Sales directorJyrki Matikainen IT Director Alexander Randarevich Rahaxi Processing Oy Rahaxi и PCI – новый уровень безопастности

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 2 Payment system provider in Finland since 1994 Credit card and debit card switching, automated payment batching and authorization services Transaction collecting from cash registers, Point-of-Sale terminals and Internet merchants From 2006 payment terminal / pin pad distributor and vendor Rahaxi Processing Oy is a fully owned subsidiary of Freestar Technology Corporation (Nasdaq: FSRT) Turnover 1,7 million (2005) Employees in Finland 16 Processing over 20 million transactions per year (2005) worth 180 million per fiscal quarter Level 1 in PCI classification Largest customers: Stockmann, Finnair, Finnish Post, IKEA, ALKO, Finnish Rail (VR) POS (Point-Of-Sale) delivering transactions (2006/05) Offices in Finland in Helsinki and in Turku Краткий обзор Rahaxi Processing Oy

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 3 PCI-стандарт (Payment Card Industry Data Security Standard) – это международный стандарт безопастности в области платежной индустрии, поддерживаемый такими структурами как Visa® International, MasterCard® Worldwide, American Express®, JCB®ja Discover® Financial Services. PCI-стандарт определяет процедуры проведения платежных транзакций как на стороне процессора так и на стороне торговца-ретэйлера. Стандарт определяет как получать, передавать, хранить и обрабатывать информацию о кредитных картах. Цель этого стандарта – достижение максимального уровня безопастности при всех операциях связанных с кредитными картами. Этот стандарт поддерживается и развивается независимой международной огранизацией - PCI Security Standards Council. Все торговцы обязаны придерживаться стандарта PCI при своих операциях с кредитными картами. С 6 декабря 2006 года Rahaxi Processing является PCI-сертифицированной организацией с помощью Sysnet Ltd. PCI (Payment Card Industry Data Security Standard)

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 4 Основные зоны охвата PCI SECURITY

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 5 Многогранность PCI в RAHAXI Badge policies Surveillance tapes Security training Virus Scans Clear desk Authentication SSL Security Firewall Routers Re-cycling Encryption Disaster Recovery Restoring versions Access Rights Secure Storage Certificate management Shared Secrecy Development versions Launching versions Code review Production versions Life cycle management Responsibilities Priorities Licences Passwords Connections DEVICE CONFIGURATION TICKETING VERSION MANAGEMENT KEY MANAGEMENT MAINTENANCEBACK-UPS PERSONNEL POLICIES CONNECTIONS

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 6 PCI-инновации в RAHAXI Области где потребовались изменения : Политика и методы безопасности и конфиденциальности Защита телекоммуникаций Защита процессинговой сети Хранение и безопасность данных о кредитных картах Изменения в процессах разработки ПО Периодическая проверка на соответствие стандартам

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 7 PCI-инновации в RAHAXI - продолжение Политика и методы безопасности и конфиденциальности: Внедрение стандартов работы в офисе в соответствии с требованиями PCI, включая политики чистого стола, доступа к рабочему месту и компьютеру, выделениея необходимого уровня доступа при необходимости и так далее Внедрение системы мониторинга запросов, проблем и решений (issue management) Введение процедуры формальных запросов на предоставление необходимого доступа к процессинговой системе для сотрудников и консультантов Ежеквартальные просмотры правил доступа брандмауэров Периодические тренинги сотрудников по политике и стандартам PCI и методике повседневной работы Периодические просмотры свода методик и стандартов на соответствие текущим требованиям и требованиям PCI (quarterly policy review meetings)

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 8 PCI-инновации в RAHAXI - продолжение Защита телекоммуникаций: Все соединения по IP с терминалами и кассовыми системами защищены SSL V3 со ключом не менее чем 128 бит, менее устойчивые к взлому алгоритмы запрещены к использованию даже по требованию клиентской стороны Все соединения по IP с крупными торговыми центрами, почтовыми службами и другими особо крупными торговцами, а так же процессорами loyalty cards и частных карточных схем защищены IPSec VPN Все соединения с другими процессорами и экваерами защищены IPSec VPN либо устанавливаются используя выделенные линии Frame-Relay либо DSL с защитой IPSec Использование технологии открытого ключа и сертификатов стандарта X.509 для двухстороннего опознавания клиентов Тем не менее часть банков-эмитентов локальных карт в Финляндии предпочитает продолжать использовать соединения по X.25

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 9 PCI-инновации в RAHAXI - продолжение Защита процессинговой сети: Сегментация ПС: DMZ, SecureNet, Tandem Защита с помощью брандмауэра (firewall) соединений с внешним миром и соединений между сегментами сети Intrusion Prevention and detection System – IPS – три точки мониторинга Управление пэтчами ОС и программного обеспечения – предварительное тестирование и сканирование сети на необходимость пэтчей (Microsoft) Антивирусные системы с центральным сервером обновлений и регулярным полным сканированием (AVG) Синхронизация времени всех серверов, синхронизация с центром атомного времени Разделение тестового и сертификационного окружения и эксплуатационного

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 10 PCI-инновации в RAHAXI - продолжение Доступ, контроль и аудит систем процессингового центра: Система мониторинга состояния критических файлов и состояния системы, регулярный просмотр журналов сообщений Автоматический аудит ОС и БД, ведение журнала аудита и системного журнала на сервере Syslog (Adiscon EventReporter -+ Winsyslog) Введение запретительных политик для пользователей домена процессинговой сети и процессов по принципу крайней необходимости. Сложность паролей и их ротация. Использование только именных логинов для пользователей и приложений Использование доменных логинов при доступе к базе где возможно, использование сложных паролей

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 11 PCI-инновации в RAHAXI - продолжение Доступ, контроль и аудит систем процессингового центра: Развитая система доступа и аудит на HP NonStop Tandem с помощью SafeGuard Удаленный доступ к сети только через VPN с именными соединениями, двух-факторной проверкой личности пользователя (динамический ключ RSA SecurID и пин + доменный логин к серверу)

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 12 PCI-инновации в RAHAXI - продолжение Хранение и безопасность данных кредитных карт: Шифрование номеров кредитных карт в БД Ограничение физического доступа к системе и бэкапам и компенсационный контроль безопастности Отказ от хранения содержимого магнитного трэка (2), PIN, CVV2 (CVC) Ограничение возможности вывода номеров карт на терминалы службы поддержки в большом количестве одновременно Ограничение вывода полных номеров карт, маскируя часть номера кроме случаев крайней необходимости

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 13 PCI-инновации в RAHAXI - продолжение Изменения в процессах разработки ПО: Использования рекомендованных процедур разработки (PABP) Использование OWASP при разработке и анализе приложений Систематический просмотр кода разработчиков Контроль за версиями и изменениями в рабочем окружении Управление запросами и ошибками и проблемами (request, issue and bug management) Контроль всего жизненного цикла приложения: ввод в эксплуатацию, изменения и обновления, вывод из эксплуатации и удаление кода из эксплуатационной системы

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 14 PCI-инновации в RAHAXI - продолжение Периодическая проверка на соответствие стандартам: Ежеквартальный пересмотр политик и методик безопастности на соответствие текущим требованиям, требованиям PCI Ежеквартальный тест на попытку вторжения в систему Ежегодный внутренний тест системы на устойчивость вторжению Ежегодный анализ безопастности системы, уровня риска для бизнеса и планов реагирования в случае катастрофы

Copyright© 2007 Rahaxi Processing Oy. All rights reserved Только часть номера кредитной карты (обычно последние 4 цифры) печатается на чеке 2.В случаях когда номера кредитных карт хранятся в системе торговца они зашифрованы 3.Обмен данными включает двухстороннюю проверку личности оппонента 4.Перадача данных зашифрована с помощью 128 bit SSL либо с помощью IPSec. Решения и приложения в области карточных платежей разработаны, установлены и поддерживаются согласно требованиям стандартна PCI/DSS Изменения, которые принес PCI на торговые точки

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 16 RAHAXI предлагает своим клиентам Решения которые требуют клиенты соответствуют PCI DSS и EMV: Интегрированные платежные приложения для кассы на базе ПК Платежный терминал с дополнительным модулем для ввода ПИН-кода с поддержкой передачи данных через Интернет Портативные терминалы с поддержкой беспроводной связи на базе GPRS, Wi-Fi для использования курьерами, такси, а так же в ресторанах и других местах, где нужна мобильность. Моментальная авторизация и автоматическая отправка батчей в банк в конце дня Поддержка 7 дней в неделю

Copyright© 2007 Rahaxi Processing Oy. All rights reserved. 17 RAHAXI предлагает своим клиентам - продолжение Автоматическое обслуживание терминалов; обновление AID и BIN таблиц, черные списки, обновление платежных приложений и ядра системы Ежегодно обновляемые сертификаты на базе системы публичных ключей в соответствии с требованиями PCI 15 лет опыта в сфере разнообразных платежных решений

Спасибо ! Rahaxi Processing Oy ( alkaen) Lindström-talo Lautatarhankatu Helsinki Tel: (09) Fax: (09) address: Home Page :