Всесторонние аспекты защиты Mobile point of sale

27 февраля 2014

ЗАО «Смартфин» проект 2can Всесторонние аспекты защиты

Константин Ян

mPos – мобильный

эквайринг

POS терминал

mPOS терминал

• Чтение данных карты

• Интерфейс пользователя

• Коммуникации Wi-Fi / GPRS / 3G / 4G

• Взаимодействие с хостом банка

• Взаимодействие с прочим софтом

(биллинг и пр.)

• Проверка держателя (CVM)

• Защита от сбоев

• Печать чека (терминального)

История mPos

2010-2011

2012-2013

История mPos

2013-2014 2015-…

Среда обитания

• Один производитель

• Ограниченное количество

устройств (iPhone/iPod/iPad)

• Закрытая система

• Без возможности прямой

загрузки контента

• Приложения проходят

цензуру перед публикацией

в App Store

• Множество производителей

• Неограниченное количество

устройств

• Открытая система

• С возможностью прямой

загрузки контента

• Приложения не проходят

цензуру перед публикацией

в Google Play

Среда обитания

• JailBreak

• Непредсказуемая среда

• 310 уязвимостей в базе CVE

Details

• Нет возможности

безопасного хранения

данных

• Root

• Disassemble приложений

• Фишинг

• Непредсказуемая среда

• 30 уязвимостей в базе CVE

Details

• Нет возможности

безопасного хранения

данных

Угрозы

mPOS терминал

• Нарушение целостности

• Нарушение доступности

• Нарушение конфиденциальности

Принципы безопасности

mPOS терминал

• Сквозное шифрование

• Привязка приложения к телефону

• Аутентификация приложения

• Принцип тонкого клиента – proxy

Потоки данных

Принципы безопасности

Key Injection Facility

• Раздельное знание и двойной

контроль

• Охраняемое помещение, пропускная

система, видеоконтроль

• Изолированная среда

• Уникальный ключ на каждый ридер

• Tamper evidence

• Без возможности чтения

Сертификация

mPOS терминал

• EMV Level 1 – если есть поддержка чиповых карт

• EMV Level 2 – аналогично

• PA DSS – если есть manual key entry

• PCI PTS – если есть пин-клавиатура

• PCI DSS – безусловно

• Visa Ready – рекомендовано

• OpenWay, Compass+ и др. – по требованию

PCI DSS

• Level 1

• Дата центр – ДатаЛайн

• Аудитор – Дейтерий

• Бизнес-процесс не требует извлечения карт в

открытом виде

• DEK → KEK → MK

• Best practice: Cisco, OSSEC, Splunk, KAV и др.

Выводы

• mPOS – это безопасно

(если это 2can)

Перспектива

• NFC

• QR коды (да, они)

• Телефон вместо карты

ЗАО «Смартфин»

+7 (495) 792-39-16

Москва, ул. Карьер 2А, к. 1

Вопросы?