Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Transcript

1

2 Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma CISA, CISM, LA27001, ITILv3, ISFS, PCI-QSA Partner La sicurezza dei pagamenti via Internet - Fabio Guasconi 2

3 Dati dei pagamenti via internet Fonte - Verizon Data Breach Report 2012 La sicurezza dei pagamenti via Internet - Fabio Guasconi 3

4 Dossier European Central Bank Titolo Raccomandazioni per la sicurezza dei pagamenti su internet Autore European Forum on the Security of Retail Payments Destinatari Esclusioni Obiettivo Payment Service Provider (PSP) per i servizi di pagamento su internet clearing e settlement per carte di pagamento, pagamenti con carte non personali, trasferimenti di e-money ridurre le frodi e aumentare la fiducia dei consumatori armonizzando le misure di sicurezza nell area EU Impostazione "comply or explain" Stato in public consultation fino al 20 Giugno La sicurezza dei pagamenti via Internet - Fabio Guasconi 4

5 ECB - Struttura del documento General Control & Security Environment Recommendation 1: Governance Recommendation 2: Risk identification and assessment Recommendation 3: Monitoring and reporting Recommendation 4: Risk control and mitigation Recommendation 5: Traceability Specific Controls & Security Measures for Internet Payments Recommendation 6: Initial customer identification, information Recommendation 7: Strong customer authentication Recommendation 8: Enrollment for and provision of strong authentication tools Recommendation 9: Log-in attempts, session time-out, validity of authentication Recommendation 10: Transaction monitoring and authorization Recommendation 11: Protection of sensitive payment data Customer Awareness, Education & Communication Key Consideration (KC) + Best Practice (BP) Recommendation 12: Customer education and communication Recommendation 13: Notifications, setting of limits Recommendation 14: Verification of payment execution by the customer La sicurezza dei pagamenti via Internet - Fabio Guasconi 5

6 ECB - 1 raccomandazione Governance Payment services security policy documentata (in modo dedicato) aggiornata costantemente approvata dal management Ruoli e responsabilità definiti, inclusivi di una funzione di RM separata e della gestione dei dati sensibili La sicurezza dei pagamenti via Internet - Fabio Guasconi 6

7 ECB - 2 raccomandazione Risk identification and assessment Attività dettagliata di identificazione dei rischi e delle vulnerabilità dei servizi di pagamento tramite la funzione di RM, comprensiva delle soluzioni tecnologiche e delle credenziali lato PSP e Cliente, per: 1. definire le misure di mitigazione del rischio 2. collegato a una revisione degli scenari a valle di ogni incidente o prima di ogni cambiamento significativo e comunque almeno annualmente La sicurezza dei pagamenti via Internet - Fabio Guasconi 7

8 ECB - 3 raccomandazione Monitoring and reporting Processo centralizzato per il controllo, la gestione e l indagine su incidenti e reclami ad essi collegati, che preveda una notifica alle autorità competenti e adeguati protocolli di collaborazione. La sicurezza dei pagamenti via Internet - Fabio Guasconi 8

9 ECB - 4 raccomandazione Risk control and mitigation Difesa in profondità tramite: segregation of duties nell IT assegnazione di privilegi minimi a utenti e applicazioni adozione di misure tecniche di protezione delle reti (firewall, proxy) certificati estesi per la validazione dei siti web controllo degli accessi produzione di audit trails verifica delle misure di sicurezza prima che entrino in produzione audit periodici effettuati da terze parti fidate e indipendenti ribaltamento ai fornitori e agli e-merchants gestiti delle raccomandazioni della ECB La sicurezza dei pagamenti via Internet - Fabio Guasconi 9

10 ECB - 5 raccomandazione Traceability Logging dettagliato delle transazioni in termini di data, ora, numero sequenziale, cambi di parametri e accesso ai dati, con un sistema di tracciatura delle modifiche effettuate La sicurezza dei pagamenti via Internet - Fabio Guasconi 10

11 ECB - 6 raccomandazione Initial customer identification, information I Clienti sono identificati prima di utilizzare servizi di pagamento e sono forniti di adeguate informazioni sul loro corretto impiego riguardo agli strumenti, prassi, linee guida e procedure in casi di sospetto incidente, oltre ai corretti disclaimer puntuali e periodici in termini di responsabilità d uso dei servizi stessi. La sicurezza dei pagamenti via Internet - Fabio Guasconi 11

12 ECB - 7 raccomandazione Strong customer authentication Autenticazione forte richiesta per iniziare transazioni di credito, tramite borselli elettronici, per la generazione di carte virtuali, per modificare dati sensibili o per le transazioni di carta (gli Issuer devono fornire funzionalità come il 3D-Secure e subire per questo un liability shift dagli e-merchant). Richiesta di uso di autenticazione forte estesa verso gli e-merchant. La sicurezza dei pagamenti via Internet - Fabio Guasconi 12

13 ECB - 8 raccomandazione Enrollment for & provision of strong authentication tools La registrazione per l uso dell autenticazione forte è effettuata in ambito sicuro così come la consegna degli strumenti ad essa connessi (sia fisica sia elettronica). Gli Issuer incoraggiano la registrazione degli utenti a strumenti di autenticazione forte. La sicurezza dei pagamenti via Internet - Fabio Guasconi 13

14 ECB - 9 raccomandazione Log-in attempts, session time-out, validity of authentication Validità delle sessioni limitata: nel tempo per le OTP a un numero massimo di tentativi di autenticazione falliti prima di bloccare l account bloccando le sessioni inattive oltre un periodo definito La sicurezza dei pagamenti via Internet - Fabio Guasconi 14

15 ECB - 10 raccomandazione Transaction monitoring and authorization Sistemi in tempo reale per l individuazione e la prevenzione di frodi. Definizione della categoria di e-merchant e comunicazione all utente. La sicurezza dei pagamenti via Internet - Fabio Guasconi 15

16 ECB - 11 raccomandazione Protection of sensitive payment data Protezione della comunicazione e della memorizzazione di dati sensibili di pagamento, anche attraverso l uso di canali di comunicazione end-to-end crittografati. Incentivazione della non memorizzazione dei dati delle carte di pagamento da parte degli e-merchants e verifica della presenza di adeguate misure di sicurezza in caso contrario. La sicurezza dei pagamenti via Internet - Fabio Guasconi 16

17 ECB - 12 raccomandazione Customer education and communication Creazione di almeno un canale di comunicazione sicuro con i Clienti per il corretto uso dei servizi, ivi incluse: le segnalazioni di attività sospette da entrambi i lati le modifiche alle misure di sicurezza messe in atto avvisi in merito a rischi particolari L assistenza ai Clienti è fornita attraverso un canale identificato e questi sono resi consapevoli delle modalità di protezione delle credenziali, degli strumenti e dei rischi per la sicurezza La sicurezza dei pagamenti via Internet - Fabio Guasconi 17

18 ECB - 13 raccomandazione Notifications, setting of limits Sono impostati limiti di spesa e modalità per disabilitare i servizi a livello contrattuale, eventualmente impostabili sugli strumenti e collegabili a servizi di alerting anche su base comportamentale. La sicurezza dei pagamenti via Internet - Fabio Guasconi 18

19 ECB - 14 raccomandazione Verification of payment execution by the customer Possibilità per i Clienti di verificare transazioni e account in modo sicuro e continuativo nel tempo senza inviare dati sensibili di pagamento. La sicurezza dei pagamenti via Internet - Fabio Guasconi 19

20 Concerns? Risk assessment dettagliato effettuato dalla funzione di RM, non da funzione tecnica (KC 2.1)? Risk identification e vulnerability assessments non definiti (KC 2.1)? Parti solo «trusted» e «indipendenti», non competenti (KC 4.5)? Modifiche ai log solo «tracciate», non inibite (KC 5.2)? Autenticazione debole accettata per liste di beneficiari create dagli utenti (KC 7.1)? La validità della OTP deve essere limitata a «qualche minuto» (KC 9.1) La sicurezza dei pagamenti via Internet - Fabio Guasconi 20

21 ECB vs PCI-DSS Sono oggetti tra loro complementari Si applicano a soggetti vicini ma distinti, con l eccezione che diversi PSP dovranno implementarli entrambi il documento ECB richiama lo schema PCI-DSS e verrà usato in congiunzione ad esso (11 Recommendation) PCI-DSS scende molto più nel dettaglio delle misure di sicurezza La sicurezza dei pagamenti via Internet - Fabio Guasconi 21

22 ECB vs PCI-DSS PCI-DSS racchiude quasi tutti i requisiti di ECB (tranne quelli più orientati al Cliente e specifici), ECB non tratta requisiti tecnici ECB Recommendation 1 Recommendation 2 Recommendation 3 Recommendation 4 Recommendation 5 Recommendation 6 Recommendation 7 Recommendation 8 Recommendation 9 Recommendation 10 Recommendation 11 Recommendation 12 Recommendation 13 Recommendation 14 PCI-DSS Requirement 1 Requirement 2 Requirement 3 Requirement 4 Requirement 5 Requirement 6 Requirement 7 Requirement 8 Requirement 9 Requirement 10 Requirement 11 Requirement 12 La sicurezza dei pagamenti via Internet - Fabio Guasconi 22

23 ECB vs PSD Rispetto alla parte di sicurezza ( 3) del provvedimento di attuazione del titolo II del d.lgs 11/2010, può essere effettuata una ulteriore mappatura che comunque risulta non completa soprattutto per temi di governance e misure tecniche dell ambiente. Una buona parte delle misure indicate da ECB sono però soddisfatte solo dagli strumenti di più elevata qualità sotto il profilo della sicurezza (annex). ECB Recommendation 1 Recommendation 2 Recommendation 3 Recommendation 4 Recommendation 5 Recommendation 6 Recommendation 7 Recommendation 8 Recommendation 9 Recommendation 10 Recommendation 11 Recommendation 12 Recommendation 13 Recommendation 14 La sicurezza dei pagamenti via Internet - Fabio Guasconi 23

24 Riferimenti La sicurezza dei pagamenti via Internet - Fabio Guasconi 24