MyPOSter: Security & Confidentiality of data and transactions made by POS terminals

 
This item is provided by the institution :

Repository :
Institutional Repository of the Hellenic Open University
see the original item page
in the repository's web site and access all digital files if the item*
share



Thesis (EN)

2017 (EN)
MyPOSter: Ασφάλεια & Εμπιστευτικότητα δεδομένων και συναλλαγών από τερματικά POS
MyPOSter: Security & Confidentiality of data and transactions made by POS terminals

Χριστόπουλος, Ιορδάνης

Πικραμμένος, Ιωάννης
Μαυρομμάτης, Γεώργιος

Στην παρούσα διπλωματική εργασία εξετάζονται οι ηλεκτρονικές πληρωμές. Αναφέρονται οι κατηγορίες και οι τρόποι με τους οποίους αυτές διεκπεραιώνονται, εστιάζοντας σε αυτές που γίνονται με τη χρήση τερματικής συσκευής P.O.S. Για αυτές γίνεται εκτενής αναφορά στο επίπεδο μεταφοράς και επεξεργασίας δεδομένων, καθώς και στο νομικό πλαίσιο – εγχώριο και ευρωπαϊκό – το οποίο αφορά αυτές τις συναλλαγές. Τα παραπάνω περιγράφονται πάντα με γνώμονα πτυχές της ιδιωτικότητας και της ασφάλειας για τον κάτοχο της κάρτας, την οποία χρησιμοποιεί για αυτές τις συναλλαγές στα τερματικά P.O.S. Σε τέτοιου τύπου συναλλαγές, το πολυτιμότερο αγαθό είναι τα προσωπικά δεδομένα του κατόχου της κάρτας. Εφαρμόζεται για αυτό το σύστημα συναλλαγής σε πρώτη φάση η μεθοδολογία ανάλυσης κινδύνων OCTAVE Allegro, η οποία καταλήγει σε καθορισμό των κρίσιμων δεδομένων, των κινδύνων που σχετίζονται με αυτά και των τρόπων αντιμετώπισης των. Ακολούθως, αναφέρονται οι αντίστοιχες απαιτήσεις ασφάλειας κατά το πρότυπο PCI/DSS, οι οποίες έρχονται να συμπληρώσουν τη μεθοδολογία. Θα πρέπει να έχουμε υπόψιν ότι η συμμόρφωση κατά PCI/DSS δεν αποτελεί και αντιμετώπιση των ευπαθειών σε συστήματα συναλλαγών P.O.S, καθότι οι περισσότερες αν όχι όλες οι επιτυχημένες επιθέσεις έχουν γίνει σε συστήματα που είναι συμμορφωμένα με αυτό το πρότυπο. Συνεπώς, το καλύτερο δυνατό για έναν οργανισμό ως προς το αποτέλεσμα, είναι αφενός η συνέπεια ως προς τη μεθοδολογία OCTAVE Allegro , αφετέρου η υλοποίηση βέλτιστων πρακτικών δεδομένης της συνολικής εμπειρίας και τέλος η συμμόρφωση κατά PCI/DSS. Τέλος, αναλύεται το πρότυπο EMV, το οποίο αφορά τα δεδομένα της κάρτας και παρουσιάζεται ένα αρχείο καταγραφής συμβάντων κατά τη διενέργεια μιας συναλλαγής.
Περιέχει: πίνακες, εικόνες, σχήματα.
Present thesis is dealing with electronic payments through POS terminals. A list of the categories and the ways in which these are taking place, is presented, focusing on those that are made by POS terminal equipment. Extensive reference is made for the transport layer and data processing, as well as the legal framework – domestic and European – which deals with these transactions. The above are analysed, taking aspects of privacy and security for the holder of the card used for these transactions in POS terminals. In such transactions, the asset of the greatest value is the personal data of the cardholder. The OCTAVE Allegro risk analysis methodology is applied for this transaction system in the first phase, which results in a determination of critical data, the risks associated with them and how to troubleshoot. Coming up next, the corresponding security requirements according to the standard PCI/DSS are highlighted and will complement the OCTAVE methodology. It should be borne in mind that the PCI/DSS compliance is not a means of addressing vulnerabilities in POS transaction systems, because most, if not all, successful attacks have been made on systems that are built to comply with this standard. Therefore, the optimum an organization should do, is first be consistent with the OCTAVE Allegro methodology secondly implement best practices in view of overall experience and lastly follow the PCI/DSS compliance. Finally, we analyze the EMV standard, which has to do with the data which reside inside the chip & PIN card and a emulation of a transaction and the corresponding log file is presented.

Διπλωματική Εργασία / Thesis

ηλεκτρονικές συναλλαγές
PCI/DSS
ιδιωτικότητα
OCTAVE Allegro
EFT/POS
EMV

Ελληνικό Ανοικτό Πανεπιστήμιο (EL)
Hellenic Open University (EN)

Greek

2017-09-24
2017-10-09T06:14:14Z


Ελληνικό Ανοικτό Πανεπιστήμιο / Hellenic Open University

0
12
103



*Institutions are responsible for keeping their URLs functional (digital file, item page in repository site)