ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА m4bank.mpos

ВОПРОСЫ БЕЗОПАСНОСТИМОБИЛЬНОГО ЭКВАЙРИНГАM4Bank.MPOS

апрель 2013 г.

О компанииООО «Центр корпоративных технологий»

―Основана в начале 2011 года.―Специализация: разработка и поставка мобильных корпоративных решений.―Цель Компании – делать качественные инновационные продукты.―Штат Компании около 20 человек. Штаб квартира в Москве. Офис разработки в Витебске.―Начало разработки mPOS – июнь 2012 года.―Декабрь 2012 – запуск первого проекта In-house в России с МКБ.―В процессе регистрации в программах VISA Ready и MasterCard Mobile POS Program.

Что такое мобильный эквайринг? ― Эквайринг: Процесс приема и обработки банком-эквайрером

платежной информации с банковских карт для оплаты товаров и услуг. Осуществляется путем установки на торгово-сервисное предприятие (ТСП) специального оборудования - POS-терминала.

― Мобильный эквайринг: Эквайринг, при котором в качестве POS-терминала используется мобильный терминал - смартфон и подключенный к нему считыватель карт (кард-ридер).

Достоинства мобильного эквайринга― Дешевизна решений― Мобильность решений― Гибкость (простота доработок) решений

Проблемы мобильного эквайринга― Критическая важность обеспечения безопасности― Организационная нечеткость схем

Что такое мобильный эквайринг?

Мобильный терминал

Архитектура решения M4POS от ООО ЦКТ

Bank

CCT

Card Processing Terminal Host

HSMHttps://Server_IP:Port

Https://Server_IP:Port

Card processing Terminal Host IP:Port

M4Bank.MPOS WEB-Admin

Https://Server_IP:Port

M4Bank.MPOSMerchant

WEB-Cabinet

Https://Server_IP:Port

Key Loading Device

MerchantSalesman

MerchantAdmin

MPOS SystemAdmin

Security officer

M4Bank.MPOS_ClientAndroid/IPhone

HTTP://www.yandex.ru

M4Bank.MPOSSERVER

Yandex.ru

SMTP-Server

SMTP Server IP_adress

HSM

Основные производственные операцииМобильный терминал― Регистрация мобильного терминала― Оплата товара/услуги― Отмена оплаты― Возврат товара/услуги― Закрытие операционного дня (сверка; балансировка терминала)

― Реестр текущих операций― Сервисные процедуры (смена пароля, связь с банком, справка) и т.д.)

Оплата товара/услуги

Оплата товара/услуги

Оплата товара/услуги

Оплата товара/услуги

Оплата товара/услуги

Оплата товара/услуги

Оплата товара/услуги

Оплата товара/услуги

Основные производственные операцииАдминистративное приложение Системы― Заведение пользователей― Формирование/редактирование объектов (фирмы, банковские

терминалы, считки)― Настройка параметров (в т.ч. лимитов операций)― Формирование/просмотр/сохранение/печать отчетов

Основные производственные операции

Основные производственные операции

Административное приложение Фирмы (ТСП)― Заведение операторов― Настройка собственных объектов (банковские терминалы, считки,

лимиты (частично))― Формирование/просмотр/сохранение/печать отчетов по фирме

Основные производственные операции

Вопросы безопасностиОбеспечение безопасности мобильного эквайринга― Безопасность считки и карты― Безопасность передачи данных между считкой и мобильным

приложением― Безопасность мобильного приложения и смартфона― Безопасность передачи данных между мобильным терминалом и

сервером― Безопасность сервера― Безопасность размещения в Банке

Безопасность считки и карты― Защищенное криптографическое устройство (Secure cryptographic

device (ISO 13491))― Обработка критических данных – внутри устройства― Все операции со считкой – через аппаратное (firmware) API

Вопросы безопасности

Безопасность считки и карты – считки для карт на основе магнитной полосы

― Магнитная полоса – только в шифрованном виде― Управление ключами – DUKPT или DES/TDES― Внесение/изменение ключей – в защищенной среде― Энергозависимые/энергонезависимые― Проблема: поддержка различных смартфонов (Android)

Вопросы безопасности

Безопасность считки и карты – считки для микропроцессорных карт (беспиновые)

― Цикл EMV-транзакции― Управление ключами – PKI (RSA) и TDES― Внесение/изменение ключей – в защищенной среде― Важна сертификация EMV Level 1

Вопросы безопасности

Безопасность считки и карты – считки для микропроцессорных карт (с поддержкой ПИН-кодов) (мобильные ПИНпады)

― Полная поддержка EMV-транзакций― Управление ключами – PKI (RSA) и TDES; мощный криптопроцессор― Интерфейсы – USB, Bluetooth― Внутреннее приложение (Firmware) – сертификации: EMV Level2, PA-

DSS

Вопросы безопасности

Мобильные ПИНпады

Вопросы безопасности

Безопасность передачи данных между считкой и мобильным приложением

― Зависимость от разъема: ― Аудио не требует специальной защиты― USB, Bluetooth - рекомендуется шифрование канала

Вопросы безопасности

Безопасность мобильного приложения и смартфона― Проблема jailbreak’ов― Проблема распространения приложений через магазины (Google

Play, Apple App Store)― Сохранение данных во внутреннюю память телефона (домен

безопасности приложения) под шифрованием― Организационные меры защиты

Вопросы безопасности

Безопасность передачи данных между мобильным терминалом и сервером

― Передача данных – всегда через публичные сети (Интернет)― Шифрование канала по SSL― Рекомендуется использование клиентских сертификатов (помимо

серверного)― Возможно дополнительное шифрование данных ключом приложения

Вопросы безопасности

Безопасность сервера― Выполнять требования PCI DSS― Использовать аппаратные модули безопасности (HSM) для генерации

и хранения ключей и выполнения криптографических процедур в ходе онлайновых транзакций

― Общие требования политики безопасности (сменяемость паролей, разграничение прав администраторов, и т.д.)

Вопросы безопасности

Безопасность размещения в Банке― Тщательная защита точки входа (DMZ)― Анализ защищенности канала при SSL-терминации― Обеспечение безопасности выхода в Интернет (получение

геолокационных данных)― Обеспечение безопасности соединения с терминальным хостом― Общие правила организационной безопасности

Вопросы безопасности

Вопросы ?Спасибо за внимание!

Ермаков Александр Иванович Технический директор, ООО «Центр корпоративных технологий»

ermakov@centercorptech.net, ae@m4bank.ruhttp://www.m4bank.ru

апрель 2013 года