Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Segurança de dados na nuvem - a experiência de um provedor de tecnologia que está migrando toda sua infraestrutura para a nuvem

Palestra apresentada na CARDS 2013
by

paySmart - EMV as a Service

on 25 April 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Segurança de dados na nuvem - a experiência de um provedor de tecnologia que está migrando toda sua infraestrutura para a nuvem

emv.com.br um problema inerente à tecnologia de tarja magnética Fraude um código de 37 caracteres Clonagem com baixíssimo investimento é
possível iniciar uma operação de
clonagem de tarjas magnéticas pacote de cartões
R$ 69,90 keylogger
R$ 250,00 gravadora de tarja
R$ 990,00 1234567890 1234567890 1234567890 1234567 1234567890 1234567890 1234567890 1234567 depois de ler esse código ... basta gravar um novo cartão com ele e tem-se um clone perfeito contramedidas Fazemos o possível para conter o problema, por exemplo, com iniciativas como o PCI SSC... encriptação do conteúdo da tarja por terminais Mas basta um único "chupa-cabras" no bolso de um vendedor malicioso para capturar uma ... ou centenas de tarjas magnéticas Tecnologia madura
+1,6 bilhões de cartões
+17 milhões de terminais

Tecnologia global,
utilizada por milhares
de emissores prejuízos 700% de aumento desde 2000
nos Estados Unidos (VLR report) Muitos emissores chegam a perder
mais de 2% do faturamento Depois do primeiro cartão clonado, ataques costumam
ser massivos prejuízos Investimento de anos na criação de uma marca pode ser prejudicado por um único ataque Após ataques, é comum ver clientes migrando para competidores materiais à marca vencendo
o medo Conceitos EMV Especificação pública, desenvolvida pela Europay, MasterCard e Visa
Define como implementar produtos de débito, crédito e voucher Qual a dificuldade? Especificação EMV é complexa anos de operação no Brasil

milhões de cartões EMV
independente emitidos www.SMARTCON.com.br Hardware: Servidores

HSM (Hardware Security Modules)
Espaço para co-location Software: Autoridade Certificadora EMV e
Gerenciamento de Chaves

Aplicação EMV para o cartão

Preparação de dados
(data preparation)

Autorização EMV Uma nova maneira de implementar EMV: ! EMV como serviço Nuvem privada/híbrida segura
Sem investimentos em hardware, software e pessoal
Tecnologia provada
Suporte 24x7
Altíssima disponibilidade
Tudo gerenciado pela paySmart Possibilidade de emitir os primeiros cartões com chip
em 30 dias, ao invés de meses! Pessoal: Gerente de projeto EMV
Analistas EMV
Desenvolvedores EMV Treinamento especializado
Infraestrutura operacional EMV - mecanismos eficazes para: Como resolver os problemas de fraude da tarja magnética? ? segurança,
robustez e interoperabilidade = O Emissor assina o serviço paySmart 1 A paySmart configura um ambiente virtual exclusivo para o cliente 2 A paySmart gera chaves e configura perfis de embossing para o cliente 3 O cliente conecta sua infraestrura de autorização à interface paySmart 4 eliminar ataques de clonagem

permitir que o cartão e o autorizador se autentiquem EMV é:
o estado da arte de pagamentos eletrônicos
a base para contactless e NFC seguros Conclusões SMARTCON Pagamentos Eletrônicos S.A. proteção do conteúdo da tarja em servidores Daniel F. Nunes de Oliveira, MSc.
Diretor de Desenvolvimento de Negócios
SMARTCON | PaySmart
(daniel.oliveira@paySmart.com.br) Implementar EMV requer muitos investimentos (software, hardware
e pessoal) Até pouco tempo atrás,
levava meses ou anos 9 Parte do grupo MobiGroup: Importantes clientes no Brasil e no exterior: Líder em EMV independente na América Latina Tem sido também cada vez mais
utilizada por bandeiras
independentes EMV Quais os riscos? Time-to-market: fraude continua durante o período de implantação
Uma vírgula
recall de cartões
Problema de software
Competicão interna com outros projetos da empresa atrasos líder em EMV independente no Brasil e América Latina emv.com.br Trilha 2: 75 bits por polegada Sentinela inicial : 6123 4501 0001 0299=1712 206 123456783? x Primary account number (PAN) Separador Validade AA/MM Service Code Dados proprietários Sentinela final LRC chip Aplicação EMV
Preparação de dados
Processamento EMV
Aut. Certificadora EMV
Gerenciamento de chaves
Configuração de Terminais
Testes 15 EMV as a service 2012, mundialmente:
45% dos cartões
76% dos terminais SMARTCON Pagamentos Eletrônicos S.A. Como funciona ? ? Simplicidade Segurança Confiabilidade Sem
investimentos Experiência Emissão de cartões
com chip em 30 dias EMV - estado da
arte de pagamentos
eletrônicos 9 milhões de cartões
em operação pague apenas pelos
cartões ativos Tecnologia provada.
Grandes clientes SMARTCON | paySmart: Vantagens: Experiência em todas as pontas de um ecossistema de pagamentos com chip Aplicação EMV do cartão Personalização do cartão Aceitaçaõ do cartão em terminais EMV Processamento EMV full-grade Regras da bandeira, AC, Certificados e chaves Preparação de dados (dataprep) Segurança da informação na nuvem A experiência de um provedor de tecnologia de que está migrando toda sua infraestrutura para a nuvem case de migração
para chip na
nuvem principais termos da tecnologia de computação em nuvem recomendações Conclusões Apesar de não muito intuitivo,
(em 1a análise)
migrar pode trazer mais segurança Governança e acessso seguro são fatores chave IaaS IaaS, PaaS e SaaS vieram para ficar. Com inteligência e alguns cuidados, é possível se beneficiar de todas estas iniciativas PaaS SaaS Nem todas as nuvens são iguais qualquer tipo de cloud se aplica ("cloud": conceito amplo, termo vago) nenhum tipo de cloud se aplica improvável muito improvável IaaS PaaS SaaS Infrastructure as a Service (host) Platform as a Service (build) Software as a Service (consume) Processamento, armazenamento e outros recursos de computação para executar sistemas operacionais e aplicativos em uma infraestrutura de nuvem Clientes podem implantar suas aplicações para a nuvem, usando linguagens de programação, bibliotecas, serviços e ferramentas do provedor Clientes podem utilizar diretamente artefatos de software do provedor, que estão, transparentemente, rodando na nuvem Nuvem privada Infraestrutura exclusiva para um determinado cliente.
Normalmente gerenciada pela própria organização.
Hospedagem local ou remota Tipos de nuvem (Nomenclatura NIST) Nuvem comunitária Nuvem pública Nuvem híbrida Infraestrutura disponibilizada para o público em geral (ou um grupo grande).
Hospedagem remota, em um provedor de serviços de nuvem Infraestrutura compartilhada por organizações de uma comunidade específica
Requisitos compartilhados (modelo de negócio, segurança, etc).
Pode ser gerida pelas organizações ou por terceiros
Hospedagem dentro ou fora das instalações dos clientes Composição de duas ou mais nuvens (comunitária, privada ou pública)
Nuvens distintas, unidas por tecnologia para permitir redundância ou balanceamento de carga
Também chamada de "cloud-bursting" (Marie Currie) "Quando libertadas da necessidade de produzir sua própria eletricidade, as empresas puderam se concentrar ainda mais nas suas competências essenciais"

ao invés de se preocuparem com infraestrutura energética

(Whitepaper Amazon AWS) Analogia
Cloud x Matriz Energética
Marie Curie, 1927 Cientista polonesa
Nobel de Física em 1903 e
de Quìmica em 1911 Nada na vida
é para ser temido
E sim compreendido " " Nefofobia "Existem tantas fobias, que seria impossível escrever uma lista longa o suficiente para incluir todas elas."
(p.34)

Julio César: escuro.
Henrique III (rei da França): gatos.
Rainha Elizabeth I: rosas.
Sigmund Freud: trem.
César Rincón (toureiro famoso): ratos. (escotofobia) (felinofobia) (antofobia) (siderodromofobia) (surifobia) muitos clientes têm medo de nuvens :-) (nefofobia) Fonte: http://pt.wikipedia.org/wiki/Anexo:Lista_de_fobias Vencendo a Nefofobia Quando implementadas decentemente, plataformas de cloud muitas vezes superam plataformas "convencionais" em termos de segurança

Escalabilidade de agilidade do modelo de computação em nuvem são realmente dramáticas

Medo da disponibilidade do link pode ser minimizado com a utilização de redundância em nuvem híbrida Recomendações Firewalls físicos, no hypervisor e nas VMs
Separação de VLANs
Sistemas de prevenção de intrusão em VMs
Controles p/ evitar comunicações out-of-band
Isolamento de processos e recursos
Segmentar armazenamentos de dados por cliente
Autenticação forte, com múltiplos fatores
Separação de funções (supervisão/administrativa/operacional)
Monitoramento contínuo de perímetro (real time) Fonte: PCI DSS Cloud Computing Guidelines na nuvem Obrigado! Saiba mais sobre a paySmart
e a migração EMV na nuvem
em


(na CARDS 2013, estamos na
rua D, próximo ao coffee break) www.paySmart.com.br Valor agregado Fonte http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf Benefícios de termos migrado nossa oferta para a nuvem: Com cloud computing somos
até 10 vezes mais rápidos
(30 dias ao invés de 10 meses) Com cloud computing eliminamos
a necessidade de investimentos
em hardware, software, instalação
e integração
Full transcript