Bankir.Ru
6 декабря, вторник 17:16

Объявление

Свернуть
Пока нет объявлений.

ATM: Track2 encoding.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ATM: Track2 encoding.

    Кто нибудь задовался темой кодирования не только ПИН блока, но и PANa
    или всего track 2, при передаче customer request'а на хост?
    Интересны и те мнения, которые отметают идею напрочь.
    Вопрос возник исходя из требований МПС, а именно Europay.

  • #2
    ? Что за требования? Пардон за серость, просветите вкратце, если не сложно.
    Yak

    Комментарий


    • #3
      Ежели терминал территориально расположен не в зоне сертифицированного ПЦ (т.е. не сам терминал, а его манагер, PACE или как хотите...),
      то данные о ПИНах, ключах криптования и треках не должны каким либо образом сохранятся вне этой зоны.
      Вообщем имеется ввиду схема взаимодействия ПЦ + банк-агент со своей эквайринговой сетью. В этом случае ПЦ является авторизатором или маршрутизатором авторизационного траффика.

      Комментарий


      • #4
        Угу, сэнкс.

        Ну, в моем понимании, все-таки зона сертифицированного ПЦ - это вся сеть, включая и агентскую. Принципал за любой участок несет ответственность, и случись что - не отмажется.

        А насчет кодирования трека целиком - наверное, все-таки, излишество. Аргументы:
        1. Основной упор, все-таки, нужно делать на сохранность ключей, это очевидно.
        2. Длиннее шифруемая строка - дольше процесс. К тому же, не уверен, что все POSовские ПИН-пады могут криптовать строки произвольной или увеличенной длины
        3. Накладные расходы возрастают - раскодировать на хосте ПЦ придется всякий раз, плюс, опять-таки - длиннее очереди к HSM, риски тайм-аутов выше.
        4. На хосте агента в любом случае все будет лежать в открытом виде (слава Богу, если без ПИНов в чистом виде). Иначе трудно себе представить реальную работу - не декодировать же на лету каждую строку запроса, если человек в таблицу полезет. А раз так, то сам транспорт не очень интересно и прослушивать - проще с админом договориться
        5. До последнего времени EPI вообще использовал публичные X.25 для меж-ЕМного взаимодействия, а там как раз все в голом виде и гуляет, кроме пин-блоков.
        6. Может, самый смешной аргумент - допустим, все в он-лайне шифруется, в базе все тоже чики-чики, а ключ - брык, утерян...

        Yak

        Комментарий


        • #5
          2. О POSах речь не идет, пока...
          3. это применяется не для все эквайринговой сети.
          4. именно кодировать все на лету, у банкомата производительности хватит, у хоста тоже, опять таки см. п.3.
          5. это их проблемы, но если они выдвигают такие требования, то лицензией рисковать, желания нет.
          Хотя эти требования были выставлены по телефону и в документациях я такого не видел, ксати может кто чего находил по этому поводу, буду весьма благодарен.

          Комментарий


          • #6
            Да нет таких требований, и быть не может. Смысл - закрывать банкоматный трафик, оставляя посовский? Будут придираться - скажите, что транспорт между агентом и принципалом закрыт SSLом - отстанут.

            P.S. Если эти требования Вам как агенту выдвигает принципал, тут уж ничего не попишешь. Это его право: накрутить требования по секьюрити, не уступающие европеевским. Этот козырь Вы не перебьете, есть только один способ - становиться самим принципалами.
            Yak

            Комментарий


            • #7
              да мы и есть принципалы и хотим от агентов защитится. Для европея-то агентов нет и при сертификации они их не видили и что у них там творится они не знают.

              Комментарий


              • #8
                А-а-а-а... Ну, тут я только солидаризоваться могу. Главное - не спугните На самом деле - у них ведь вторые трэки и в журнальном принтере могут оседать, и вообще - где угодно.
                По-моему, защиты ПИН-блока все-таки достаточно - главное, чтобы это не было профанацией (ключи софтверные, за секьюрити никто не отвечает etc.)
                Yak

                Комментарий


                • #9
                  2 bugsub
                  Я полностью согласен с yak. Шифровать трэки - это перебор. Кроме того, даже если это и делать, не совсем понятно как Вы собираетесь такое шифрование организовать. Софтверной криптографией? Я, к примеру, что-то не помню чтобы, скажем, HSMы Racal умели шифровать произвольные данные.

                  Комментарий


                  • #10
                    MaximK
                    как Вы собираетесь такое шифрование организовать. Софтверной криптографией?
                    Не споря по существу, хотел бы отметить, что протокол Olivetti Mirror умеет шифровать все пакеты терминал-хост. Софтверное криптование, и не слышал, чтоб его где-то использовали.

                    Комментарий


                    • #11
                      Софтверной криптографией можно сделать что угодно. Есть только одно "но". Софтверные реализации приравниваются МПС к полному отсутствию криптографии как таковой. И как показывает опыт - не зря. Вспомните хотя бы скандал с утечкой даных в одной из российских платежных систем, одной из причин которой являлось применение этой самой софтверной криптографии. Цитируя одного из полковников с военной кафедры МВТУ можно сказать что они "погорели как шведы под Полтавой".

                      Комментарий


                      • #12
                        Здравствуйте!

                        А мне интересны три вопроса.
                        1. А как это можно сделать на банкомате? Насколько я понимаю, это не штатная возможность.
                        2. Не обидется ли ФАПСИ, если это все будет зашифровано?
                        3. На что ссылается Europay, выдвигая такие требования? Где об этом сказано, что такое шифрование необходимо?

                        Комментарий


                        • #13
                          У Europay вроде таких требований нет - в книжках этого нету.
                          На уровне HSM - Mission impossible. На уровне софта - запрещено МПС.
                          Может что-то новое ?

                          Ростислав


                          Комментарий


                          • #14
                            А почему на уровне HSM "Mission impossible"? Та же есть команда расшифровки 8 байтных сообщений? Правда, тогда с тайм-аутами проблемы будут. Но в принципе-то можно!

                            Комментарий


                            • #15
                              KostNk
                              1. на банкомате это можно сделать(речь идет о Diebold:ах, у нас их больше всего), прикрутив между CSS и TBA чтото нечто киртовалки
                              2. у нас фапси нету...
                              3. европей ссылается на какието далекие документы, не говорит на какие, причем выдвинуто было именно московским европеем (нафига они его создали,плошные припоны, мало того, что никого никогда нет на месте), Бельгийцы о таких наворотах и не упоминали никогда.

                              Комментарий


                              • #16
                                Я смотрю об этих требованиях никто никогда не слышал, очень интересно, почему они тогда были выдвинуты принципалам в Украине....
                                Вопрос был таков: на что нам нужно обратить внимание в случае, когда мы подключаем третий миниПЦ с функциями управления банкоматами, допустим, по протоколу 8583.
                                Ответ был таков: менеджмент ключей криптования проводить должны мы для этих девайсов и недопустить логирования 2х треков на компах третьей стороны.

                                Вот мы и задумались... Каналы между агентами мы-то криптуем кисками, а вот как доверится внутренней сети агента.... непонятно.
                                Вот и возникло предложения криптовать треки, для банкомата особой нагрузки не будет, банкомат спамить не будет,след. таймаутов на банкомате тоже. За хост тоже опосатся не стоит.
                                Есть API DES для диболдов, но есть там и непонятки...
                                вот собственно почему я и спросил.
                                Стоит дальше копать или нет. Может Европей, это так с горяча сказанул. Хотелось бы подтверждений получить печатных.

                                Комментарий


                                • #17
                                  2 Andrei_T

                                  Андрей, дай объяснений "печатных" , а?

                                  Комментарий


                                  • #18
                                    bugsb
                                    а вот как доверится внутренней сети агента....
                                    Сергей ( если верить E-mail ), при работе с агентом вы либо доверяете ему в чём-то, либо с ним не работаете. Мне кажется, что проблема ведения/запрещения логов на промежуточном хосте - из вопросов доверия. Пусть в логи пишутся PAN и сумма, без этого трудно. А то, что не будет писАться остальное - вопрос договорённости ( и, соответственно, договора ) с агентом.

                                    Комментарий


                                    • #19
                                      to #paul
                                      хорошо, рассмотрим дальше... (я конечно, не юрист, но...)

                                      Ситуация, когда мы выходим на первое место по фродам, это видит Европей, предлагает нам разобратся, мы находим, что виноват агент, требуем от них оплату европеевского штрафа (это если мы штрафом можем отделатся). дальше....
                                      Фроды продалжают идти... Европей отзывает лицензию.
                                      И в этом случае мы даже не можем Европею сказать, что это не наша система допустила прокол, не наши 99% эквайринговой сети, это вон тот агент с 5 банкоматами.
                                      Ну и что, ну будем мы с этим агентом разбиратся через суды Украины, ну признают его виновным, а как потом это все объяснить Епропею? Да и имидж... как его отмыть?

                                      Да и с другой стороны, если агент захотел вдруг эквайрить карточки европея, почемубы томуже европею не сбить с него деньги за сертификацию?

                                      Вродебы логики здесь предостаточно... но гвоздь гдето есть,
                                      как остальные работают? таже Россия и др. СНГ

                                      Комментарий


                                      • #20
                                        bugsb ( как неюрист неюристу )
                                        Вы можете, записав в договоре такой пункт ( что-то о выполнении требований безопасности ), постоянно держать агентов в страхе Принципальской проверки: найдёте несоответствие - отключите их терминалы.
                                        А вообще, повторюсь, отношения принципал-агент должны изначально строиться на доверии. Если такого нет, то подключайте их банкоматы напрямую к своему хосту через то оборудование, за которым следить будете сами. Ибо как вы не криптуйте канал, по определению будет персонал, коему эти данные знать положено по долгу службы. Кстати, если фроды пойдут, то отвечать всё-равно вам как принципалу, независимо от того, передавались траки в открытом или зашифрованном виде. Ведь, если верить знающим людям, вам либо ставить по Киске с криптованием на каждый банкомат, либо переписывать софт как на банкомате, так и на хосте, либо это криптование будет фикцией.

                                        почемубы томуже европею не сбить с него деньги за сертификацию
                                        Сергей, я не слышал, чтобы EPI нормировал отношения участника ПС ( принципала ) с его агентом. Агентские договора - внутренняя ваша кухня. Именно поэтому, скорее всего, вас так озадачил EP Russia. Как-то не принято и вслух говорить о подключении к сертифицированному ПЦ каких-то доп. хостов. По закону (Европея) это ваши собственные терминалы. И, теоретически, вы заявляете о изменении собственной сети, что требует полной пересертификации.

                                        Комментарий


                                        • #21
                                          #paul
                                          ну хорошо, а как европей будет проводить сертификацию схемы ПЦ - агент, необходимо будет агенту чего нибудь подписывать? Такие сертификации ктонибудь проводил?

                                          Комментарий


                                          • #22
                                            Сергей, я ни разу не слышал о подобной сертификации. Сертификация ( как вещь недешёвая ) оплачивается только если таковая нужна. Например, для получения официального статуса принципала или аффилиата. В случае работы с агентом вы как участник ПС сами решаете, какие требования выставлять агенту, не забывая, что для МПС никакого агента нет, есть только вы как принципальный член системы. Например, я ни разу не слышал о сертификации рекламируемых на форуме предложений о подключении банкоматов ЮК на обслуживание карт МПС. Заявляется, что оно уже успешно работает - а никакой сертификации такие схемы не выдержат.

                                            Комментарий


                                            • #23
                                              Ну значит и работают они до определенной поры

                                              Комментарий


                                              • #24
                                                bugsb
                                                Извините, а Вы слышали о другом ( кроме известного ) примере лишения статуса в ПС за нарушение требований по безопасности? Я - нет.

                                                Комментарий


                                                • #25
                                                  bugsb Я не совсем понял предполагаемую динамику развития ситуации ("фроды продолжают идти"). Тьфу-тьфу, процент фродов, как правило, невысок - корреляцию после первых же сигнальчиков проследить нетрудно. ОтклЮчите агента тут же. Забейте в договор штраф немаленький, право на исчерпывающую ревизию всей технологической схемы и принципов секьюрити агента. Он вам сам спасибо скажет, агент ведь тоже - банк, дорожащий репутацией и надеющийся на перспективы...
                                                  Yak

                                                  Комментарий


                                                  • #26
                                                    ALL

                                                    И так давайте отделим мух от котлет. Нет такого понятия, как агент в Europay. И если Вы хотите зарабатывать в обход правил то и получитете, в случае чего, по полной программе. Если Вы решили поставить хост у черта на рогах то это называется - изменение конфигурации фронта/бека и сертификация снова по полной программе. Так что решайте сами стоит ли рисковать, так как Europay ни на какие ваши отмазки на договора с третьей стороной обращать внимания не будет.

                                                    Комментарий


                                                    • #27
                                                      to Andrei_T
                                                      с одной стороны это конечно верно, но речь также идет и об увеличении эквайринговой зоны и эмисии. Томуже EP это должно быть интересно, когда "какието агенты" выходят из "теневого" эквайринга только своих локальных карт.
                                                      Тем более требование было выдвинуто именно не запрещающее: "только не давать ключи и треки, делайте, как хотите" , о сертификации речи не было.
                                                      Где документальное определение найти?

                                                      Комментарий


                                                      • #28
                                                        bugsb

                                                        Интересно, но не за счет безопастности системы в целом.
                                                        Есть такая книжка Europay Member Implementation Guide там и написано, что при изменении сертифицированной конфигурации все заново.

                                                        Комментарий


                                                        • #29
                                                          Команда есть, НО time-out офигенный.

                                                          Ростислав

                                                          Комментарий


                                                          • #30
                                                            2 bugsb

                                                            "Вопрос возник исходя из требований МПС, а именно Europay."

                                                            А откройте секрет, кто именно из Европея и в связи с чем выдвинул такие требования?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X