Soluciones Tecnológicas para La Banca Virtual Fabian Martins, M.Sc. Gerente de Desarrollo de Productos y Ethical Hacking

Documentos relacionados
Guía de doble autenticación

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

CONVERGIENDO SEGURIDAD DIGITAL CON FACILIDAD DE ACCESO

ESCUELA POLITECNICA DEL EJERCITO

Javier Bastarrica Lacalle Auditoria Informática.

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

BBVA emarkets Seguridad

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Servicios de Seguridad de la Información

Recomendaciones de Seguridad Red Social Twitter

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Seguridad de la información en SMart esolutions

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Clasificación y protección de la Información. Un caso práctico

Resumen Norma ISO

MANUAL DE CONFIGURACIÓN DEL CERTIFICADO DIGITAL CON EL CLIENTE DE CORREO LOTUS NOTES VERSIÓN 8.5

Información sobre seguridad

SOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO

Seguridad y prevención del fraude en

CONFIGURACIÓN PARA CORREO ELECTRÓNICO SEGURO CON MOZILLA

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Información sobre seguridad

Norma de uso Identificación y autentificación Ministerio del Interior N02

Privacidad. <Nombre> <Institución> < >

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

Manual de acceso a unileonweb

PLATAFORMA DE PAGO DE CURSOS ONLINE MARKETING DEPORTIVO MD

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Instalación software VPN. Versión 3-1 (Noviembre de 2013)

PRODUCTIVIDAD EN TUS MANOS

FIRMA ELECTRÓNICA EN EL MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL SITUACIÓN PRESENTE Y FUTUROS DESARROLLOS

Seguridad en la banca electrónica. <Nombre> <Institución> < >

Cuaderno de notas del OBSERVATORIO

SEMANA 12 SEGURIDAD EN UNA RED

Requisitos de control de proveedores externos

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

SISTEMAS IDEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS

HARDkey La mejor alternativa a esquemas de PKI /OTP para Validación de Accesos de Usuarios

USO DE TARJETAS RFID EN PROCESOS DE ENROLAMIENTO, CONTROL Y CONTINGENCIA EN ACTIVIDADES INDUSTRIALES.

Modelos de uso de las Soluciones para el acceso a Redes Privadas Virtuales (VPN)

El mercado de tarjetas de crédito viene utilizando un sistema anticuado para los

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

GLOSARIO DE TÉRMINOS

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

OBJETIVOS DE APRENDIZAJE

qué es comercio electrónico?

Contenido Derechos Reservados DIAN - Proyecto MUISCA

Contratación de la Banca Electrónica desde el Portal

Imagen: 1, Mensaje de cifrado

MANUAL DE CONFIGURACIÓN DEL CERTIFICADO DIGITAL EN OUTLOOK 2002

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

Uso de la Firma Electrónica. en la. Universidad de Granada

Kaspersky Fraud Prevention for Endpoints

Propuesta de Implementación del Sistema de Banca Móvil para: Banca Universal.

Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid

LA FORMA MÁS SEGURA DE CONECTARTE A TU EMPRESA

INTRANET M2M. Manual de Instalación y Configuración: Conector Intranet M2M

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.

Comprobada. Confiable.

Documento explicativo SPF (Sender Policy Framework).

Guía: Seguridad Informática. Contenido suministrado por

Documento Nacional de Identidad Electrónico

Tendencias del Fraude

INICIO QUIÉNES SOMOS REDES DE NEGOCIOS NOTICIAS PROVEEDORES PRENSA CONTACTO

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

BIENVENIDOS! SITEPRO S.A.

Beneficios estratégicos para su organización. Beneficios. Características V

El BYOD del Mañana: BYOD 2.0

Jorge García Delgado. 1.e.2 Uso del keylogger, Reveal Keylogger

Es la única Cuenta Vista que te permite enviar dinero de forma simple, rápida y segura a través de Facebook.

BLOQUEADORES POR ROBO DE IDENTIDAD EN CIRCULACIÓN

Manual de configuración de tu central 3CX con el servicio de Netelip

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM


CONFIGURACIÓN CERTIFICADO DIGITAL EN OUTLOOK 2010

SEGURIDAD Febrero 2015

Infraestructura Extendida de Seguridad IES

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

Amenazas en Internet: Reconócelas

Fundamentos de EXIN Cloud Computing

Móvil Seguro. Guía de Usuario Terminales Android

OWASP: Un punto de vista. aplicaciones web seguras

INTRANET NEGOCIOS. Manual de Usuario: Intranet Negocios

Seguridad en la transmisión de Datos

Lección 5: Seguridad Perimetral

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

La solución que la gran empresa requería en la gestión de sus certificados digitales

La gestión del riesgo digital: conocimiento y mitigación

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

AUTENTICACION DE USUARIOS

VM Card. Manual de referencia web sobre Ajustes de funciones ampliadas. Instrucciones de uso

Transcripción:

Soluciones Tecnológicas para La Banca Virtual Fabian Martins, M.Sc. Gerente de Desarrollo de Productos y Ethical Hacking

1975 Fundación. 1989 Adquisición por Bradesco. 1996 La primera banca por internet del América Latina y quinta en el mundo. 1997 Browser 128 bits. 1998 Moneda virtual. 2000 Solución para transacciones de banca por móviles (WAP). 2001 Participación directa en la implantación de la infraestructura de claves publicas de Brasil. 2004 Solución de One-Time Password (OTP) para Bradesco. 2009 ID de dispositivo. 2013 Soluciones móviles (Autenticación, Virtualización de Tarjetas, Realidad aumentada ) 3600 empleados 140 mil horas de desarrollo/mes +150 puntos de servicios en Brasil Cifra de negocios anual (2012): US$ 320 millones (aproximadamente)

Las amenazas mas comunes Las fugas de las credenciales y de la información confidencial Monitoreo, Phishing, Compartir de manera intencional o no intencional Cambio de información en tránsito Captura de datos en la máquina del usuario o en el tráfico a través de proxy https Posibles fraudes gracias a las debilidades en la arquitectura y en los procesos Fracaso en la.. Identificación (captura de las credenciales en el acceso y en las sesiones) Autorización (captura y manipulación de datos y credenciales en la aprobación) Definición de las responsabilidades (debilidades en el registro de transacciones) Autentificación (debilidades en la autenticación de la información y los documentos) Gestión de la seguridad de la infraestructura Personas (Insiders y no insiders)

Espacio de las soluciones Protección en el ámbito de la sumisión de las transacciones Gestión del acceso Autenticación de las transacciones por medio de canales distintos Privacidad en las operaciones Gobernancia Diseñar mecanismos que mejoren la confiabilidad de las operaciones (fuente de los datos, el comportamiento del cliente) Utilisar mecanismos fuertes para la identificación y autenticación. Trazabilidad. Ofrecer mecanismos que permitan la verification de la autenticidad de las transacciones por medio de canales y dispositivos distintos. Reducir la exposición de datos confidenciales del cliente. Gestión de la configuración y seguridad del perímetro. Auditorias independientes y educación en seguridad de la información (ISO 27000+).

Plataforma de Seguridad Para los portales transaccionales La identificación del usuario, identificación del dispositivo, medida de seguridad de dispositivo, la identificación de origen de acceso y la prevención de la redirección Mecanismos para la evaluación de las transacciones y detección del uso indebido de los sistemas. Gestión de la IDM y el BMS Trabajo constante en la detección de nuevas amenazas

Plataforma de Seguridad Para los portales transaccionales La identificación del usuario, identificación del dispositivo, medida de seguridad de dispositivo, la identificación de origen de acceso y la prevención de la redirección En esta capa en el dispositivo del cliente - están instalados componentes con dos objetivos: (1) BMS: Hace la identificación de malwares. Cuando posible, hace la desactivación y desinstalación, especialmente para aquellos que hacen captura de datos (clics de ratón, las pulsaciones de teclado). Detecta y corrige la redirección de DNS. (2) IDM: Combina información de hardware y software por medio de funciones criptográficas para crear una identificación para los dispositivos.. - Diseñado para respetar la privacidad del usuario: las funciones son activadas solamente cuando se utiliza la URL del banco.

Plataforma de Seguridad Para los portales transaccionales Mecanismos para la evaluación de las transacciones y detección del uso indebido de los sistemas. Gestión de la IDM y el BMS En esta capa en la organización- están los componentes de gestión: (3) MSEG: Tiene los recursos para la gestión de los componentes en la capa del cliente y ofrece una primera oportunidad para la evaluación de fraudes potenciales. También indica la integridad del dispositivo, su identificación y la origen de acceso. (4) ANTI-FRAUDE: Utiliza mecanismos de evaluación del comportamiento para la detección de fraudes en tiempo real. Necesita un vínculo con los sistemas transaccionales. Eficiencia de 7x1 (1 arbitrada para 7 transacciones avaluadas).

Plataforma de Seguridad Para los portales transaccionales Trabajo constante en la detección de nuevas amenazas Un equipo en SCOPUS en régimen 24x7x365 para: Actualizar los componentes de la capa-cliente: Más de 70 nuevos malwares son evaluados diariamente. La solución cuenta con más de 90% de efectividad para nuevos malwares. Identificar sitios clon. Detectar contaminación en los servidores DNS. Equipo de consultores para el mapeo de procesos, la identificación de los perfiles de la fraude y de los estafadores y diseño de soluciones a medida.

Gestión del acceso - Identificación y autenticación Identificación Autenticación Autorización Auditoria Alguien que el usuario dice que es Asegúrese que es quien dice Que permisiones tiene el usuario? {nombre}, {identificación civil}, {usuario}, {cuenta} Algo que solo el Es biometría Sabe clave, password Tiene - dispositivo Acceso a transacciones y servicios, los limites operacionales

Gestión del acceso - Identificación y autenticación Bank Agente Cuenta Bank Clave I.C. Clave Usuario Bank Clave Ok Ok Ok IDENTIFICACIÓN AUTENTICACIÓN 1º factor Información personal o privativas están expuestas a malwares Bank Si no es JOÃO DA SILVA por favor entre de nuevo o introduzca su codigo de autenticación Codigo de autenticación Ok AUTENTICACIÓN 2º factor (cuando disponible)

Gestión del acceso - Identificación y autenticación Bank NEYY06 Ok Frase unipass fo1 key id OTP Imagine hacer la identificación y autenticación al mismo tiempo sin exponer cualquier información sensible / privada / confidencial cerca de su cliente. Considere el uso de una identificación variable en tiempo que es capaz de representar simultáneamente el par (nombre de usuario, contraseña).

TLS NEYY06 HTTPS Domain Unipass payload La etapa más critica es la habilitación

Autenticación de las transacciones (múltiplos canales) Canal de envio HTTPS Canal de validación Banca Escribir los datos, por medio de imagen, por medio de sonido, por datos móviles

Autenticación de las transacciones (múltiplos canales) 2 1 HTTPS Domain 6 7 5 payload Unipass 4 3

Autenticación de las transacciones (múltiplos canales - imagen)

Autenticación de las transacciones (múltiplos canales) 1 HTTPS Domain 2 6 payload 4 Unipass 3 5 Respuesta por medio del móvile

Autenticación de las transacciones (múltiplos canales - imagen) QRCode con datos de la transacción cifrados con la clave existente en el dispositivo El cliente descifra el QRCode y puede comprobar los datos de transacción que tiene la banca. El código de autorización es firmado por los datos de la transacción.

Mejora de privacidad y seguridad con tarjetas virtuales El modo tradicional de operación requiere que el cliente proporcione el número de la tarjeta, o la propia tarjeta, para el comerciante. Uso de chip aumenta la seguridad, pero los riesgos aún existen Chip and Pin is Broken, Steven Murdoch, Ross Anderson, Mike Bond. El acceso a datos de la tarjeta permiten la clonación o compras por internet. Nuestra propuesta No permitir que el comerciante tenga acceso a los datos de la tarjeta. Explícitamente insertar el cliente en el proceso de aprobación de la transacción (en presencia o por el comercio electrónico).

Infraestructura segura Estándar del mercado de tarjetas de pago 1 Cliente informa el número de móvil o apodo Acquirer Brand Issuer 2 pide a la aprobación de la transacción 6 confirmación de transacción + número de tarjeta * Cliente hace la aprobación directamente 4 cliente hace la selección de medio de pago e inserta la contraseña de aprobación 3 5 Pide la selección de medio de pago (tarjeta, cupón) contraseña + ID de la tarjeta + ID del ordenador + OTP firmado con datos de la transacción Scopus/IziPAY mwallet * Unión segura entre entornos desconectados * No se muestra el número de tarjeta * Tecnología criptográfica para negar la clonación de dispositivos * Tecnología criptográfica para negar fraude e ataques de hombre en medio

Conclusiones Tener en cuenta que los dispositivos de los clientes ya están infectados. Hacer verificación de la identidad y comportamiento de los clientes. Utilizar canales distintos para sumisión y verificación de las transacciones. Reducir la exposición de datos personales. Fuerte gobernación. Insiders siempre serán una grande preocupación. Tendencias BigData / Datos no estructurados. Seguridad colaborativa (privacidad confiabilidad).

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback