Emulacja karty elektronicznej EMV. Michał Głuchowski Praca dyplomowa inżynierska pod opieką prof. Zbigniewa Kotulskiego



Podobne dokumenty
LABORATORIUM PROGRAMOWANIA KART ELEKTRONICZNYCH. Standard EMV plugin do SCSuite

GIROCARD. Jako narodowa karta płatnicza. Wojciech-Beniamin Wolski

Migracja EMV czas na decyzje biznesowe

POLITECHNIKA POZNAŃSKA - SYSTEMY INFORMATYCZNE W ZARZĄDZANIU. Zastosowanie kart elektronicznych w systemach płatniczych.

Projekt X-CARD, a karta międzynarodowa

Szczegółowy opis przedmiotu zamówienia:

Karta kibica - wymagania dla systemów stadionowych Strona 1 z 9

MIGRACJA NA STANDARD EMV W POLSCE ASPEKTY ORGANIZACYJNO - TECHNICZNE

Materiał dystrybuowany na licencji CC-BY-SA

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC

WARTO BYĆ RAZEM. Bank Zachodni WBK liderem. Maciej Biniek, czerwiec 2008

Analiza poziomu bezpieczeństwa kart zbliżeniowych z punktu widzenia ich posiadaczy Urząd Komisji Nadzoru Finansowego

Karta chipowa znacznie bezpieczniejsza

Narzędzia klienta usługi archiwizacji

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

TransKasa. Sieć Elektronicznych Terminali Płatniczych Banku BPH

Moduł do płatności mobilnych najprostszy sposób zatwierdzenia płatności w komórce

Laboratorium Programowania Kart Elektronicznych

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

StarCARD - Centrum Usług Kartowych

Karty dobrym narzędziem na czas kryzysu

2. Zastosowanie standardu Wi-Fi w systemach AMR... 21

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Nowa legitymacja studencka w aplikacji Uczelnia.cl

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

HCI Human Computer Interaction

Inteligo. Rozwój projektu maj-listopad 2010

MOŻLIWOŚCI ROZWIĄZAŃ ACI ZE SZCZEGÓLNYM UWZGLĘDNIENIEM SYSTEMU POSTILION

Szyfry Strumieniowe. Zastosowanie wybranych rozwiąza. zań ECRYPT do zabezpieczenia komunikacji w sieci Ethernet. Opiekun: prof.

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

CASE STUDIES TEST FACTORY

Jak bezpiecznie i odpowiedzialnie obsługiwać dane właścicieli kart płatniczych? Informator PCI DSS

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Overlord - Plan testów

, Powyżej , , Powyżej , ,00070

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

Tematy dyplomów inżynierskich 2009 Katedra Inżynierii Oprogramowania

Elektroniczna Legitymacja Studencka jako narzędzie wielofunkcyjne Oberthur Technologies

Biometryczna Identyfikacja Tożsamości

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Jaką kartę chcesz mieć w portfelu?

Podręcznik użytkownika terminali płatniczych Planet Pay

Klaster obliczeniowy

Bezpieczeństwo Karty płatnicze w Systemach Komputerowych Karty płatnicze Karty płatnicze Skimming

IO - Plan testów. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

Zapytanie ofertowe. Skawina 7 listopada 2014

Szkolenie: Testowanie wydajności (Performance Testing)

Wdrożenie technologii procesowej IBM BPM w EFL

AM 331/TOPKATIT Wsparcie techniczne użytkowników i aplikacji w Windows 7

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

Wykorzystanie sieci urządzeń wielofunkcyjnych - aspekty organizacyjne i biznesowe.

Strojenie systemu Linux pod k¹tem serwera bazy danych Oracle 9i

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Karty inteligentne - programowanie i zastosowania. Piotr Nazimek

INTELIGENTNE PŁATNOŚCI W TRANSPORCIE PUBLICZNYM CHECK IN CHECK OUT PAY AS YOU GO

Płatności CashBill - SOTE

Katedra Inżynierii Oprogramowania Tematy prac dyplomowych inżynierskich STUDIA NIESTACJONARNE (ZAOCZNE)

Szkolenia specjalistyczne

Agenda. Co to jest RWD? Dlaczego warto myśleć o RWD w kontekście aplikacji biznesowych? Przykłady. ericpol.com

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Warsztaty szkoleniowe. Technologia SafetyLon w systemach związanych z bezpieczeństwem funkcjonalnym Narzędzia SafetyLon Moduł 4.5.

Zarządzanie konfiguracją produktu w całym cyklu Ŝycia. Aleksandra Grzywak-Gawryś Warsztaty Rola IRIS w branŝy kolejowej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

... Definicje i zasady pobierania opłat i prowizji

Ale po co mi pieniądze?

Płatności CashBill - Selly Shop

Asseco IAP Integrated Analytical Platform. asseco.pl

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

Rozdział 2. Programowanie Arduino i kodowanie społecznościowe (29)

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

Podejście do koordynacji opieki w LUX MED

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Szczecin "Zastosowania nowych technologii w systemach karty miejskiej "

PROFIL FIRMY. Pierwszy polski dostawca rozwiązania mpos

AUREA BPM HP Software. TECNA Sp. z o.o. Strona 1 z 7

w sieci transakcji płatniczej

Płatności CashBill - SOTE

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Automatyczne decyzje kredytowe, siła szybkiego reagowania i optymalizacji kosztów. Roman Tyszkowski ING Bank Śląski S.A. roman.tyszkowski@ingbank.

BMC Control-M Wybrane przypadki zastosowania

Gry społecznościowe. wykład 0. Joanna Kołodziejczyk. 24 lutego Joanna Kołodziejczyk Gry społecznościowe 24 lutego / 11

MobileMerchant firmy Elavon Najczęstsze pytania

mdokumenty Anna Streżyńska Minister Cyfryzacji Warszawa,

Płatności CashBill - cstore

Bezpieczeństwo Karty płatnicze w Systemach Komputerowych Karty płatnicze Karty płatnicze Skimming

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh

Podręcznik użytkownika terminali płatniczych MULTIPAY W tej broszurze znajdziesz odpowiedzi na podstawowe pytania i dowiesz się jak:

Saferpay. Bezpieczny system płatniczy dla Twojego sklepu internetowego

Bezpieczeństwo kart elektronicznych

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Jakie mamy rodzaje kart i do czego może służyć bankomat.

Konwerter Plan testów. Jakub Rauch Tomasz Gołębiowski Adam Busch Bartosz Franaszek 1 czerwca 2008

Saferpay. Bezpieczny system płatniczy dla Twojego sklepu internetowego

Biznesowe zastosowania integracji aplikacji Lotus Notes Domino oraz SAPa

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Instrukcja A: działania podstawowe

Transkrypt:

Emulacja karty elektronicznej EMV Michał Głuchowski Praca dyplomowa inżynierska pod opieką prof. Zbigniewa Kotulskiego

Agenda Co to jest EMV? Dlaczego warto się tym zajmować? Bezpieczeństwo EMV Karta tradycyjna a EMV Certyfikacja EMV Narzędzia testowe Projekt systemu Implementacja Rezultaty Plany na przyszłość Pytania

Co to jest EMV? Standard systemów płatniczych opartych o karty elektroniczne ISO/IEC-7816 EMV = Europay Mastercard Visa Aktywnie rozwijany od 1993 roku (pierwsza wersja standardu 1996)

Dlaczego EMV? Rosnąca liczba nieuczciwych transakcji przy użyciu podrobionych kart ( skimming ) Bezpieczeństwo zapewniane przez konstrukcję karty oraz kryptografię Mała elastyczność kart z paskiem magnetycznym Liability shift (od 01.2005)

Dlaczego EMV? Wieloaplikacyjność Uwierzytelnienie karty SDA (Static Data Authentication) DDA (Dynamic Data Authentication) CDA (Combined Dynamic Data Authentication/Cryptogram Generation) Zarządzanie ryzykiem w karcie Weryfikacja PINu offline Wzajemnie uwierzytelnienie w przypadku transakcji online szyfry symetryczne Zdalne zarządzanie aplikacją w karcie

Bezpieczeństwo EMV SDA Źródło: EMVCo, LLC. EMVIntegrated Circuit CardSpecifications for Payment Systems

Bezpieczeństwo EMV DDA Źródło: EMVCo, LLC. EMVIntegrated Circuit CardSpecifications for Payment Systems

Bezpieczeństwo EMV Źródło: EMVCo, LLC. EMV Issuer and Application Security Guidelines

Transakcja tradycyjna a EMV Transakcja dla karty z paskiem magnetycznym Odczyt danych karty Odczyt karty Restrykcje akceptanta Online / offline Restrykcje agenta rozliczeniowego w terminalu Autoryzacja transakcji online / offline

Transakcja tradycyjna a EMV Transakcja dla karty EMV Inicjalizacja aplikacji Odczyt rekordów aplikacji Bardziej skomplikowana, ale... Uwierzytelnienie danych karty Restrykcje agenta rozliczeniowego w terminalu Restrykcje wydawcy Dużo większa kontrola nad Uwierzytelnienie posiadacza karty transakcją przez wydawcę Analiza ryzyka w terminalu Większe bezpieczeństwo Analiza ryzyka w karcie Decyzja online / offline Online Autoryzacja transakcji online + uwierzytelnienie wydawcy przez kartę Offline Zakończenie transakcji Wykonianie skryptów wydawcy

Certyfikacja EMV Problemy z bezpieczeństwem wynikającym z niestosowaniem się do zaleceń Znaczne większe skomplikowanie EMV duże ryzyko błędów Certyfikacja sprzętu ( TA Level 1 ) Certyfikacja oprogramowania dla jądra ( TA Level 2 ) Testy zgodności aplikacji z konkretnymi systemami płatniczymi ADVT (Acquirer Device Validation Test) VSDC (Visa Smart Debit/Credit) ETEC (End To End Compliance)

Narzędzia testowe Specjalistyczne laboratoria testujące EMV L1, drogie testy EMV L2 na zlecenie Narzędzia dostarczane przez organizacje płatnicze (ADVT, ETEC) ICC Solutions komercyjny zestaw do testowania Niezależnie od rozwiązania wysoki koszt

Projekt systemu Emulator karty Warstwa pośrednicząca (interfejs) Biblioteka systemu operacyjnego karty (ROM) Pliki z rekoradmi danych karty oraz nieulotne flagi (EEPROM) Tymczasowe dane transakcyjne karty (RAM) Klient (Terminal)

Implementacja Karta ISO-7816 zaimplementowana jako biblioteka w C (dll dla Windows, ale proste przeniesienie na dowolną platformę) Interfejs PC/SC możliwe przeźroczyste stosowanie przez dowolną aplikację Windows Interfejs do terminali płatniczych Hypercom oraz Verifone Prosty klient testowy

Rezultaty

Co w przyszłości? Budowa sprzętowego interfejsu ISO/IEC 7816 Rozbudowanie systemu testowe o moduł wydawcy Rozwinięcie mechanizmów zarządzania ryzykiem w karcie

Zakończenie Dziękuję za udział w seminarium Pytania...?