EFT POS e Sicurezza tecnologia e processi Raffaele Sandroni CARTE 2006
Obiettivi delle misure di sicurezza Non consentire un uso illegittimo degli strumenti di pagamento Assicurare l affidabilità del sistema nel suo complesso Salvaguardare ricavi e reputazione 2
La sicurezza a quale costo? La sicurezza ha sempre un costo Se NON è presente: costi per il rischio di frodi Se è presente: costi per investimenti in tecnologie ed adeguamenti dei processi organizzativi 3
Obiettivi delle misure di sicurezza Protezione dei dati sensibili nel dispositivo POS: PAN/PIN/Chiavi Resistenza agli attacchi Cancellazione dei dati Protezione dei dati sensibili durante l input (tastiere dei PED con schermi, nessun segnale acustico distinguibile) 4
Obiettivi delle misure di sicurezza Proteggere i dati durante lo scambio dei messaggi sulla rete di trasporto Autenticazione dei soggetti che si scambiano informazioni»certificati Riservatezza delle informazioni scambiate»cifraturacifratura Integrità dei messaggi scambiati»mac mess. 5
Obiettivi delle misure di sicurezza Proteggere i dati al centro Gestore terminali Restrizione all accesso dei dati Mettere sotto controllo le infrastrutture informatiche che trattano dati sensibili Protezione dei dati (es. oscuramento PAN, PIN/Chiavi) Cifratura degli archivi Utilizzo di Userid e password Programmi di compliance a standard internazionali (AIS program), omologazioni 6
Le misure tecnologiche di prevenzione e contrasto La prima misura di contrasto delle frodi è passare a prodotti omologati PM-EMV Il POS non EMV è privo di meccanismi che garantiscano efficacemente il rispetto dei principi della sicurezza No tamper Non dotato di ambiente sicuro (K cifratura messaggio) Non dotato di protezioni sulla fase di PIN entry Il POS diventa un obiettivo delle frodi ed un punto di compromissione dei dati sensibili Il punto di compromissione non è il punto in cui si perpetra la frode Ciò ritarda la rilevazione della frode, ne complica l analisi amplificandone gli effetti 7
Le misure tecnologiche di prevenzione e contrasto Sostituzioni terminali critici: circolari Cogeban 5/2006 e 6/2006 Stabiliscono le priorità negli interventi di aggiornamento dei POS Ambienti ad alto numero di transazioni (>10000 operazioni PagoBcm nel 2005 aziendali+circolarità) Petrol indoor (no colonnine) Sistemi multicassa in configurazione master/slave 8
Altre misure tecnologiche di prevenzione e contrasto Reti di trasporto (tipico ambiente non trusted ) Sicurezza end to end mediante cifrature forti (TDES) VPN geografiche/mpls 9
Le misure tecnologiche di contrasto Reti di trasporto: sicurezza end to end nell ambito di reti TCP/IP 10
MPLS (Multiprotocol label switching) Vantaggi Trasporto Segregazione del traffico Confidenzialità Prestazioni (tempo di attraversamento rete) Costi unitari del traffico Svantaggi Costi aggiuntivi in carico al centro Tempi di approvvigionamento della linea Aspetti organizzativi Aspetti amministrativi 11
Architettura POS stand alone su rete MPLS 12
Tecnologia e processi La sicurezza è un aspetto trasversale agli elementi che concorrono al servizio di pagamento elettronico Processi ed organizzazione 13
Tecnologia e processi Controllo dei processi Predisposizione dei terminali POS Immagazzinamento Installazione Manutenzione on-site/on-center Disinstallazione e recupero dei terminali 14
Le misure organizzative di prevenzione e contrasto Processo di installazione tramite personale identificabile (n. di pratica) Processo di istruzione dell esercente Condivisione dei principi di comportamento Controllo degli strumenti (accesso, uso) Segnalazione delle situazioni sospette 15
Le misure organizzative di prevenzione e contrasto Identificazione del tecnico Esercente-Tecnico Documento/Badge Controllo del n. di chiamata di assistenza GT-Esercente-Tecnico 16
Le misure organizzative di contrasto Processo di assistenza on-center Telegestione con mutua autenticazione del centro di telegestione Autenticazione del software conferito al POS 17
Tecnologia e processi La sicurezza non è uno stato di fatto ma un presidio Necessita di adeguamenti tecnologici e di processo, rispetto alle nuove ipotesi di attacco 18
Le misure tecnologiche di contrasto Gennaio 2006: nuove specifiche Cogeban SPE DEF 122 e 090 Definiscono nuove regole della sicurezza e dei processi di manutenzione Introducono un incremento significativo della sicurezza 19
Le misure tecnologiche di contrasto Da 2007: nuove specifiche Cogeban SPE DEF 040 e 041 Definiscono una modalità di attuazione delle nuove regole POS e non solo PED Tamper evident e tamper responsive Certification authority Mutua autenticazione POS-Gestore Terminali tramite CA Modalità di caricamento delle chiavi su POS e su Gestore Terminali Estensione all uso del triplo DES per tutti i messaggi scambiati tra POS e GT Cifratura del PIN BLOCK via TDES ed evoluzioni chiavi con metodo DUKPT Nuovo header messaggi Separazione delle responsabilità di acquiring tramite l uso (facoltativo) di set di chiavi diversificate per acquirer 20
Certificati L albero della CA: catena dell affidabilità Certificato Gestore Terminali Certificato fornitore EFT POS Certificato terminale EFT POS 21
Impatti sulle procedure di predisposizione dei terminali POS Key management in fabbrica (dual control; split knowledge) Protezione degli ambienti di conferimento delle chiavi e dei certificati (anti-intrusione fisica e logica) Gestione del personale abilitato (istruzione e consapevolezza) Protezione dei magazzini Cura nella gestione delle scorte 22
Le misure tecnologiche di contrasto Sicurezza logica POS EMV attuali (Specifiche 2002-2003) Nuove specifiche (2006-2007) Connessione al GT Senza mutua autenticazione Con mutua autenticazione POS-GT e CA Chiavi scambiate tra GT a POS per inizializzazione Protezione messaggi di servizio Protezione messaggi finanziari Protezione PinBlock; AP KPOS; KMPB Kcur (64 bit)+ DES Kcur (64 bit)+ DES Kpb (128 bit) + TDES ed evoluzione da chiave KMPB fissa e memorizzata nel PED (Mk/Sk) AP sotto KPcur Chiavi pubbliche CA, GT, fornitore, terminale per autentic. Kserv (128bit) + TDES Kfin (128 bit) + TDES con possibilità di diversificazione per acquirer Kpb/Kap + TDES e DUKPT nessuna chiave già utilizzata residente in memoria 23
Evoluzioni della sicurezza Sicurezza logica ed algoritmi di cifratura TLS 1.0 (AES) vs SSL3 (triplo DES) Contesti applicativi Nuove piattaforme di pagamento Architetture distribuite Ambienti multiapplicazione Nuove tecnologie per la rete di accettazione Wi-Fi POS IP su rete internet 24
EFT POS - le norme di riferimento per la sicurezza Circuito domestico - Cogeban Progetto Microcircuito Specifiche SPE DEF 090 Dichiarazione di conformità per i sistemi EFT POS Specifiche SPE DEF 122 Requisiti funzionali per la rete di accettazione Circolare 5/2006 Circolare 6/2006 Specifiche SPE DEF 040 Specifiche tecniche protocollo di colloquio POS-Gestore Terminali Specifiche SPE DEF 041 Specifiche tecniche relative alla sicurezza dei terminali EFT POS Circuiti Internazionali PCI PED (POS) Specifiche tecniche relative alle caratteristiche dei PED AIS Program (POS & Attori del mercato) Programma per la protezione dei dati sensibili 25
Date di riferimento nuovi requisiti tecnici/adeguamento prodotti Circuito Domestico Obbligo di aggiornamento dei terminali definiti critici entro il 31 dicembre 2006 Obbligo di uso dei prodotti omologati a chip EMV a partire da 1^luglio 2006 Omologazione PM Cogeban: nuovi requisiti in vigore per le omologazioni di nuovi prodotti: da 2007 Obbligo di utilizzo prodotti omologati rispetto ai nuovi requisiti per le installazioni e le sostituzioni: da metà/fine 2007 Circuiti Internazionali Certificazione PCI PED per i POS alla scadenza del certificato di PED Compliance rilasciato su criteri stabiliti precedentemente Certificazioni AIS program per gli operatori del mercato dal 30 giugno 2005 26