![Page 1: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/1.jpg)
ВОПРОСЫ БЕЗОПАСНОСТИМОБИЛЬНОГО ЭКВАЙРИНГАM4Bank.MPOS
апрель 2013 г.
![Page 2: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/2.jpg)
О компанииООО «Центр корпоративных технологий»
―Основана в начале 2011 года.―Специализация: разработка и поставка мобильных корпоративных решений.―Цель Компании – делать качественные инновационные продукты.―Штат Компании около 20 человек. Штаб квартира в Москве. Офис разработки в Витебске.―Начало разработки mPOS – июнь 2012 года.―Декабрь 2012 – запуск первого проекта In-house в России с МКБ.―В процессе регистрации в программах VISA Ready и MasterCard Mobile POS Program.
![Page 3: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/3.jpg)
Что такое мобильный эквайринг? ― Эквайринг: Процесс приема и обработки банком-эквайрером
платежной информации с банковских карт для оплаты товаров и услуг. Осуществляется путем установки на торгово-сервисное предприятие (ТСП) специального оборудования - POS-терминала.
― Мобильный эквайринг: Эквайринг, при котором в качестве POS-терминала используется мобильный терминал - смартфон и подключенный к нему считыватель карт (кард-ридер).
![Page 4: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/4.jpg)
Достоинства мобильного эквайринга― Дешевизна решений― Мобильность решений― Гибкость (простота доработок) решений
Проблемы мобильного эквайринга― Критическая важность обеспечения безопасности― Организационная нечеткость схем
Что такое мобильный эквайринг?
![Page 5: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/5.jpg)
Мобильный терминал
![Page 6: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/6.jpg)
Архитектура решения M4POS от ООО ЦКТ
Bank
CCT
Card Processing Terminal Host
HSMHttps://Server_IP:Port
Https://Server_IP:Port
Card processing Terminal Host IP:Port
M4Bank.MPOS WEB-Admin
Https://Server_IP:Port
M4Bank.MPOSMerchant
WEB-Cabinet
Https://Server_IP:Port
Key Loading Device
MerchantSalesman
MerchantAdmin
MPOS SystemAdmin
Security officer
M4Bank.MPOS_ClientAndroid/IPhone
HTTP://www.yandex.ru
M4Bank.MPOSSERVER
Yandex.ru
SMTP-Server
SMTP Server IP_adress
HSM
![Page 7: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/7.jpg)
Основные производственные операцииМобильный терминал― Регистрация мобильного терминала― Оплата товара/услуги― Отмена оплаты― Возврат товара/услуги― Закрытие операционного дня (сверка; балансировка терминала)
― Реестр текущих операций― Сервисные процедуры (смена пароля, связь с банком, справка) и т.д.)
![Page 8: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/8.jpg)
Оплата товара/услуги
![Page 9: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/9.jpg)
Оплата товара/услуги
![Page 10: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/10.jpg)
Оплата товара/услуги
![Page 11: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/11.jpg)
Оплата товара/услуги
![Page 12: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/12.jpg)
Оплата товара/услуги
![Page 13: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/13.jpg)
Оплата товара/услуги
![Page 14: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/14.jpg)
Оплата товара/услуги
![Page 15: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/15.jpg)
Оплата товара/услуги
![Page 16: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/16.jpg)
Основные производственные операцииАдминистративное приложение Системы― Заведение пользователей― Формирование/редактирование объектов (фирмы, банковские
терминалы, считки)― Настройка параметров (в т.ч. лимитов операций)― Формирование/просмотр/сохранение/печать отчетов
![Page 17: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/17.jpg)
Основные производственные операции
![Page 18: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/18.jpg)
Основные производственные операции
Административное приложение Фирмы (ТСП)― Заведение операторов― Настройка собственных объектов (банковские терминалы, считки,
лимиты (частично))― Формирование/просмотр/сохранение/печать отчетов по фирме
![Page 19: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/19.jpg)
Основные производственные операции
![Page 20: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/20.jpg)
Вопросы безопасностиОбеспечение безопасности мобильного эквайринга― Безопасность считки и карты― Безопасность передачи данных между считкой и мобильным
приложением― Безопасность мобильного приложения и смартфона― Безопасность передачи данных между мобильным терминалом и
сервером― Безопасность сервера― Безопасность размещения в Банке
![Page 21: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/21.jpg)
Безопасность считки и карты― Защищенное криптографическое устройство (Secure cryptographic
device (ISO 13491))― Обработка критических данных – внутри устройства― Все операции со считкой – через аппаратное (firmware) API
Вопросы безопасности
![Page 22: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/22.jpg)
Безопасность считки и карты – считки для карт на основе магнитной полосы
― Магнитная полоса – только в шифрованном виде― Управление ключами – DUKPT или DES/TDES― Внесение/изменение ключей – в защищенной среде― Энергозависимые/энергонезависимые― Проблема: поддержка различных смартфонов (Android)
Вопросы безопасности
![Page 23: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/23.jpg)
Безопасность считки и карты – считки для микропроцессорных карт (беспиновые)
― Цикл EMV-транзакции― Управление ключами – PKI (RSA) и TDES― Внесение/изменение ключей – в защищенной среде― Важна сертификация EMV Level 1
Вопросы безопасности
![Page 24: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/24.jpg)
Безопасность считки и карты – считки для микропроцессорных карт (с поддержкой ПИН-кодов) (мобильные ПИНпады)
― Полная поддержка EMV-транзакций― Управление ключами – PKI (RSA) и TDES; мощный криптопроцессор― Интерфейсы – USB, Bluetooth― Внутреннее приложение (Firmware) – сертификации: EMV Level2, PA-
DSS
Вопросы безопасности
![Page 25: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/25.jpg)
Мобильные ПИНпады
Вопросы безопасности
![Page 26: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/26.jpg)
Безопасность передачи данных между считкой и мобильным приложением
― Зависимость от разъема: ― Аудио не требует специальной защиты― USB, Bluetooth - рекомендуется шифрование канала
Вопросы безопасности
![Page 27: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/27.jpg)
Безопасность мобильного приложения и смартфона― Проблема jailbreak’ов― Проблема распространения приложений через магазины (Google
Play, Apple App Store)― Сохранение данных во внутреннюю память телефона (домен
безопасности приложения) под шифрованием― Организационные меры защиты
Вопросы безопасности
![Page 28: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/28.jpg)
Безопасность передачи данных между мобильным терминалом и сервером
― Передача данных – всегда через публичные сети (Интернет)― Шифрование канала по SSL― Рекомендуется использование клиентских сертификатов (помимо
серверного)― Возможно дополнительное шифрование данных ключом приложения
Вопросы безопасности
![Page 29: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/29.jpg)
Безопасность сервера― Выполнять требования PCI DSS― Использовать аппаратные модули безопасности (HSM) для генерации
и хранения ключей и выполнения криптографических процедур в ходе онлайновых транзакций
― Общие требования политики безопасности (сменяемость паролей, разграничение прав администраторов, и т.д.)
Вопросы безопасности
![Page 30: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/30.jpg)
Безопасность размещения в Банке― Тщательная защита точки входа (DMZ)― Анализ защищенности канала при SSL-терминации― Обеспечение безопасности выхода в Интернет (получение
геолокационных данных)― Обеспечение безопасности соединения с терминальным хостом― Общие правила организационной безопасности
Вопросы безопасности
![Page 31: ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS](https://reader033.vdocuments.pub/reader033/viewer/2022052604/568149bb550346895db6f0dc/html5/thumbnails/31.jpg)
Вопросы ?Спасибо за внимание!
Ермаков Александр Иванович Технический директор, ООО «Центр корпоративных технологий»
[email protected], [email protected]://www.m4bank.ru
апрель 2013 года