Securing the World of IP Payments

Transcript

1 November 2010 Securing the World of IP Payments TNS Security Solutions

2 Agenda TNS Background IP Tendenze emergenti e implicazioni per la sicurezza nei pagamenti Approcci suggeriti per migliorare la sicurezza Secure SSL Gateway Stored Card Tokenization Hosted Payment Forms Considerazioni finali Domande 2

3 Chi ètransaction Network Services TNS è un Network Service Provider specializzato nelle soluzioni mission critical organizzato in 3 divisioni globali, ciascuna al servizio di una specifica comunità. Payments Soluzioni di connettività sicura, globale e affidabile, e servizi a valore aggiunto per banche, acquirers, esercenti e PSP Telecommunications Servizi di call signaling e gestione banche dati per il settore dei Carriers, compresi gli sviluppi più avanzati wireline, wireless e VoIP SS7 Presente in più di 40 nazioni nel mondo Financial Services Servizi di connettività per la comunità finanziaria necessarie per il trasporto di transazioni finanziarie, market data e altre informazioni sicure 3

4 TNS Payments Division TNS è una delle aziende leader nel mondo nei servizi di gateway e nelle soluzioni di rete per i pagamenti Gestisce Gateway di pagamento per e- Commerce/CNP e POS integrati >100 esercenti Collega più di 3 milioni di terminali POS su rete fissa e ATM Supporta più di terminali POS e ATM su reti wireless Gestisce migliaia di collegamenti dedicati ai pagamenti su banda larga in IP e X25 4

5 Alcuni tra i clienti e partners di TNS

6 Agenda TNS Background IP Tendenze emergenti e le implicazioni per la sicurezza nei pagamenti Approcci suggeriti per migliorare la sicurezza Secure SSL Gateway Stored Card Tokenization Hosted Payment Forms Considerazioni finali Domande 6

7 Background Esistono validi motivi per spostare le transazioni di pagamento dalle tecnologie tradizionali come il dial up al IP Vantaggi economici Vantaggi di prestazioni l IP èmolto più veloce del dial up e delle altre tecnologie precedenti Vantaggio di flessibilità E molto più semplice con l IP integrare anche altri tipi di contenuto, ad esempio software patches, ads, ecc. Least but not last molte delle nuove applicazioni per pagamenti funzionano SOLTANTO su IP Ma i pagamenti su IP comportano molte sfide per esercenti, acquirers and PSPs: Affidabilità esigono che la qualità del servizio IP sia almeno a livello di quella di dial up Sicurezza le minacce esistenti in internet sono innumerevoli 7

8 La sicurezza è al centro dell attenzione dell opinione pubblica 8

9 La sicurezza è al centro dell attenzione dell opinione pubblica 9

10 La sicurezza è al centro dell attenzione dell opinione pubblica 10

11 La sfida èestesa Una ricerca effettuata su Merchants medio / grandi in Europa e negli USA ha evidenziato come: Nel 81% casi il Merchant conservi PAN di carte Nel 73% conservi anche le date di scadenza di carte Nel 71% conservi i codici di verifica di queste carte Nel 57% conservi dati relativi alla traccia 2 della banda magnetica delle carte Nel 16% conservi altri dati personali inerenti ai titolari di carte Source: Forrester Consulting: The State of PCI Compliance

12 Esigenze emergenti nei pagamenti in IP Gli esercenti Stanno realizzando che essere PCI compliant è solo l inizio Si stanno rendendo conto che non basta per garantire la vera sicurezza Le banche e i PSPs Cominciano ad interrogarsi se le soluzioni sviluppate internamente sono sufficientemente sicure Addetti alla Sicurezza e Dirigenti sono incaricati di capire e correggere aree problematiche Gli Acquirers cercano soluzioni per poter supportare i loro esercenti/clienti negli sforzi necessari ad adeguarsi alle normative di sicurezza 12

13 Agenda TNS Background Verso IP Tendenze emergenti e implicazioni per la sicurezza nei pagamenti Approcci suggeriti per migliorare la sicurezza Secure SSL Gateway Stored Card Tokenization Hosted Payment Forms Suggerimenti di chiusura Domande 13

14 Secure SSL Gateway 14

15 La sicurezza dei sistemi di pagamento su Internet Sistemi di pagamento e processors sono bersagli mirati per attività criminali e illecite E facile Strumenti di hacking, strumenti DOS e botnets non costano molto noleggiare un botnet per 24 ore costa solo circa $67 E facile farla franca restare anonimo è semplice (source: Verisign 2010) Attacchi ad un host tramite internet possono impattare anche altre tipologie di accesso come dial e connessioni dedicate La sicurezza e disponibilità delle infrastrutture di rete per pagamenti su IP rappresenta una serie di sfide radicalmente diverse da quelle del mondo dial e X.25 15

16 Rischio n.1: Distributed Denial of Service Attacks (DDOS) DDOS è un tentativo da parte degli hackers di impedire agli utilizzatori legittimi di un servizio (ad esempio, esercenti) di utilizzare quel servizio Diversi computer compromessi (botnets) vengono usati per inondare con traffico la capacità della banda saturandola Gli attacchi di tipo DDOS continuano ad aumentare in dimensioni, complessità, frequenza e impatto economico per le aziende Nel 2009, gli attacchi hanno superato i 50 Gbps di dimensione, con attacchi > 1Gbps ogni 26 minuti. Implicazione: i gateway di pagamento e gli istituti finanziari sono bersagli mirati per questi attacchi; molte vittime hanno avuto interruzioni dei loro servizi della durata di diversi giorni 16

17 Rischio n. 2 Denial of Service, Hacking & Misuse Attacks DOS èun tentativo concentrato di negare il servizio tramite il disturbo dei processi sui sistemi, attraverso metodi diversi dal provocare il sovraccarico della banda disponibile Tipi attacchi: Permanent Denial of Service attacks hanno come obiettivo la distruzione permanente di sistemi di elaborazione rendendo spesso necessaria la sostituzione intera del hardware o la re installazione dei sistemi Attacchi di hacking tipicamente hanno come scopo il furto di dati sensibili, ad esempio dati di titolari di carte, per realizzare frodi finanziarie L obiettivo è quello di far superare il limite della capacità di calcolo, provocare errori nel codice del sistema, bloccare il sistema o inserire dei malware Implicazioni: mancanza totale del servizio per un lungo periodo di tempo; perdita di attrezzature costose; violazioni di contratti e implicazioni associati; favoreggiamento involontario in attività criminali... 17

18 Rischio n. 3 SSL Sniffing / Gateway Spoofing La chiave privata di un SSL Gateway è il mezzo principale per convalidare l identità del server E la fonte crittografica di ogni collegamento criptato tra l esercente/pos e il SSL Gateway Un rischio di sicurezza significativo deriva da difetti nelle applicazioni Web e il salvataggio in condizioni non sicure di chiavi private: le stesse rimangono altamente vulnerabili ad attacchi di identificazione Armato con la chiave privata SSL, un intruso è in grado di distruggere l autenticità e la confidenzialità di un servizio sicuro, spacciandosi per un SSL gateway legittimo, oppure può accedere ai dati che transitano Il rischio è che possono essere rubati i dettagli di carte, CVVs e altre informazioni sensibili, con nessun segno visibile per mettere in stato d allerta il processor La mancanza di indicatori visibili vuol dire che la cattura delle transazioni con le carte può perdurare a tempo indeterminato 18

19 TNS Secure SSL Gateway Contromisure per le minacce Minacce principali Principali contromisure di TNS (1) Attacchi DDOS Attenuazione del rischio, connettività diverse tramite più operatori. TNS è fornitore specializzato, dotato di una capacità Gbps distribuita altissima, è interconnesso a internet in più punti chiave in diverse area del mondo (2) Attacchi di hacking e DOS Mutua autenticazione; Intrusion Detect Services; Intrusion Protection Services; Monitoraggio dell integrità dei file; firewall tecnologici a doppio strato; DMZ crittografia/ssl gateway a doppio strato; filtraggi dei messaggi al livello applicativo; ethical hacker penetration testing (3) SSL Gateway Spoofing Chiavi private non lasciano mai FIPS Level 3 compliant HSM; Procedure di controllo doppie per la gestione di chiavi private 19

20 Tokenization 20

21 Cos è la Tokenization? Tokenization Con la tokenization, i dati veri e propri delle carte vengono sostituiti da proxies (simboli elettronici) che sono configurati per riprodurre le caratteristiche dei dati veri e propri. Così, il sistema viene popolato da dati proxy di nessun valore per i ladri La connessione tra il token e i dati sensibili è conservato all interno di un caveau blindato 21

22 TNS Stored Card Tokenization Perché piace la Tokenization? Le minacce sono estese e sempre in evoluzione Costi dell adeguamento alle normative PCI L adeguamento al PCI = Sicurezza 24X7 Con tutti questi sforzi e costi i casi di violazioni persistono... E se potessi far uscire dal mio ambiente tutti questi dati relativi alle carte? Stored Card Tokenization Permette agli esercenti di esternalizzare (outsource) la memorizzazione dei dati delle carte di credito per pagamenti ricorrenti in un database sicuro Riduce i costi dell adeguamento al PCI e degli audit per gli esercenti Consente di conservare tokens nei sistemi interni (ad esempio, Marketing) al posto dei dati delle carte 22

23 Come funziona la Tokenization? Unique Token Sent TNS Secure Data Network Token Exchanged T Tokenization Full Card Data Sent ACQUIRER MERCHANT APPLICATION Standard Auth Message T Normal Reconciliation Merchant Administration Tool 23

24 E necessario rispettare la compliancy con le Visa Best Practices E necessario che nella valutazioni dei fornitori di soluzioni Token ci sia una adeguata attenzione alle norme di sicurezza VISA ha pubblicato a luglio 2010 Best Practices for Tokenization Comprende indicazioni tecniche e vari approcci Fornisce i consigli di VISA sulle alternative migliori 24

25 TNS Hosted Payment Pages 25

26 Hosted Payment Page Overview TNS registra i dettagli delle carte per conto dell esercente i dati non toccano mai il sito Web dell esercente Al momento del pagamento, il titolare di carta viene re-indirizzato alla TNS hosted payment form su piattaforma TNS (Il cliente non è consapevole del reorientamento) Libera l esercente dalle pressioni relative alla sicurezza dei dati delle carte e semplifica la compliance 26

27 Agenda TNS Background Verso IP Tendenze emergenti e implicazioni per la sicurezza Proposte per migliorare la sicurezza TNS Secure SSL Gateway Stored Card Tokenization Hosted Payment Forms Suggerimenti di chiusura Domande 27

28 Un ultimo pensiero relativo alla sicurezza L arte della guerra ci insegna a non affidarci non alla probabilità che il nemico non arrivi, ma alla nostra propria preparazione a riceverlo; non alla possibilità che non ci attaccherà, ma piuttosto al fatto che abbiamo reso la nostra posizione inattaccabile. Sun Tzu Generale Approccio suggerito Capire la natura delle minacce Gli assalitori arriveranno; come colpireranno? Sviluppare le migliori contromisure Come renderemo la nostra posizione inattaccabile? 28

29 Domande? Transaction Network Services Contact Information: Giovanni Miste