ВОПРОСЫ БЕЗОПАСНОСТИ МОБИЛЬНОГО ЭКВАЙРИНГА M4Bank.MPOS апрель 2013 г. О компании ООО «Центр корпоративных технологий» ― ― ― ― Основана в начале 2011 года. Специализация: разработка и поставка мобильных корпоративных решений. Цель Компании – делать качественные инновационные продукты. Штат Компании около 20 человек. Штаб квартира в Москве. Офис разработки в Витебске. ― Начало разработки mPOS – июнь 2012 года. ― Декабрь 2012 – запуск первого проекта In-house в России с МКБ. ― В процессе регистрации в программах VISA Ready и MasterCard Mobile POS Program. Что такое мобильный эквайринг? ― Эквайринг: Процесс приема и обработки банком-эквайрером платежной информации с банковских карт для оплаты товаров и услуг. Осуществляется путем установки на торгово-сервисное предприятие (ТСП) специального оборудования - POS-терминала. ― Мобильный эквайринг: Эквайринг, при котором в качестве POS-терминала используется мобильный терминал - смартфон и подключенный к нему считыватель карт (кард-ридер). Что такое мобильный эквайринг? Достоинства мобильного эквайринга ― Дешевизна решений ― Мобильность решений ― Гибкость (простота доработок) решений Проблемы мобильного эквайринга ― Критическая важность обеспечения безопасности ― Организационная нечеткость схем Мобильный терминал Архитектура решения M4POS от ООО ЦКТ Bank HTTP://www.yandex.ru M4Bank.MPOS WEB-Admin Https://Server_IP:Port HSM MPOS System Admin M4Bank.MPOS SERVER Card Processing Terminal Host Card processing Terminal Host IP:Port Yandex.ru Https://Server_IP:Port SMTP Server IP_adress SMTP-Server Https://Server_IP:Port HSM Key Loading Device Security officer Https://Server_IP:Port CCT M4Bank.MPOS_Client Android/IPhone Merchant Salesman M4Bank.MPOS Merchant WEB-Cabinet Merchant Admin Основные производственные операции Мобильный терминал ― Регистрация мобильного терминала ― Оплата товара/услуги ― Отмена оплаты ― Возврат товара/услуги ― Закрытие операционного дня (сверка; балансировка терминала) ― ― Реестр текущих операций Сервисные процедуры (смена пароля, связь с банком, справка) и т.д.) Оплата товара/услуги Оплата товара/услуги Оплата товара/услуги Оплата товара/услуги Оплата товара/услуги Оплата товара/услуги Оплата товара/услуги Оплата товара/услуги Основные производственные операции Административное приложение Системы ― Заведение пользователей ― Формирование/редактирование объектов (фирмы, банковские терминалы, считки) ― Настройка параметров (в т.ч. лимитов операций) ― Формирование/просмотр/сохранение/печать отчетов Основные производственные операции Основные производственные операции Административное приложение Фирмы (ТСП) ― Заведение операторов ― Настройка собственных объектов (банковские терминалы, считки, лимиты (частично)) ― Формирование/просмотр/сохранение/печать отчетов по фирме Основные производственные операции Вопросы безопасности Обеспечение безопасности мобильного эквайринга ― Безопасность считки и карты ― Безопасность передачи данных между считкой и мобильным приложением ― Безопасность мобильного приложения и смартфона ― Безопасность передачи данных между мобильным терминалом и сервером ― Безопасность сервера ― Безопасность размещения в Банке Вопросы безопасности Безопасность считки и карты ― Защищенное криптографическое устройство (Secure cryptographic device (ISO 13491)) ― Обработка критических данных – внутри устройства ― Все операции со считкой – через аппаратное (firmware) API Вопросы безопасности Безопасность считки и карты – считки для карт на основе магнитной полосы ― Магнитная полоса – только в шифрованном виде ― Управление ключами – DUKPT или DES/TDES ― Внесение/изменение ключей – в защищенной среде ― Энергозависимые/энергонезависимые ― Проблема: поддержка различных смартфонов (Android) Вопросы безопасности Безопасность считки и карты – считки для микропроцессорных карт (беспиновые) ― Цикл EMV-транзакции ― Управление ключами – PKI (RSA) и TDES ― Внесение/изменение ключей – в защищенной среде ― Важна сертификация EMV Level 1 Вопросы безопасности Безопасность считки и карты – считки для микропроцессорных карт (с поддержкой ПИН-кодов) (мобильные ПИНпады) ― Полная поддержка EMV-транзакций ― Управление ключами – PKI (RSA) и TDES; мощный криптопроцессор ― Интерфейсы – USB, Bluetooth ― Внутреннее приложение (Firmware) – сертификации: EMV Level2, PA-DSS Вопросы безопасности Мобильные ПИНпады Вопросы безопасности Безопасность передачи данных между считкой и мобильным приложением ― Зависимость от разъема: ― Аудио не требует специальной защиты ― USB, Bluetooth - рекомендуется шифрование канала Вопросы безопасности Безопасность мобильного приложения и смартфона ― Проблема jailbreak’ов ― Проблема распространения приложений через магазины (Google Play, Apple App Store) ― Сохранение данных во внутреннюю память телефона (домен безопасности приложения) под шифрованием ― Организационные меры защиты Вопросы безопасности Безопасность передачи данных между мобильным терминалом и сервером ― Передача данных – всегда через публичные сети (Интернет) ― Шифрование канала по SSL ― Рекомендуется использование клиентских сертификатов (помимо серверного) ― Возможно дополнительное шифрование данных ключом приложения Вопросы безопасности Безопасность сервера ― Выполнять требования PCI DSS ― Использовать аппаратные модули безопасности (HSM) для генерации и хранения ключей и выполнения криптографических процедур в ходе онлайновых транзакций ― Общие требования политики безопасности (сменяемость паролей, разграничение прав администраторов, и т.д.) Вопросы безопасности Безопасность размещения в Банке ― Тщательная защита точки входа (DMZ) ― Анализ защищенности канала при SSL-терминации ― Обеспечение безопасности выхода в Интернет (получение геолокационных данных) ― Обеспечение безопасности соединения с терминальным хостом ― Общие правила организационной безопасности Вопросы ? Спасибо за внимание! Ермаков Александр Иванович Технический директор, ООО «Центр корпоративных технологий» [email protected], [email protected] http://www.m4bank.ru апрель 2013 года