Bezpečnost plateb
Bezpečnost plateb
Případová studie (32 slidů, 29.7.2022) zabývající se bezpečností platebních karet, mobilních plateb a standardem PCI DSS. Součást kurzu ImorK.
Bezkontaktní karty — rizika
- Reset limitu — opakované drobné transakce pod limitem bez PIN
- Úniky z čínských e-shopů — kradené údaje karet zneužité pro nákupy
- Potřeba bezpečnostních opatření na straně uživatele i obchodníka
POS a mobilní platby
Technologie
| Technologie | Popis |
|---|---|
| NFC (Near Field Communication) | Bezkontaktní komunikace na krátkou vzdálenost (~10 cm) |
| HCE (Host Card Emulation) | Emulace karty v SW bez fyzického bezpečnostního prvku |
| TEE (Trusted Execution Environment) | Izolované bezpečné prostředí v procesoru |
| SE (Secure Element) | Fyzický bezpečnostní čip (SIM, embedded, microSD) |
| Tokenizace | Nahrazení citlivých dat jednorázovým tokenem |
Mobilní peněženky — porovnání bezpečnosti
| Peněženka | Bezpečnostní úroveň | Poznámka |
|---|---|---|
| Samsung Pay | High | MST + NFC, tokenizace, TEE/SE |
| Apple Pay | High | SE v zařízení, tokenizace, biometrie |
| Android Pay (Google Pay) | Medium-High | HCE, tokenizace, bez dedikovaného SE |
PCI DSS v4.0
Payment Card Industry Data Security Standard — standard pro ochranu dat platebních karet.
6 kroků k dosažení souladu
- Posouzení rozsahu (scope)
- Analýza mezer (gap analysis)
- Náprava zjištěných nedostatků
- Dokumentace politik a procedur
- Průběžné testování a monitoring
- Certifikace a reporting
12 požadavků PCI DSS (checklist)
| # | Požadavek |
|---|---|
| 1 | Instalace a údržba síťového firewallu |
| 2 | Nepoužívat výchozí hesla dodavatele |
| 3 | Ochrana uložených dat držitelů karet |
| 4 | Šifrování přenosu dat přes veřejné sítě |
| 5 | Ochrana proti malwaru, aktuální antivirus |
| 6 | Vývoj a údržba bezpečných systémů a aplikací |
| 7 | Omezení přístupu k datům na potřebné minimum |
| 8 | Identifikace a autentizace přístupu ke komponentám |
| 9 | Fyzická ochrana přístupu k datům držitelů karet |
| 10 | Sledování a monitorování přístupu k síťovým zdrojům |
| 11 | Pravidelné testování bezpečnostních systémů a procesů |
| 12 | Politika bezpečnosti informací pro zaměstnance |
Ekosystém PCI
| Standard | Účel |
|---|---|
| PCI PTS | Bezpečnost platebních terminálů (HW) |
| PA-DSS | Bezpečnost platebních aplikací (SW) |
| PCI DSS | Bezpečnost prostředí zpracování dat karet |
| PCI P2PE | Point-to-Point Encryption — šifrování celé cesty transakce |
5 typů podvodů s kartami
- Skimming — kopírování dat z magnetického proužku
- Phishing — podvodné získání údajů karet
- Card-not-present — podvody při online transakcích
- Counterfeit — výroba padělků karet
- Lost/stolen — zneužití ztracených/odcizených karet
EMV standard
- Europay, Mastercard, Visa — globální standard pro čipové karty
- Nahrazení magnetického proužku čipem
- Dynamická autentizace transakce
- Výrazné snížení podvodů typu counterfeit
Card Brand Mixup Attack (ETH Zurich)
- Výzkum ETH Zurich odhalil zranitelnost v protokolu Visa
- Útočník může obejít PIN verifikaci záměnou značky karty
- Terminál je podveden, aby věřil, že se jedná o kartu jiné značky s nižšími bezpečnostními požadavky
- Demonstrace na reálných terminálech
Darknet a platební podvody
- Prodej kradených platebních karet na darknetových tržištích
- Obchod s kompromitovanými PayPal účty
- Cenové rozpětí podle typu karty, limitu a země vydání
- Propojení s Tor sítí a anonymními platbami (kryptoměny)
Souvislosti
- Kybernetická bezpečnost — ochrana finančních transakcí
- Ochrana dat — GDPR a platební údaje
- ISMS — řízení bezpečnosti v platebních organizacích
- Krádež dat — zneužití platebních údajů
- Tor a Dark Web — nelegální obchod s kartami
- Finanční sektor — bezpečnost bankovních systémů