Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT



Documenti analoghi
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito.

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT. Roma, 3 Novembre 2011

Gestione della Sicurezza Informatica

Strategie antifrode nei sistemi di pagamento con carte

Copyright IKS srl

Prodotti e Soluzioni. Dispositivi Crittografici HSM 8000

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

1- Corso di IT Strategy

per attivare la funzionalità di pagamento con carte abilitate al circuito PagoBancomat su apparecchiature di ns. fabbricazione, è necessario:

Mobile Security: un approccio efficace per la sicurezza delle transazioni

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Ministero dell Istruzione, dell Università e della Ricerca. Allegato 9 - Profili Professionali

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Servizio Organizzazione - Monetica e Sistemi di Pagamento. Payment Systems Revolution : an opportunity for (too) many

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Piano di Sviluppo Competenze

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

Allegato 2 Modello offerta tecnica

TECNICO SUPERIORE PER L INFORMATICA INDUSTRIALE

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

EA 03 Prospetto economico degli oneri complessivi 1

Comune di Rieti Assessorato Protezione Civile

La gestione dei rapporti con i fornitori è un tema cruciale per le grandi Aziende nello scenario attuale del mercato e delle sue logiche di sviluppo.

Sistema Informativo Valutazioni e PRocedimenti Ambientali (SIPRA)

Domande e risposte su Avira ProActiv Community

Politica per la Sicurezza

Banche e Sicurezza 2015

EFT POS e Sicurezza tecnologia e processi

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

Appendice III. Competenza e definizione della competenza

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

Esperienze di analisi del rischio in proggeti di Information Security

I CONTRATTI DI RENDIMENTO ENERGETICO:

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

5.1.1 Politica per la sicurezza delle informazioni

I sistemi di pagamento nella realtà italiana

ORDINE DI SERVIZIO n. 38/14 TUTELA AZIENDALE

REGIONE MARCHE GIUNTA REGIONALE

I livelli di Sicurezza

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

Il modello veneto di Bilancio Sociale Avis

Strategie e Operatività nei processi di backup e restore

ECONOMIA E LEGISLAZIONE ANTIRICICLAGGIO. In sigla Master 42

OCS Open Control System

Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008)

INTRODUZIONE AL MANUALE DELLA QUALITA

ALLEGATO TECNICO PER L ACCREDITAMENTO DEGLI ORGANISMI DI FORMAZIONE CERTIFICATI

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

Gestione delle informazioni necessarie all attività di validazione degli studi di settore. Trasmissione degli esempi da valutare.

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Specifiche Tecniche CARATTERISTICHE TECNICHE GENERALI MINIME PER LA GESTIONE DEL SERVIZIO

ALLEGATO 2 FIGURE PROFESSIONALI DI FILIALE IMPRESE

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Gestione Operativa e Supporto

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Terminale POS Manuale Esercente

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

PROCEDURE - GENERALITA

! "! " #$% & "! "&% &&

Identità e autenticazione

Come prepararsi all Audit

1 Presentazione progetti in modalità completamente digitale Descrizione delle modalità di presentazione dei progetti

Progetto. Portale Turistico Regionale. Andrea Polini, Oliviero Riganelli, Massimo Troiani. Ingegneria del Software Corso di Laurea in Informatica

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Incidenti ed Incidenti Mancati

SUAP. Per gli operatori SUAP/amministratori. Per il richiedente

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

RIFERIMENTI OPERATIVI/ORGANIZZATIVI

navigosereno.it Banca e cliente: relazione SERENA Marco Buratti

MIUR.AOODGPS.REGISTRO UFFICIALE(U)

Fraud Management assicurativo: processi e modelli operativi

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

PLUS. Syllabus rev. 1.04

Transcript:

Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0

L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari che compromettono il corretto funzionamento del sistema nelle sue varie componenti. Incidenti Generano delle perdite Attacchi deliberati Causano da una parte delle perdite e dall altra generano dei profitti. Nel mondo dei sistemi di pagamento con carte l appetibilità del guadagno tende a sbilanciare il peso verso l accadimento di attacchi deliberati. 1

ATTACCHI LOGICI ATTACCHI FISICI Attacchi tipici agli schemi di pagamento Cattura carta (card trapping) Cattura della carta mediante l inserimento di un elemento all interno della feritoia dell ATM. Tale frode è associata in genere a tecniche volte all identificazione del PIN Cattura banconote (o cash trapping) Skimming/ shimming Inserimento di elementi artigianali nello shutter volti a compromettere l erogazione delle banconote Attraverso l installazione di device capaci di leggere i dati delle carte operanti con tecnologia a banda (skimmer) e di memorizzarli/ inviarli a supporti esterni, vengono riprodotte delle carte con la sola traccia magnetica in grado di lavorare su terminali con questa tecnologia Malwering Attraverso un infezione di tipo malware che può attuarsi secondo diverse modalità, il dispositivo è posto sotto il controllo dei frodatori che vanno alla ricerca di informazioni sensibili quali dati identificativi del card holder o PAN delle carte Riconfigurazione dei dati della traccia magnetica Alcune carte rubate vengono alterate nelle caratteristiche di funzionamento della traccia magnetica al fine di modificarne la natura e bypassando l operatività a chip 2

Vulnerabilità e minacce Qualsiasi tipologia di attacco osservata, tuttavia, si basa sulla scoperta di una vulnerabilità hardware, software, normativa, organizzativa, di processo e sulla capacità di sfruttarla per trarne un vantaggio illecito. La vulnerabilità si definisce quindi come E fondamentale individuare le vulnerabilità insite nel nostro sistema prima che siano sfruttate da altri a scopo fraudolento. 3

When, where, how Le vulnerabilità sfruttano il momento o il luogo dell interazione e rappresentano l occasione d attacco. Cattura carta (card trapping) Cattura banconote (o cash trapping) Skimming/ shimming Malwering Riconfigurazione dei dati della traccia magnetica Il card reader dell ATM/ POS La fascia dell ATM La traccia magnetica della carta La linea di comunicazione tra il PC dell ATM e l unità del dispenser La linea di comunicazione tra il PC dell ATM e le periferiche (porte USB, tastiere esterne, unità CD/ DVD) La linea di comunicazione tra il PC dell ATM e l host 4

Il modello di sicurezza Un framework di sicurezza si compone di vari step. 1 STEP 2 STEP 3 STEP La prima fase è quella del risk profiling, che ha come scopo l individuazione dei possibili rischi in gioco. ESEMPIO: lettura dei dati di una carta di pagamento La seconda fase è la comprensione dei possibili scenari e delle minacce ad essi collegati ESEMPIO: cattura dei dati mentre è in corso una transazione web (scenario); attacco man-in-the-middle (minaccia) La fase finale misura la capacità di resistere agli attacchi in quanto è volta a rintracciare le «falle» del sistema di sicurezza che hanno permesso la realizzazione dell attacco ESEMPIO: antivirus inefficace 5

Security Verification Standard Framework A tale scopo, a fronte dei risultati ottenuti dagli assessment condotti negli anni precedenti, il Consorzio ha svolto un progetto volto a definire un framework di sicurezza formato da: requisiti per il rafforzamento dei presidi di sicurezza antifrode, best practice per l espletamento dei processi, Principi per il rafforzamento della sicurezza antifrode elementi specifici di controllo e verifica a livello organizzativo, tecnologico e di processo Raccomandazioni OBIETTIVO FINALE Rilevare delle vulnerabilità e mettere in atto interventi di mitigazione per rafforzare il livello di sicurezza della rete di accettazione. 6

Perimetro dello Standard Monitoraggio della sicurezza Governo della sicurezza Gestione sicura delle chiavi crittografiche Sicurezza nei rapporti con i fornitori Installazione, gestione e manutenzione Misure di sicurezza delle componenti hw Sicurezza nel trattamento dei dati Misure di sicurezza delle componenti sw Sicurezza dell infrastruttura Sicurezza fisica Sicurezza logica 7

Campo di applicazione Specifiche tecnico/ funzionali Contengono elementi di sicurezza insiti nel protocollo. ESEMPIO: SPED/DEF 41 (Specifiche di sicurezza per i terminali POS); SPE/DEF 50 (Requisiti di sicurezza del processo di Issuing). Principi per il rafforzamento della sicurezza antifrode Coprono un perimetro più ampio che va oltre quello di omologazione. Contengono requisiti per la messa in sicurezza degli aspetti organizzativi, procedurali, logistici. ESEMPIO: elementi per messa in sicurezza di: - servizi di installazione terminali - servizi di manutenzione componenti hardware - servizi di sviluppo software Soluzioni di sicurezza per gli accessi logici Soluzioni di sicurezza della rete Soluzioni per la gestione della crittografia Soluzioni per il monitoraggio / logging Soluzioni di Business Continuity Management e Disaster recovery 8

Basi normative La definizione dello Standard si è basata su un analisi delle normative, degli standard internazionali e delle best practice applicabili ai diversi ambiti di analisi, funzionali ad una significativa ed efficace identificazione delle aree di controllo per l individuazione delle vulnerabilità cui le banche sono esposte. ISO27001 COBIT PCI BCE / Banca d Italia SPE/DEF NIST EMV AMBITI DI ANALISI Autorizzativo ATM Gestore Terminali Certification Authority POS 9

Processo di Vulnerability Self-Assessment Il processo di vulnerability self-assessment è il processo di ricognizione finalizzato all identificazione delle vulnerabilità tecniche, di processo e organizzative che potrebbero determinare rischi per la sicurezza, se sfruttate per realizzare eventuali attacchi. CHECKLIST ATM CHECKLIST DI CONTROLLO E lo strumento con il quale si realizza il processo di selfassessment. All interno della checklist, specifica per ogni ambito analizzato (es. ATM, POS, Gestore terminali etc.), in corrispondenza di ciascun ambito di sicurezza vengono definiti i controlli più efficaci per il contesto di riferimento. 10

Come si svolge l assessment? Consorzio BANCOMAT Aderenti Consorzio BANCOMAT...il Consorzio stabilisce modi e tempi di avvio del self-assessment Gli Aderenti individuano all interno dell organizzazione le strutture preposte ai diversi ambiti... compilano la/e checklist... Sulla base dei risultati, il Consorzio può: - proporre miglioramenti agli Aderenti - modificare SPE/DEF e/o pubblicare nuovi standard - Intervenire per il rafforzamento delle difese 11

La sicurezza è l abilità di evolvere L obiettivo finale del nostro nuovo framework è quello di preservare l autonomia nell offerta dei servizi di mercato (customizzazione) portando però tutti gli operatori allo stesso livello di sicurezza, pur nella complessità della catena di erogazione attraverso un irrobustimento dello standard. Se ieri il Consorzio profilava rischi e suggeriva strategie, oggi guida il sistema verso le condotte più opportune. 12

Grazie 13

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back