Compliance PCI: Motivazioni e frodi. Roma, 9 giugno Stefano Saibene Deutsche Bank Private and Business Clients Project & Process Management

Transcript

1 Roma, 9 giugno 2011 Stefano Saibene Deutsche Bank Private and Business Clients Project & Process Management 1

2 Le origini di PCI The Payment Card Industry Data Security Standard (PCI DSS) is a set of global and industry-wide requirements, which are supported by all international payment card systems. PCI DSS was created by Visa and MasterCard in

3 PCI SSC per armonizzare diversi programmi di sicurezza L incremento del volume d acquisti effettuati tramite carte di credito e di debito e lo sfruttamento, a fini illeciti, delle tecnologie e dei sistemi di pagamento rende l ambito della sicurezza nei modelli di business sempre più importante. I principali Circuiti Internazionali hanno avviato, da tempo, vari programmi di sicurezza con differenti acronimi (es. Account Information Security Program per Visa International, Site Data Program per Mastercard, DSOP per AMEX, ecc.). Per armonizzare tali programmi nel settembre 2006 è stato istituito il Payment Card Industry Security Standard Concil (PCI SSC) che ha come obiettivi lo sviluppo e gli aggiornamenti, la pubblicazione e la distribuzione degli standardd di sicurezza (PCI DSS Payment Card Industry Data Security Standard) per la protezione dei dati dei titolari di carte. Lo standard d PCI DSS stabilisce i requisiti i i di sic curezza, nell ambito dei sistemi i di pagamento, ove vengano trasmessi e/o memorizzati dati relativi a carte di credito e di debito. Sono membri del : 3

4 Punti fermi in un contesto in evoluz zione (PCI DSS PA-DSS DSS, PCI PTS) PCI DSS: 6 obiettivi e 12 requisiti Cos è permesso fare con i dati relativi alle carte di pagamento? Costruire e mantenere una rete sicura Installare e gestire un firewall per protezione dei dati. Non utilizzare impostazioni di default. Proteggere i dati dei titolari Proteggere i dati archiviati. Crittografare la trasmissione dei dati sensibili dei titolari nei network pubblici. Implementare un programma di gestione delle vulnerabilità (vulnerability management) Introdurre misure forti di controllo degli accessi Utilizzare e aggiornare regolarmente un software antivirus. Sviluppo e gestione di sistemi e applicazioni sicure. Utilizzare l accesso ai dati dei titolari solo per effettiva necessità Assegnare un identificativo unico a chiunque effettui l accesso ai sistemi informatici. Limitare l acceso fisico ai dati dei titolari Provvedere regolarmente al monitoring e al testing della rete Tenere sotto controllo e tenere traccia di tutti gli accessi alle risorse di rete e ai dati dei titolari. Eseguire regolarmente dei test su sistemi di sicurezza e processi Mantenere una policy per la sicurezza delle informazioni. Creare e mantenere una policy aziendale che abbia come oggetto la sicurezza delle informazioni 4

5 Recenti aggiornamenti nell ambito dello standard PCI Nuove versioni delle specifiche. Maggiore convergenza dei Circuiti Internazionali, SEPA, BCE e EPC su PCI. Richiesta della BCE su una maggiore sinergia tra EMV e PCI. Ampliati gli ambiti PCI (es. generazione PIN, HSM, key Management, ecc.). Specifiche attenzioni alla PCI per le nuove tecnologie (C-Less e Mobile Payment). Chiarite le competenze per i soggetti, interni ad una azienda, con responsabilità dei programmi di sicurezza PCI. Forzata la migrazione i a EMV (carte e terminali a livello ll mondiale). 5

6 Lo standard PCI per i pagamenti è ad ogg gi un modello di riferimento che viene costantemente aggiornato in base a nuove esigenze funzionali, tecnologiche e di sicurezza PA-DSS PCI DSS PCI PTS In telecomunicazioni e informatica lopen l'open Systems Interconnection (meglio conosciuto come modello ISO/OSI) è uno standard per reti di calcolatori stabilito nel 1978 dall'international Organization for Standardization, il principale ente di standardizzazione internazionale, che stabilisce per l'architettura logica di rete un'architettura a strati composta da una pila di protocolli suddivisa in 7 livelli, i quali insieme espletano in maniera logico-gerarchica gerarchica tutte le funzionalità della rete La sto oria ci ha insegnato che gli standard d che hanno avuto successo non lasciavano spazio a possibili criticità o ad ambiti non definiti. 6

7 Le nuove versioni PCI PTS, PA DS SS e PCI DSS 28 Ottobre Ottobre Settembre

8 Payment Card Industry (PCI) PIN Transaction Security (PTS) PIN SUPPORT Key Management PIN-entry Tecnology HSM PIN Processing 3-D Secure Card Verification Card Production and Personalization EFTPOS ATM Cash Card Reloading Data Integrity Chip Card Transaction Processing 8

9 Dichiarazioni ufficiali PCI anche in ambito mobile payment Precisazione alla comunicazione rilasciata in data 29/11/10. I Mobile Payment sono attualmente sotto esame per motivi di sicurezza. Non è sufficiente che si operi nello sviluppo di un prodotto considerando unicamente i requisiti della PA DSS, ma deve essere considerato il contesto dei merchant con tutti i requisiti PCI DSS. Dichiarata attività del Council per valutare ed integrare i mobile payment. Anticipazione di nuove specifiche a ottobre

10 E-Ticketing contactless technology Alcuni esempi di progetti in ambito trasporti: Parigi: NAVIGO contactless (1,5 Ml.) Londra: The Oyster (8 Ml) Stockholm's Lokaltrafik AB (1.4 Ml.) Boston (3.5 Ml.) Santiago de Chile (5 Ml.) e NFC phones 10

11 Pagamenti NFC con i cellulari AND DROID 11

12 Tecnologia C-less e PCI DSS (new MCC e scontrini/ricevute) Oltre terminali in Europa. Bulletin Mastercard del 10 February

13 Specifica documentazione di supporto in caso di compromissione 13

14 Un dato su cui riflettere 14

15 Le tecniche e le modalità di come viene attuata una frode cambiano nel tempo. Il pericolo che ne deriva, non sempre, viene prontamente percepito 15

16 Dalla meccanica applicata alla trasm missione dati (dal microswitch al trasmettitore BT) Foto per gentile concessione della Polizia i di Stato t - Compartimento t Polizia i Postale e delle Comunicazioni i iper la Lombardia 16

17 Alcune delle contromisure adottate Carte a BM ATM e POS ISP e Gestori Terminali Centri applicativi Circuiti internazionali Carte a chip Terminali EMV L1 e 2. Mandate triple- DES encryption e PCI PED. Nuove chiavi crittografiche. Obbligo da SDA a DDA. Adozione ICVV E-Commerce 17

18 Previsto, da qualche anno, l attacc oaiposemv 18

19 2010 e 2011 EMV è sotto attacco. Dalla teoria alla pratica Le compromisssioni di questi giorni 19

20 Risposta ufficiale di EMV /d t /R from_emvco_to_inverse_path_paper.pdf th P 20 20

21 Banca Centrale Europea - Ottobre

22 Proposta di fornire al titolare una seconda carta, solo a banda magnetica, per viaggi in paesi non ancora full EMV (difficile applicabilità!) IMPEGNO DI VISA NEI MOBILE PAYMENT 22

23 Il problema delle compromissioni operate dall interno. Segmentazione degli ambienti e dispositivi sicuri 23

24 Violata la fiducia e dispositivi non adeguatamente protetti alle manomissioni ATM manomessi, dall interno, con la complicità di chi dispone delle chiavi di aper rtura. Ancora oggi molti dispositivi sono protetti solo per attacchi dall esterno Foto per gentile concessione della Polizia di Stato - Compartimento Polizia Postale e delle Comunicazioni per la Lombardia 24

25 Fragili certezze Nei colloqui per affrontare il tema della PCI DSS i merchant, troppo spesso, sono nella convinzione che le soluzioni da loro adottate siano più che sufficienti. Un contesto che non cambia mai all improvviso, dove possiamo controllare gli eventi imprevisti e siamo comunque immuni da chi vuole fare 25

26 Una compromissione è improvvisa a! 26

27 Gallipoli, 30 marzo

28 Milano, 21 febbraio

29 Alert, relativo alle richieste di autor rizzazione, inviato, tramite SMS, al titolare E' stata t concessa un'autorizzazione i di EUR 1,00 il :37 sulla sua carta XXXX YYYY. E' stata concessa un'autorizzazione di EUR 243,36 il :38 sulla sua carta XXXX YYYY 29

30 I malfattori, nel ruolo di giocatori online, scommettono denaro d illecita provenienza. In alternativa, acquistano beni e servizi i cui beneficiari, nell a vendita, sono loro stessi. 30

31 Un caso di compromissione segna alato dai Circuiti Internazionali L analisi di dati, permette di trovare il punto di compromissione che viene segnalato, tramite appositi tool, dai Circuiti iti Internazionali ai propri membri. 31

32 un altro caso 32

33 e questo che, purtroppo, non è l ult lult timo! Member Letter: VE 28/06 26 July 2006 must not be stored 33

34 Carte contraffatte ritirate da ATM o direttamente dai merchant 4792 >>4972 PIN 34

35 Pos virtuale su GT certificato PCI DSS, ma 35

36 Esercente che copia i dati di ignari clienti Evento COMPROMISSIONE Codice Sia Insegna HTL XRXX YYYYYY Indirizzo XIXXXX (PI) Data Evento DA GENNAIO 2007 AL 20 FEBBRAIO 2008 Stabilimento Cassa Ter. Id 3XXXXXX6 e 3XXXXXX1 NOTE Già segnalato il 7 giugno u.s. E' qualcuno dell'hotel che entra in possesso dei dati e non manomissione di terminali POS. Data Utilizzi Fraudolenti da APRILE 2007 a FEBBRAIO 2008 UTILIZZI FRAUDOLENTI INTERNET (spesso sul sito..) 36

37 Dati carta archiviati sui sistemi informatici. Quali rischi? Alcuni dubbi sul merchant ed i relativi processor: Sono tutti compliant PCI DSS? I dati cartaa di credito vengono cifrati? Dopo quan nto tempo tali dati verranno eliminati? 37

38 Segnalare, responsabilmente, situazioni che vengono ritenute critiche/a rischio 38

39 Rischi di non essere compliant - Le penali Member Letter: VE 33/08 24 September da 0 a da a > Penali proporzionali ai cardholder compromessi giorni 90 giorni 120 giorni Penali di "Non Cooperation"

40 Classificazione del merchant e valutazione del rischio 40

41 Penali per mancata compliance PCI DSS ed in caso di compromissioni 41

42 I rischi di non essere compliant PCI DSS Incarico ad aziende operanti in ambito sicurezza per Sostituzione dei sistemi Maggiori costi per il servizio clienti Costi delle indagini interne Spese legali Perdite Issuer/Acquirer Servizi/prodotti scontati Minor produttività dei dipendenti Contraccolpi finanziari i i per la perdita di clienti il contenimento della manomissione Valutazione ottimistica dei costi dovuti alla manomissione dei dati = ma possiamo anche ipotizzare cif fre superiori al $

43 Liability finanziaria dopo un caso di compromissione (rischio di non essere compliant) Può essere difficile sostenere i costi finanziari legati alle manomissioni per via di: Obblighi contattuali non rispettati (rif. member letter e bulletin); Danni reputazionali e perdite finanziarie (relazione giu ustificativa agli azionisti per le società quotate in borsa); Perdite Issuing/Acquiring (transazioni autorizzate/ammontare frodi); Se è stato compromesso il contenuto della traccia magnetica viene applicato il programma DCRS (Data Compromise Recovery Solution); Rischio penali: i Circuiti iti Internazionali contrattualmen tt te, in caso di violazioni, i i multano l acquirer; Conseguente rivalsa diretta (pagamento della penale come notificata dai circuiti) od indiretta (aumento delle commissioni) sul merchant; I costi delle indagini sono a carico del merchant (Forensic investigation cost); Possibile revoca del merchant (conseguenze di non accettare più le carte di pagamento); Frodi e penali come fattore non competitivo (perdite finanziarie); Costi aggiuntivi per piani di rimediation, imposti dai circuiti, in un breve arco temporale; Conseguenze negative sulla clientela dovute alla man ncata disponibilità di servizi di pagamento (ridotto fatturato e perdita di clienti); Class action; Costi diretti (penali) ed indiretti (danno reputazionale) ); Analisi di come ridurre i dati relativi alle carte di pagam mento sui sistemi informatici. Considerare modi alternativi per ottenere gli stessi obiettivi (ambiti operativi, marketing ed antifrode) senza memorizzare dati non necessari ai fini della richiesta di autorizzazione. A fronte di essere individuati dai circuiti internazionali come non certificati PCI DSS: Rischio penali; Costi aggiuntivi per piani di rimediation imposti dai circuiti in intervalli temporali stabiliti (30/60/90 gg.). 43

44 PCI Philosophy: Prevedere e prepararsi Dobbiamo educare i nostri merchant, ancor prima di pretendere per obblighi imposti dai circuiti, che i loroo dati vengano sempre gestiti, a 360, in modo o sicuro. Compliance PCI per prevenire e rendere comunque vani i tentativi d intrusione. Non necessariamente bisogna distruggere un bene per evitare che vada in mani sbagliate. 44

45 e soprattutto sicurezza in ogni ambito! 45