETTO QUALITA VERSO IL…. MANUALE DELLA QUALITA A.S. 2006/2007 F. S. QUALITA DI SOMMA V.
La nuova Intranet della Provincia di Ferrara e l’innovazione dei processi interni Ludovica Baraldi Bologna, 25 maggio 2006.
L’evoluzione dei sistemi di pagamento elettronico sulla rete carburanti 15 Maggio 2012.
Donatella Giacopetti, Unione Petrolifera
Stabilire un legame molto stretto tra
ORSS Web 2012.
La progettazione di un sistema informatico
UCAMP – Ufficio Centrale Antifrode dei Mezzi di Pagamento
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
MACCHINARI SICURI WORKSHOP FASCICOLO TECNICO E ANALISI DEI RISCHI
LE DISCARICHE DI RIFIUTI
Premessa Il progetto “CICLO PASSIVO” nasce come risultato di una iniziativa di razionalizzazione del processo di “Acquisto e Gestione di beni e servizi.
Definizioni Direttive CE 2003
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
Identificazione, cause dei problemi e scelta delle priorità
Progettato in relazione alla
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
Valentina Giorgetti Chiara Mogini
Carta Multiservizi del dipendente della Regione Emilia-Romagna Grazia Cesari Direzione Organizzazione, Sistemi informativi e telematica Roma, Forum.
Il risk management in sanità
Donatella Giacopetti, UP – Stefano Boghetich, Esso Italiana
Mercato Privati - RU MERCATO PRIVATI Referente AR Aprile 2014.
RISK MANAGEMENT NELLA LOGISTICA
LA CULTURA DELLA SICUREZZA
CAPO III – IMPIANTI E APPARECCHIATURE ELETTRICHE
CERTIFICAZIONE DI QUALITA’ Un valore aggiunto per la vostra attività.
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
LA SICUREZZA INFORMATICA
Esperienza presso un Servizio di Ingegneria Clinica Manutenzione delle apparecchiature elettromedicali   Buongiorno a tutti! Sono Elena Favaretto, sono.
Le norme ISO 9000 ed il Manuale della Qualità
NORMA UNI EN ISO 9001:2008 …il primo che sale in collina può sedersi dove vuole. (proverbio cinese) A cura di Augusto Ruggia.
Cloud SIA V anno.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
ECDL European Computer Driving Licence
Definizione parole-chiave SiRVeSS Sistema di Riferimento Veneto per la Sicurezza nelle Scuole A3 -1 MODULO B Unità didattica CORSO DI FORMAZIONE RESPONSABILI.
1 RACCOMANDAZIONE PER LA PREVENZIONE DEGLI EVENTI AVVERSI CONSEGUENTI AL MALFUNZIONAMENTO DEI DISPOSITIVI MEDICI / APPARECCHI ELETROMEDICALI Il malfunzionamento.
Il ruolo dell’Utility nella sicurezza elettrica Roma, 26 febbraio 2004.
CONTROLLO OPERATIVO L'Azienda individua, tramite il Documento di Valutazione dei Rischi, le operazioni e le attività, associate ai rischi identificati,
Sicurezza nei sistemi aziendali. La complessità dei sistemi informatici, la sempre maggiore integrazione tra elementi eterogenei, la crescita dell’accessibilità.
Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
I punti di forza e debolezza del Ciclo di Gestione della Performance La Relazione sulla Performance costituisce l’elemento di sintesi del ciclo di gestione.
Transcript della presentazione:

Sicurezza e Sistemi di pagamento con carte Veronica Borgogna Funzione di Audit & Risk Management Modena, 15 Maggio 2012

Agenda Cos’è la sicurezza? Fenomeni Gli attacchi ai sistemi di accettazione carte La declinazione dei Fenomeni Modello di Sicurezza del Consorzio BANCOMAT Analisi dei rischi tipici Rafforzamento delle aree di esposizione Verifiche di compliance

Cos’è la sicurezza? Le Norme ISO definiscono la sicurezza come l’insieme delle misure atte a garantire la disponibilità, l’integrità e la riservatezza delle informazioni gestite. Un sistema sicuro è pertanto un sistema che rende le informazioni disponibili solo ai soggetti abilitati impedendo l’alterazione diretta o indiretta da parte di soggetti e processi autorizzati o meno e impedisce a chiunque di ottenere e/o dedurre informazioni che non è autorizzato a conoscere.

I Fenomeni Incidenti Attacchi deliberati Tutti gli eventi indesiderati, accidentali o volontari, che compromettono queste condizioni si chiamano Fenomeni e si possono configurare come di seguito: FENOMENI Incidenti Sono eventi dannosi accidentali, verificatisi per cause interne o esterne al sistema, scatenatisi senza alcuna volontarietà di innesco, che ne altera le condizioni. Attacchi deliberati Gli attacchi volontari sfruttano le debolezze del sistema o il fatto che un utente abbia disatteso qualche norma. Possono essere divisi in: Fisici: sono manovre che mirano alla sottrazione o al danneggiamento di una risorsa; Logici: sono manovre che danneggiano le informazioni e minacciano la disponibilità del sistema.

Gli attacchi ai sistemi di accettazione carte Sono caratterizzati da un trend relativo a: Maggiore esposizione apparecchiature unattended Vulnerabilità dei componenti interazione carta (es: lettore banda magnetica, dispensatore/accettatore banconote) Vulnerabilità del sito di alloggiamento dell’apparecchiatura (es: piazzale, lobby)

Gli attacchi ai sistemi di accettazione carte Qualche numero Fenomeno in calo grazie alla migrazione dei terminali da protocollo HGEPOS a Microcircuito Rimangono comunque maggiormente esposti agli attacchi i terminali unattended

Gli attacchi ai sistemi di accettazione carte Qualche cifra Rilevazioni 2011* delle transazioni PagoBANCOMAT disconosciute su ATM e POS: * Fonte dati: MEF - UCAMP

La declinazione dei Fenomeni Questi fenomeni possono dar luogo a diverse ricadute: Il contenimento dei possibili danni deve essere gestito attraverso un modello di processi strutturato. Ricaduta fenomeno danno Ricadute operative Manutenzione o sostituzione dell’apparecchiatura Ricadute reputazionali Perdita del cliente e perdita di fiducia da parte del Circuito Ricadute economiche Eventuali danni da risarcire Definizione e adozione di un Modello di Sicurezza

Modello di Sicurezza del Consorzio BANCOMAT Un Modello di Sicurezza è un insieme di processi e requisiti atti a gestire la vulnerabilità di un sistema attivando tutte le strategie possibili di attenzione e tutte le contromisure adatte a respingere possibili attacchi e attenuarne i danni. Le Strategie realizzative del Modello di Sicurezza del Consorzio BANCOMAT si dividono in: Strategie preventive: finalizzate a individuare il pericolo e diminuire la probabilità che il danno si verifichi; Strategie di contrasto: finalizzate ad attenuare l’impatto del danno subito. Strategie preventive Strategie di contrasto Modello di Sicurezza Sistemi di contenimento delle perdite Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Compensazione economica Quarantena dei dispositivi coinvolti

Analisi dei rischi tipici Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Il Consorzio Bancomat nell’ambito delle attività di “Risk Management” monitora i rischi cui sono esposti il Consorzio e gli attori che partecipano ai Circuiti BANCOMAT e PagoBANCOMAT attraverso un proprio framework. Il Consorzio BANCOMAT ha identificato le tipologie di rischio delineando in tal modo il profilo di rischio complessivo che risulta essere articolato come segue: Rischio Operativo; Rischio di Governo; Rischio di Reputazione. Le azioni preventive agiscono sui rischi e permettono un miglior governo della situazione e la messa in campo di più leve

Rafforzamento delle aree di esposizione Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Consiste nell’adozione di tutti i sistemi di protezione fisica e logica previsti dagli standard. Protezione logica mutua autenticazione (adozione della logica di certificato); key management (logiche di Dual Control e Split Knowledge); cifratura delle chiavi con 3DES. Protezione fisica tamper detection e tamper evidence; antiskimming; tutti i sistemi di prevenzione di tipo interazione elettro-magnetica e quelli di interazione carta-dispositivo durante il processo transazionale. Come si realizza tutto ciò? - 1° Fase: adozione dello standard Microcircuito - 2° Fase: adozione dello standard PagoBANCOMAT livello 2 (CB2)

Rafforzamento delle aree di esposizione Benefici dell’adozione dei nuovi standard Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Elementi migliorativi dello standard a chip Messa in sicurezza del terminale non più utilizzabile come punto di spesa; Rafforzamento del processo autorizzativo derivante dal trasporto di maggiori informazioni durante la richiesta di autorizzazione; Irrobustimento delle apparecchiature POS derivante dai nuovi requisiti di tampering. Elementi migliorativi dello standard CB2 Irrobustimento del processo di riconoscimento fra i soggetti interagenti (mutua autenticazione); Implementazione di nuove funzionalità quale il Multi-Acquiring; Conformità con gli standard internazionali dell’area SEPA. I benefici derivanti dalla migrazione al protocollo CB2 sono i seguenti: Area di rischio tipico Benefici per il Sistema Rischio economico Contenimento delle perdite in termini economici (riduzione del numero di disconoscimenti e transazioni fraudolente) Rischio reputazionale Copertura rispetto ai possibili danni d’immagine arrecati al merchant e al soggetto Acquirer Rischio operativo Riduzione del coinvolgimento di altri soggetti negli eventi fraudolenti

Rafforzamento delle aree di esposizione Impegni derivanti dall’adozione dei nuovi standard Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Soggetto Fase 1: Standard a chip stato completamento: 98,5% Fase 2: Standard CB2 Stato completamento: < 1% Merchant Sostituzione apparecchiature POS Possibile sostituzione apparecchiature POS Possibili ripercussioni sul sistema distribuito indoor/outdoor Vendor Omologazione dei prodotti Acquirer Omologazione dei processi Gestore Terminali Adeguamento dei moduli a supporto delle pre-autorizzazioni carburanti

Verifiche di compliance Modello di Sicurezza Verifiche di compliance Rafforzamento delle aree di esposizione Analisi dei rischi tipici Il Modello di Sicurezza funziona se l’intero Sistema degli stakeholder è ottemperante agli impegni richiesti. A tal fine il Consorzio ha attivato specifiche procedure di monitoraggio delle apparecchiature POS Piani di omologazione e replacement delle apparecchiature focalizzati all’ottenimento rapido del desiderata e al contenimento dell’impatto sulla filiera

Grazie