Pagamentos & Segurança 4ward
Disclaimer INFORMAÇÕES DE MARCAS REGISTRADAS: Todas as marcas registradas, nomes de marcas, ou logos mencionados ou usados são propriedade de seus respectivos donos. Todos os esforços foram feitos para adequadamente identificar e atribuir as marcas registradas e marcas comerciais aos seus respectivos proprietários, incluindo o uso de e onde possível e prático; ISENÇÃO DE ENDOSSO: A referência a qualquer específico produto comercial, processo ou serviço por seu nome comercial, marca registrada ou de qualquer outra forma [incluindo links a outros sites] não constitui necessariamente ou implica no endosso, recomendação, ou favorecimento da 4ward, suas afiliadas, ou de seus agentes, agências ou associados. Da mesma forma, a referência a qualquer específico produto comercial, processo, serviço ou indivíduo pelo nome, nome comercial, marca registrada, fabricante ou outro não necessariamente constitui ou implica seu endosso, recomendação ou favorecimento a qualquer informação provida neste documento.
Os 15 maiores vazamentos de dados da década Edward Snowden Wikileaks 1. Heartland 2. TJ Max 3. AOL 4. Playstation 5. Exército dos EUA 6. Target 7. Living Social 8. Evernote 9. CardSystem Solutions Inc 10. Adobe 11. Steam 12. RockYou 13. Tianya 14. Department of Veterans Affairs 15. Kick Starter 130 milhões de usuários / Multa 110 milhões 94 milhões de usuários 92 milhões de usuários 77 milhões de Usuários 76 milhões de Usuários 70 milhões de Usuários 50 milhões de Usuários 50 milhões de Usuários 40 milhões de Usuários 38 milhões de Usuários 35 milhões de Usuários 32 milhões de Usuários 28 milhões de Usuários 26,5 Milhões / Multa 20 milhões USD 6 Milhões de usuários Fonte: Revista Exame
Número do Mercado de Cartões 2015 TRANSAÇÕES 11.4 Milhões FATURAMENTO R$ 1.064 Trilhão Fonte: Abecs (Associação Brasileira de Cartões de Crédito e Serviços)
Conceitos - Meios de Pagamento Cartão Presente vs. Cartão Não Presente
Mercado de Cartões Participantes
Fluxo da Autorização
Fluxo Transacional Cartão Presente Emissor 1 2 3 Autenticação Autorização Liquidação Chip / Senha / 3D Secure / Token Crédito & Risco Fatura & Pagamento 8
Players do Mercado Soluções de Captura Utilizadas TEF Gateway Payment Facilitator TEF é uma solução que permite a o envio de mensagens seguras de autorizações de cartões da automação comercial da Loja para as redes dos adquirentes. O TEF foi customizado e também é utilizado para envio de transações através do e- commerce e Mobile (Chip & PIN). Gateways: é uma solução que permite a o envio de mensagens seguras de autorizações de cartões das plataformas de E- commerce para as redes dos adquirentes. Payment Facilitators: gera valor agregado simplificando a integração e o gerenciamento do meio de pagamento no mundo físico e virtual. Além disso, suporta outros serviços como por exemplo a gestão de fraude e gestão da agenda financeira da loja. 9
Meios de Pagamento Soluções de Captura Boas Práticas de Segurança: 1 - Pin Pad 2 - Tamper 3 - Assinatura da mensagem 4 - Chaves dinâmicas 5 - Canal Seguro
Meios de Pagamento Evolução do Mundo Físico
Meios de Pagamento Evolução do Mundo Virtual
Formas de Autenticação Exemplos Tabela de Senhas Perguntas randômicas Análise Transacional Token SMS Token Aplicativo Token Físico Registro do Equipamento PAM Personal Assurance Message Teclado Virtual Plugins OTP One Time Passoword Diversas formas de Autenticação devem ser combinadas para um processo mais eficiente para os portadores de cartões.
Segurança nas Transações
Chaves de Criptografia & HSM (Hardware Security Module) Chaves sa o dados gerados por determinados programas para garantir a autenticidade e a confiabilidade de um usua rio e ou sistema. As caracteri sticas de autenticidade e confiabilidade sa o asseguradas por algoritmos sime tricos ou assime tricos de criptografia. É um componente físico conectado aos servidor que qrmazena e gerencia chaves de criptografia Realiza processamentos criptográficos e visa manter um alto nível de segurança. Tamper: O HSM possui controles contra invasão física e lógica que podem apagar os dados caso seja detectado alguma tentativa de violação.
PCI DSS Payment Card Industry Data Security Standard PCI Payment Cards Industry: Padrão de Segurança de Dados da Indústria de Cartões (PCI DSS) é um modelo proprietário segurança da informação para organizações que lidam com a marca de cartões de crédito dos principais sistemas de cartões, incluindo Visa, MasterCard, American Express, Discover e JCB. Fonte: PCI
Requisitos do PCI 1. Construir e Manter uma rede Segura ( Firewall, Uso de Senhas, etc.) 2. Proteger dados do Portador do Cartão de Crédito (criptografia das informações) 3. Manter um programa de gerenciamento de vulnerabilidades (Patch de Softwares, Antivírus, Testes de Aplicações, testes de vulnerabilidades) 4. Implementar medidas de controle de acesso rigorosas (Hierarquia de Acessos, Controle de senhas, logs de auditoria). 5. Monitorar e Testar as redes regularmente (Monitorar todos os acessos a recursos da rede) 6. Manter uma política de segurança de informação eficiente.
Smart Card - Arquitetura Anatomia de um cartão com Chip Microcircuito Chaves de Segurança Dados do Portador Software Marca Holograma Bandeira Corpo do Cartão Personalização Embossing,
Smart Card - Geração do Cartão com Chip MDK - Master Derivation Key ENC MAC AC Dados do Cartão HSM AC MAC ENC UDK - Unique Derivation key
Smart Card - Comparação Arquitetura de um cartão com Chip Tarja Magnética Chip Dígito Verificador do Cartão CVV Card Verification Value PIN Personal Identification Number Sistema Antifraude do Emissor / Bandeira Dígito Verificador do Cartão CVV Card Verification Value PIN Personal Identification Number Sistema Antifraude do Emissor / Bandeira ARQC - Token do Chip para validação do cartão ARPC - Token do Banco para validação do Emissor ATC Contador Interno do Chip
E-commerce Desafios Risco Com a implementação do Chip a fraude Migrou para transações no Exterior e para a Internet. Os Varejistas investem em soluções para analisar a transação no momento da compra no e-commerce S K A seguir o fluxo utilizado para as lojas avaliarem as transações
E-commerce Desafios Risco 1.Clonagem 2.Perda 3.Roubo 4.Extravio 5.Fraude Interna 6.Estelionato 7.Uso Indevido 8.Invasão de Conta 9. Auto Fraude
E-commerce Formas de combate a Fraude Ferramentas dos cartões Geolocalização Dados do Mercado Análise de Risco Dados de Entrega Risk Tool Emissor Tipo de Produto Dados do Computador
Fluxo Transacional E-commerce E-commerce Checkout Adquirente Bandeira Emissor Gateway Antifraude Captura da transação Liquidação Antecipação Fraude e Chargeback
Casos Práticos de Falhas de Segurança Casos 1. Ausência de Uso do SSL 2. Rede Interna Aberta 1. Ausência de Log de Auditoria e Controle 2. Fraude Interna 3. Falta de Conhecimento da Informação
Obrigado! Leandro Lucas Tel.: +55 (11) 3846-0051 llucas@4ward.com.br www.4ward.com.br