e-payment: normative di sicurezza e best practice



Documenti analoghi
Copyright IKS srl

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone

PCI-DSS. Sicurezza dei dati delle carte di pagamento

PCI DSS ISTRUZIONI OPERATIVE

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

La visione di Oberthur sull'evoluzione del Mobile Payment e soluzioni di convergenza

TAS Group. Company Profile 2014

Posteitaliane. Grandi Imprese e Pubbliche Amministrazioni. Giuseppe G. Pavone. Ottobre 2013

CartaSi: un mondo virtuale di vantaggi reali

La sicurezza tecnica dei pagamenti innovativi: Le raccomandazioni delle autorità finanziarie europee

NFC: Il Nuovo Traguardo del Mobile

CONTACTLESS TRAVEL viaggiare con la Carta di Credito. ing. Paolo Sandri Direttore Sviluppo Tecnologie

NFC I sistemi avanzati di pagamento

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

EVENTI SERALI DIGITAL DRINKS

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Roma, 18 novembre WoW The OTT mobile payment wallet

Niente denaro, niente carte, tutto Digitale?

Servizio Organizzazione - Monetica e Sistemi di Pagamento. Payment Systems Revolution : an opportunity for (too) many

Nuove frontiere del mobile payment

Mobile Payment. Aspetti tecnici ed interoperabilità dei sistemi. Alice Moroni CATTID Sapienza Università di Roma

L impatto della multimedialità per il settore bancario e finanziario

La Monetica e le Banche: creare valore in un contesto competitivo.

Company Profile. Quarto trimestre 2014

Tutte le tipologie di New Digital Payment. Un nuovo modo di effettuare pagamenti. 70,2% 18,3% 11,5% PRINCIPALI EVIDENZE

Strong Authentication, FEA, SPID: la Sicurezza nel Transaction Signing e negli Accessi per Abbattere le Frodi

Expanding the Horizons of Payment System Development. Smart Solutions Security - Payement Identification and Mobility

BANCOMATLab Osservatori 2012

QUIPAGO - MODALITÀ PAYMENT

Mobile Payment & Commerce: un ponte tra il mondo fisico e il mondo digitale

SAIPEM: Strong Authenticator for SAP Una soluzione CST in grado di garantire il massimo della sicurezza

Expanding the Horizons of Payment System Development

Prendi il controllo della Sicurezza! La più ampiaedinnovativagammadi soluzioni per la sicurezza logica ed organizzativa proposte da un unica Azienda

Applicazioni per il mobile banking. Dario Formenti Direttore Tecnico Cim-Italia

L evoluzione verso SEPA

La mappa del Mobile Payment: come orientarsi tra Mobile Wallet e Mobile POS

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

Il mercato dei pagamenti elettronici è in una fase di profondo dinamismo e sono molte le opportunità da cogliere

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT

Chi siamo. La società. Soluzioni. C-Card è la società del Gruppo Cedacri, costituita per operare nel business delle carte di pagamento.

Presentazione Istituzionale V.4 - Aggiornata al 8/07/2013

LA STRONG AUTHENTICATION per la sicurezza dei pagamenti

LA STRONG AUTHENTICATION per la sicurezza dei pagamenti

Carte di pagamento. Prodotti e servizi a valore aggiunto per istituti di credito e operatori finanziari

Istruzioni e regole del servizio 3D Secure. Allegato tecnico e-commerce

IL PROGETTO BIP IN PIEMONTE il ruolo del Centro Servizi Regionale nelle politiche di interoperabilità e integrazione

Mobile Security: un approccio efficace per la sicurezza delle transazioni

Il totale delle paline installate è di n. 49: n. 28 nel Comune di Forlì n. 21 nel Comune di Cesena

Rischi e Opportunità nella gestione della sicurezza ecommerce

Titolo: Il futuro delle Postepay&Go Relatore: Alessandro Albano Poste Italiane. Coordinatore Progetti Innovativi e Internazionali

SmartPay. rende facile l e-commerce

L evoluzione dei sistemi di pagamento: mobilità e multifunzionalità Vincenzo Romeo Ingenico Italia

Mobile Payment. Piattaforma per i pagamenti in mobilità tramite smartphone

L innovazione nei servizi di pagamento dalla SEPA alla PSD2: OBEP, P2P, Mobile e Instant Payment

Progettazione e sviluppo di un applicazione di Mobile Payment su dispositivo Android tramite tecnologia NFC

Iniziativa : "Sessione di Studio" a Roma

Il mercato degli strumenti di pagamento alternativi al contante. Management Highlights. Ottobre 2008

Chi è CartaSi. I numeri chiave di CartaSi

CYBER SECURITY COMMAND CENTER

Aprire nuovi mercati con il web marketing e l e-commercel

PosteMobile. Novembre 2009

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Il monitoraggio delle home banking apps: miglioriamo l esperienza utente

Carte 2002 ABI Roma Daniele Astarita, ACI Worldwide

Il servizio di E-Commerce

Il valore dell acquiring nella sfida war on cash

REALIZZIAMO APP CON TECNOLOGIE AVANZATE. NFC Near Field Communication, con connettività wireless bidirezionale a corto raggio INDUSTRIALI

Banche e Sicurezza 2016

ABI Carte epayments Tutti Pazzi per Jiffy

CARTE E PAGAMENTI ELETTRONICI: OBIETTIVI E AZIONI PER UNO SVILUPPO SOSTENIBILE

L innovativo conto di moneta elettronica per l ecommerce NETCOMM 2009

MINISTERO DELLO SVILUPPO ECONOMICO FORUM PA delle Comunicazioni e Tecnologie dell Informazione

Presentazione progetti di tesi e tesine. Ottobre 2011

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Gartner Group definisce il Cloud

CheSicurezza! Lorenzo Mazzilli e Alessio Polati Architetture e sicurezza CheBanca!

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

darts Software & Engineering Consulenza Progettazione System Integration ITS BSS New Media Company

Impatto Economico e Approccio di Gestione delle Frodi sulle Carte di Pagamento. Antonio Galiano Responsabile E-Bank ICCREA Banca S.p.

Catalogo corsi di formazione

IT Transformation. Maurizio Salvalai. U.S. Road Show. gennaio 2008

tecnologie vicine Pagamenti on-line: la PA al servizio del cittadino Antonio Palummieri Resp. Area Mercato

30/05/2014 Convention Gruppo CSE - 1

Il Gestore Terminali: un alleato per le nuove sfide.

Il contesto di riferimento. Le nuove sfide per la qualità. Le esigenze degli operatori. IAssicur 2008 Large Data Base

Integrazione sicurezza fisica e logica: strategie e benefici per la banca

BANCHE E SICUREZZA 2015 SCHEMA DELLE SESSIONI SICUREZZA FISICA SICUREZZA INFORMATICA FRODI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

COMUNICAZIONE PROFILO AZIENDALE. Sistema di Qualità: Soci: Denominazione Aquarius di Angelo Lo Celso & C. S.a.s. ; Forma societaria

Profilo Huawei Corporate

Wave and Pay. Visa Contactless. Guido Mangiagalli Consumer Market Development Visa Europe. Scaricato da.

Una piattaforma innovativa per i pagamenti in mobilità tramite smartphone

Company overview. *stimato

La platea dopo la lettura del titolo del mio intervento

Digital Payment Summit. Roma, 12 Giugno 2014

ALLEGATO N. 32. livinglabs.regione.puglia.it SMART WALLET. Impresa capofila: Clio SpA

Il ruolo del Payment Service Provider nello sviluppo di Bankpass. Carte 2002 Innovazioni e Tecnologie per un mercato che cresce

LA CITTA DIVENTA SMART

Transcript:

e-payment: normative di sicurezza e best practice Trento, 08 Marzo 2013 Vanni Galesso Security Architect@IKS www.iks.it informazioni@iks.it 049.870.10.10

Il gruppo IKS 1999 Capogruppo e azienda leader Nata nel 1999 con focalizzazione sui temi della Governance IT e Security 2006 B2B application Informatizzazione e dematerializzazione dei processi aziendali. 2008 Compliance Si occupa di security compliance. Prima azienda italiana certificata PCI QSA e ASV 2009 R&D Ricerca e Sviluppo. 2011 Fraud Management Azienda leader per le tematiche frodi in ambito finanziario. 11/03/2013 2

E-Payment Si intende il pagamento per l'acquisto, la vendita di beni o servizi offerti attraverso Internet, o in linea di massima si intende il pagamento attraverso qualsiasi linea dati. Cit. Wikipedia 11/03/2013 3

I molteplici scenari di E-Payment 11/03/2013 4

Scenari: Home & Corporate Banking Home User Bank Internet Mobile User Payment Appl. Developer Company Company User 11/03/2013 5

Scenari: E-Commerce Home User Mobile User Internet Issuer Merchant Service Provider (Processor, ) Acquirer Payment Appl. Developer 11/03/2013 6

Scenari: Card Present New POS Techn. POS ATM Payment Appl. Developer Some Net Acquirer Merchant CardHolder Issuer 11/03/2013 7

Scenary: Proximity MicroPayment MNO: Mobile Network Operator OTA: Over the Air supporting protocols which enable to address the UICC using the handset as a transparent communication means, as defined in AFSCM: Guidelines for Interconnection of Service Providers andmobilenetworkoperators InformationSystems OTA functionality includes UICC management, applet issuance, UI application issuance, service management, mobile device management, applet personalization management, security domain management, and applet transport management. OTA UICC: Universal Integrated Circuit Card NFC: Near Field Communication OTA Payment Appl. Developer 11/03/2013 8

Standard e best practices sono davvero utili? 11/03/2013 9

Casi reali di compromissione 11/03/2013 10

Casi reali : non troppo standard A fronte di una login il server restituisce sul dispositivo : Codice Fiscale Num CC Nome, cognome, indirizzo, via, CAP, Residenza N. Bancomat, massimale (giornaliero e mensile) Scadenze carte N. Carta Credito 07/01/13

Quali standard usare? Non esiste un unico standard che copra tutte le tipologie Ci sono standard, raccomandazione, best practices che coprono il mondo infrastrutturale, applicativo e hardware 11/03/2013 12

SEPA (Single Euro Payments Area) Altri standard presenti Standard per la razionalizzazione delle transazioni bancarie EPC (European Payments Council) Organo che doveva implementare SEPA EMV (Europay, MasterCard e VISA per pagamenti con smart card, terminali POS e bancomat) ISO 27001 Standard più generale di gestione della sicurezza delle informazioni 11/03/2013 13

NFC: Near Field Communication Altri standard hardware NFC Can communicate with objects Magnetic field induction Contactless technology based on RFID 13,56MHz NFC is standardized ECMA-340 and ISO/IEC 18092 Backward compatibility with ISO14443 and SmartCard Millions of readers Easy to use NFC-Forum (http://www.nfc-forum.org) 11/03/2013 14

Altri standard sicurezza applicativa standard e linee guida NIST; standard e linee guida IETF; pubblicazioni Fraunhofer SIT; OWASP Mobile Security Project. Apple: Secure Coding Guide ; 11/03/2013 15

Lo standard di mercato Il più completo standard sul mercato è : PCI Il «PCI Security Standards Council» offre una serie di standard per aumentare il livello di sicurezza nei pagamenti con carta di credito, è composto da : Standard di protezione dei dati (DSS) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) Sicurezza delle transazioni PIN (PTS). è obbligatoria per tutte le organizzazioni che si occupano dell'elaborazione, dell'archiviazione o della trasmissione di dati relativi a transazioni effettuate con carte di pagamento. 11/03/2013 16

PCI standard anche per mobile payment 11/03/2013 17

Aree di copertura PCI (ATM) PCI PIN PCI PTS/PED PA DSS Payment Appl. Developer 11/03/2013 18

Altre raccomandazioni ECB ripresa da Banca d Italia ha pubblicato un documento : 1. Governance 2. Risk assessment 3. Incident monitoring and reporting 4. Risk control and mitigation 5. Traceability 6. Initial customer identification and information 7. Strong customer authentication 11/03/2013 19 8. Enrolment for and provision of authentication tools 9. Log-in attempts, session time out, validity of authentication 10. Monitoring 11. Protection of sensitive payment data 12. Education and communication 13. Notifications, setting of limits 14. Customer access to information on the status

Contromisure più innovative Reporting Case Management Monitoraggio delle transazioni per la Prevenzione delle Frodi: multicanale orientato all analisi comportamentale controllo end-point e device mobili Database Back-end User Behaviour analysis Tx Reputation analysis Neuroni specializzati Neuroni cognitivi Web traffic analysis HTTP Request 11/03/2013 20

Contromisure più innovative Analisi del codice applicativo Soprattutto in ambito mobile Sia statico che dinamico Come gestisco le informazioni sensibili 11/03/2013 21

Contromisure più innovative Rendi sicura la tua APP Analisi del codice Come gestisco le informazioni sensibili Utilizzo di plug-in di controllo per la verifica del livello di sicurezza del device 11/03/2013 22

Ridurre il rischio 11/03/2013 23

www.iks.it informazioni@iks.it 049.870.10.10 appassionati all eccellenza

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back