Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l’Italia, JTC1/SC27 ISO/IEC
ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma CISA, CISM, LA27001, ITILv3, ISFS, PCI-QSA
Partner
La sicurezza dei pagamenti via Internet - Fabio Guasconi
2
Dati dei pagamenti via internet
Fonte - Verizon Data Breach Report 2012
La sicurezza dei pagamenti via Internet - Fabio Guasconi
3
Dossier European Central Bank Titolo Autore
• Raccomandazioni per la sicurezza dei pagamenti su internet
• European Forum on the Security of Retail Payments
Destinatari
• Payment Service Provider (PSP) per i servizi di pagamento su internet
Esclusioni
• clearing e settlement per carte di pagamento, pagamenti con carte non personali, trasferimenti di e-money
Obiettivo Impostazione Stato
• ridurre le frodi e aumentare la fiducia dei consumatori armonizzando le misure di sicurezza nell’area EU • "comply or explain"
• in public consultation fino al 20 Giugno
La sicurezza dei pagamenti via Internet - Fabio Guasconi
4
ECB - Struttura del documento General Control & Security Environment
Specific Controls & Security Measures for Internet Payments • Recommendation 6: Initial customer identification, information • Recommendation 7: Strong customer authentication • Recommendation 8: Enrollment for and provision of strong authentication tools • Recommendation 9: Log-in attempts, session time-out, validity of authentication • Recommendation 10: Transaction monitoring and authorization • Recommendation 11: Protection of sensitive payment data
Customer Awareness, Education & Communication • Recommendation 12: Customer education and communication • Recommendation 13: Notifications, setting of limits • Recommendation 14: Verification of payment execution by the customer
La sicurezza dei pagamenti via Internet - Fabio Guasconi
5
Key Consideration (KC) + Best Practice (BP)
• Recommendation 1: Governance • Recommendation 2: Risk identification and assessment • Recommendation 3: Monitoring and reporting • Recommendation 4: Risk control and mitigation • Recommendation 5: Traceability
ECB - 1° raccomandazione Governance Payment services security policy documentata (in modo dedicato) aggiornata costantemente approvata dal management Ruoli e responsabilità definiti, inclusivi di una funzione di RM separata e della gestione dei dati sensibili
La sicurezza dei pagamenti via Internet - Fabio Guasconi
6
ECB - 2° raccomandazione Risk identification and assessment Attività dettagliata di identificazione dei rischi e delle vulnerabilità dei servizi di pagamento tramite la funzione di RM, comprensiva delle soluzioni tecnologiche e delle credenziali lato PSP e Cliente, per: 1. definire le misure di mitigazione del rischio 2. collegato a una revisione degli scenari a valle di ogni incidente o prima di ogni cambiamento significativo e comunque almeno annualmente
La sicurezza dei pagamenti via Internet - Fabio Guasconi
7
ECB - 3° raccomandazione Monitoring and reporting Processo centralizzato per il controllo, la gestione e l’indagine su incidenti e reclami ad essi collegati, che preveda una notifica alle autorità competenti e adeguati protocolli di collaborazione.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
8
ECB - 4° raccomandazione Risk control and mitigation Difesa in profondità tramite: segregation of duties nell’IT assegnazione di privilegi minimi a utenti e applicazioni adozione di misure tecniche di protezione delle reti (firewall, proxy) certificati estesi per la validazione dei siti web controllo degli accessi produzione di audit trails verifica delle misure di sicurezza prima che entrino in produzione audit periodici effettuati da terze parti fidate e indipendenti ribaltamento ai fornitori e agli e-merchants gestiti delle raccomandazioni della ECB
La sicurezza dei pagamenti via Internet - Fabio Guasconi
9
ECB - 5° raccomandazione Traceability Logging dettagliato delle transazioni in termini di data, ora, numero sequenziale, cambi di parametri e accesso ai dati, con un sistema di tracciatura delle modifiche effettuate
La sicurezza dei pagamenti via Internet - Fabio Guasconi
10
ECB - 6° raccomandazione Initial customer identification, information
I Clienti sono identificati prima di utilizzare servizi di pagamento e sono forniti di adeguate informazioni sul loro corretto impiego riguardo agli strumenti, prassi, linee guida e procedure in casi di sospetto incidente, oltre ai corretti disclaimer puntuali e periodici in termini di responsabilità d’uso dei servizi stessi.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
11
ECB - 7° raccomandazione Strong customer authentication Autenticazione forte richiesta per iniziare transazioni di credito, tramite borselli elettronici, per la generazione di carte virtuali, per modificare dati sensibili o per le transazioni di carta (gli Issuer devono fornire funzionalità come il 3D-Secure e subire per questo un liability shift dagli e-merchant). Richiesta di uso di autenticazione forte estesa verso gli e-merchant.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
12
ECB - 8° raccomandazione Enrollment for & provision of strong authentication tools La registrazione per l’uso dell’autenticazione forte è effettuata in ambito sicuro così come la consegna degli strumenti ad essa connessi (sia fisica sia elettronica). Gli Issuer incoraggiano la registrazione degli utenti a strumenti di autenticazione forte.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
13
ECB - 9° raccomandazione Log-in attempts, session time-out, validity of authentication
Validità delle sessioni limitata: nel tempo per le OTP a un numero massimo di tentativi di autenticazione falliti prima di bloccare l’account bloccando le sessioni inattive oltre un periodo definito
La sicurezza dei pagamenti via Internet - Fabio Guasconi
14
ECB - 10° raccomandazione Transaction monitoring and authorization Sistemi in tempo reale per l’individuazione e la prevenzione di frodi. Definizione della categoria di e-merchant e comunicazione all’utente.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
15
ECB - 11° raccomandazione Protection of sensitive payment data Protezione della comunicazione e della memorizzazione di dati sensibili di pagamento, anche attraverso l’uso di canali di comunicazione end-to-end crittografati. Incentivazione della non memorizzazione dei dati delle carte di pagamento da parte degli e-merchants e verifica della presenza di adeguate misure di sicurezza in caso contrario.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
16
ECB - 12° raccomandazione Customer education and communication Creazione di almeno un canale di comunicazione sicuro con i Clienti per il corretto uso dei servizi, ivi incluse: le segnalazioni di attività sospette da entrambi i lati le modifiche alle misure di sicurezza messe in atto avvisi in merito a rischi particolari L’assistenza ai Clienti è fornita attraverso un canale identificato e questi sono resi consapevoli delle modalità di protezione delle credenziali, degli strumenti e dei rischi per la sicurezza
La sicurezza dei pagamenti via Internet - Fabio Guasconi
17
ECB - 13° raccomandazione Notifications, setting of limits
Sono impostati limiti di spesa e modalità per disabilitare i servizi a livello contrattuale, eventualmente impostabili sugli strumenti e collegabili a servizi di alerting anche su base comportamentale.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
18
ECB - 14° raccomandazione Verification of payment execution by the customer Possibilità per i Clienti di verificare transazioni e account in modo sicuro e continuativo nel tempo senza inviare dati sensibili di pagamento.
La sicurezza dei pagamenti via Internet - Fabio Guasconi
19
Concerns ? Risk assessment dettagliato effettuato dalla funzione di RM, non da
funzione tecnica (KC 2.1) ? Risk identification e vulnerability assessments non definiti (KC 2.1) ? Parti solo «trusted» e «indipendenti», non competenti (KC 4.5) ? Modifiche ai log solo «tracciate», non inibite (KC 5.2) ? Autenticazione debole accettata per liste di beneficiari create dagli
utenti (KC 7.1) ? La validità della OTP deve essere limitata a «qualche minuto» (KC 9.1)
La sicurezza dei pagamenti via Internet - Fabio Guasconi
20
ECB vs PCI-DSS Sono oggetti tra loro complementari Si applicano a soggetti vicini ma distinti, con l’eccezione che diversi PSP dovranno implementarli entrambi
il documento ECB richiama lo schema PCI-DSS e verrà usato in congiunzione ad esso (11 Recommendation) PCI-DSS scende molto più nel dettaglio delle misure di sicurezza
La sicurezza dei pagamenti via Internet - Fabio Guasconi
21
ECB vs PCI-DSS PCI-DSS racchiude quasi tutti i requisiti di ECB (tranne quelli più orientati al Cliente e specifici), ECB non tratta requisiti tecnici ECB
PCI-DSS
• • • • • • • • • • • • • •
• • • • • • • • • • • •
Recommendation 1 Recommendation 2 Recommendation 3 Recommendation 4 Recommendation 5 Recommendation 6 Recommendation 7 Recommendation 8 Recommendation 9 Recommendation 10 Recommendation 11 Recommendation 12 Recommendation 13 Recommendation 14
Requirement 1 Requirement 2 Requirement 3 Requirement 4 Requirement 5 Requirement 6 Requirement 7 Requirement 8 Requirement 9 Requirement 10 Requirement 11 Requirement 12
La sicurezza dei pagamenti via Internet - Fabio Guasconi
22
ECB vs PSD Rispetto alla parte di sicurezza (§ 3) del provvedimento di attuazione del titolo II del d.lgs 11/2010, può essere effettuata una ulteriore mappatura che comunque risulta non completa soprattutto per temi di governance e misure tecniche dell’ambiente. Una buona parte delle misure indicate da ECB sono però soddisfatte solo dagli strumenti di più elevata qualità sotto il profilo della sicurezza (annex).
ECB • Recommendation 1 • Recommendation 2 • Recommendation 3 • Recommendation 4 • Recommendation 5 • Recommendation 6 • Recommendation 7 • Recommendation 8 • Recommendation 9 • Recommendation 10 • Recommendation 11 • Recommendation 12 • Recommendation 13 • Recommendation 14
La sicurezza dei pagamenti via Internet - Fabio Guasconi
23
Riferimenti
www.ecb.int/press/pr/date/2012/html/pr120420.en.html www.pcisecuritystandards.org www.bancaditalia.it/sispaga/sms/normativa/sispag/bi/attuazione-dlg11-270110
[email protected]
La sicurezza dei pagamenti via Internet - Fabio Guasconi
24
