Embed Size (px)
Citation preview
Pagamentos & Segurança4ward
4ward public
Disclaimer
INFORMAÇÕES DE MARCAS REGISTRADAS: Todas as marcas registradas, nomes de marcas, oulogos mencionados ou usados são propriedade de seus respectivos donos. Todos os esforçosforam feitos para adequadamente identificar e atribuir as marcas registradas e marcas comerciaisaos seus respectivos proprietários, incluindo o uso de ® e ™ onde possível e prático;
ISENÇÃO DE ENDOSSO: A referência a qualquer específico produto comercial, processo ou serviçopor seu nome comercial, marca registrada ou de qualquer outra forma [incluindo links a outrossites] não constitui necessariamente ou implica no endosso, recomendação, ou favorecimento da4ward, suas afiliadas, ou de seus agentes, agências ou associados. Da mesma forma, a referênciaa qualquer específico produto comercial, processo, serviço ou indivíduo pelo nome, nomecomercial, marca registrada, fabricante ou outro não necessariamente constitui ou implica seuendosso, recomendação ou favorecimento a qualquer informação provida neste documento.
4ward public
Os 15 maiores vazamentos de dados da década
• Edward Snowden
• Wikileaks
1. Heartland
2. TJ Max
3. AOL
4. Playstation
5. Exército dos EUA
6. Target
7. Living Social
8. Evernote
9. CardSystem Solutions Inc
10. Adobe
11. Steam
12. RockYou
13. Tianya
14. Department of Veterans Affairs
15. Kick Starter
130 milhões de usuários / Multa 110 milhões
94 milhões de usuários
92 milhões de usuários
77 milhões de Usuários
76 milhões de Usuários
70 milhões de Usuários
50 milhões de Usuários
50 milhões de Usuários
40 milhões de Usuários
38 milhões de Usuários
35 milhões de Usuários
32 milhões de Usuários
28 milhões de Usuários
26,5 Milhões / Multa 20 milhões USD
6 Milhões de usuários
Fonte: Revista Exame
4ward public
Número do Mercado de Cartões 2015
Fonte: Abecs (Associação Brasileira de Cartões de Crédito e Serviços)
TRANSAÇÕES
11.4 Milhões
FATURAMENTO
R$ 1.064 Trilhão
4ward public
Conceitos - Meios de PagamentoCartão Presente vs. Cartão Não Presente
4ward public
Mercado de CartõesParticipantes
4ward public
Fluxo da Autorização
4ward public 8
Autenticação Autorização Liquidação
1 2 3
Chip /
Senha / 3D
Secure / Token
Fatura
&
Pagamento
Fluxo Transacional – Cartão Presente
Crédito
&
Risco
Emissor
Players do MercadoSoluções de Captura Utilizadas
9
TEF Gateway Payment Facilitator
TEF é uma solução que permite a o envio de mensagens seguras de
autorizações de cartões da automação comercial da Loja
para as redes dos adquirentes.
O TEF foi customizado e também é utilizado para envio de transações através do e-
commerce e Mobile (Chip & PIN).
Gateways: é uma solução que permite a o envio de mensagens
seguras de autorizações de cartões das plataformas de E-commerce para as redes dos
adquirentes.
Payment Facilitators: gera valor agregado simplificando a
integração e o gerenciamento do meio de pagamento no mundo
físico e virtual.
Além disso, suporta outros serviços como por exemplo a gestão de fraude e gestão da
agenda financeira da loja.
4ward public
Meios de PagamentoSoluções de Captura
Boas Práticas de Segurança:
1 - Pin Pad2 - Tamper3 - Assinatura da mensagem4 - Chaves dinâmicas5 - Canal Seguro
4ward public
Meios de PagamentoEvolução do Mundo Físico
4ward public
Meios de PagamentoEvolução do Mundo Virtual
4ward public
Formas de AutenticaçãoExemplos
Tabela de Senhas
Token Físico
Token SMS
Token Aplicativo
Registro do Equipamento
Perguntasrandômicas
Análise Transacional
Diversas formas de Autenticação devem ser combinadas para um processo mais eficiente para os portadores de cartões.
PAM Personal
Assurance Message
Teclado Virtual
Plugins
OTPOne Time
Passoword
4ward public
Segurança nas Transações
4ward public
Chaves sao dados gerados pordeterminados programas para garantir aautenticidade e a confiabilidade de umusuario e ou sistema.
As caracteristicas de autenticidade econfiabilidade sao asseguradas poralgoritmos simetricos ou assimetricos decriptografia.
Chaves de Criptografia & HSM (Hardware Security Module)
É um componente físico conectado aosservidor que qrmazena e gerencia chavesde criptografia
Realiza processamentos criptográficos evisa manter um alto nível de segurança.
Tamper: O HSM possui controles contrainvasão física e lógica que podem apagaros dados caso seja detectado algumatentativa de violação.
4ward public
PCI – Payment Cards Industry: Padrão de Segurança de Dados da Indústria deCartões (PCI DSS) é um modelo proprietário segurança da informação paraorganizações que lidam com a marca de cartões de crédito dos principaissistemas de cartões, incluindo Visa, MasterCard, American Express, Discover eJCB.
PCI DSS – Payment Card Industry Data Security Standard
Fonte: PCI
4ward public
1. Construir e Manter uma rede Segura ( Firewall, Uso de Senhas, etc.)
2. Proteger dados do Portador do Cartão de Crédito (criptografia das informações)
3. Manter um programa de gerenciamento de vulnerabilidades (Patch de Softwares,Antivírus, Testes de Aplicações, testes de vulnerabilidades)
4. Implementar medidas de controle de acesso rigorosas (Hierarquia de Acessos, Controlede senhas, logs de auditoria).
5. Monitorar e Testar as redes regularmente (Monitorar todos os acessos a recursos darede)
6. Manter uma política de segurança de informação eficiente.
Requisitos do PCI
4ward public
Smart Card - ArquiteturaAnatomia de um cartão com Chip
Software
MicrocircuitoChaves de Segurança
Dados do Portador
Corpo do Cartão PersonalizaçãoEmbossing,
MarcaHolograma
Bandeira
4ward public
MAC ACENC
HSM
MDK - Master Derivation Key
Smart Card - Geração do Cartão com Chip
MAC
AC
ENC
UDK - Unique Derivation key
Dados do Cartão
4ward public
Smart Card - ComparaçãoArquitetura de um cartão com Chip
ChipTarja Magnética
Dígito Verificador do CartãoCVV – Card Verification ValuePIN – Personal Identification NumberSistema Antifraude do Emissor / Bandeira
Dígito Verificador do CartãoCVV – Card Verification ValuePIN – Personal Identification NumberSistema Antifraude do Emissor / BandeiraARQC - Token do Chip para validação do cartãoARPC - Token do Banco para validação do EmissorATC – Contador Interno do Chip
4ward public
E-commerceDesafios – Risco
KS
• Com a implementação do Chip a fraude Migrou paratransações no Exterior e para a Internet.
• Os Varejistas investem em soluções para analisar atransação no momento da compra no e-commerce
• A seguir o fluxo utilizado para as lojas avaliarem astransações
4ward public
E-commerceDesafios – Risco
1.Clonagem 2.Perda 3.Roubo
4.Extravio 5.Fraude Interna 6.Estelionato
7.Uso Indevido8.Invasão de
Conta9. Auto Fraude
4ward public
E-commerceFormas de combate a Fraude
Ferramentas dos cartões
Geolocalização Dados do Mercado
Dados de Entrega Tipo de ProdutoDados do
Computador
Análise de Risco
Risk ToolEmissor
4ward public
Fluxo TransacionalE-commerce
E-commerce Checkout Adquirente Bandeira EmissorGateway
Captura da transação
Antifraude Liquidação Fraude e Chargeback
Antecipação
4ward public
1. Ausência de Uso do SSL
2. Rede Interna Aberta
1. Ausência de Log de Auditoria e Controle
2. Fraude Interna
3. Falta de Conhecimento da Informação
Casos Práticos de Falhas de Segurança Casos
4ward public
