MyPOSter: Security & Confidentiality of data and transactions made by POS terminals

δείτε την πρωτότυπη σελίδα τεκμηρίου
στον ιστότοπο του αποθετηρίου του φορέα για περισσότερες πληροφορίες και για να δείτε όλα τα ψηφιακά αρχεία του τεκμηρίου*
κοινοποιήστε το τεκμήριο

2017 (EL)
MyPOSter: Ασφάλεια & Εμπιστευτικότητα δεδομένων και συναλλαγών από τερματικά POS
MyPOSter: Security & Confidentiality of data and transactions made by POS terminals

Χριστόπουλος, Ιορδάνης

Πικραμμένος, Ιωάννης
Μαυρομμάτης, Γεώργιος

Στην παρούσα διπλωματική εργασία εξετάζονται οι ηλεκτρονικές πληρωμές. Αναφέρονται οι κατηγορίες και οι τρόποι με τους οποίους αυτές διεκπεραιώνονται, εστιάζοντας σε αυτές που γίνονται με τη χρήση τερματικής συσκευής P.O.S. Για αυτές γίνεται εκτενής αναφορά στο επίπεδο μεταφοράς και επεξεργασίας δεδομένων, καθώς και στο νομικό πλαίσιο – εγχώριο και ευρωπαϊκό – το οποίο αφορά αυτές τις συναλλαγές. Τα παραπάνω περιγράφονται πάντα με γνώμονα πτυχές της ιδιωτικότητας και της ασφάλειας για τον κάτοχο της κάρτας, την οποία χρησιμοποιεί για αυτές τις συναλλαγές στα τερματικά P.O.S. Σε τέτοιου τύπου συναλλαγές, το πολυτιμότερο αγαθό είναι τα προσωπικά δεδομένα του κατόχου της κάρτας. Εφαρμόζεται για αυτό το σύστημα συναλλαγής σε πρώτη φάση η μεθοδολογία ανάλυσης κινδύνων OCTAVE Allegro, η οποία καταλήγει σε καθορισμό των κρίσιμων δεδομένων, των κινδύνων που σχετίζονται με αυτά και των τρόπων αντιμετώπισης των. Ακολούθως, αναφέρονται οι αντίστοιχες απαιτήσεις ασφάλειας κατά το πρότυπο PCI/DSS, οι οποίες έρχονται να συμπληρώσουν τη μεθοδολογία. Θα πρέπει να έχουμε υπόψιν ότι η συμμόρφωση κατά PCI/DSS δεν αποτελεί και αντιμετώπιση των ευπαθειών σε συστήματα συναλλαγών P.O.S, καθότι οι περισσότερες αν όχι όλες οι επιτυχημένες επιθέσεις έχουν γίνει σε συστήματα που είναι συμμορφωμένα με αυτό το πρότυπο. Συνεπώς, το καλύτερο δυνατό για έναν οργανισμό ως προς το αποτέλεσμα, είναι αφενός η συνέπεια ως προς τη μεθοδολογία OCTAVE Allegro , αφετέρου η υλοποίηση βέλτιστων πρακτικών δεδομένης της συνολικής εμπειρίας και τέλος η συμμόρφωση κατά PCI/DSS. Τέλος, αναλύεται το πρότυπο EMV, το οποίο αφορά τα δεδομένα της κάρτας και παρουσιάζεται ένα αρχείο καταγραφής συμβάντων κατά τη διενέργεια μιας συναλλαγής.
Περιέχει: πίνακες, εικόνες, σχήματα.
Present thesis is dealing with electronic payments through POS terminals. A list of the categories and the ways in which these are taking place, is presented, focusing on those that are made by POS terminal equipment. Extensive reference is made for the transport layer and data processing, as well as the legal framework – domestic and European – which deals with these transactions. The above are analysed, taking aspects of privacy and security for the holder of the card used for these transactions in POS terminals. In such transactions, the asset of the greatest value is the personal data of the cardholder. The OCTAVE Allegro risk analysis methodology is applied for this transaction system in the first phase, which results in a determination of critical data, the risks associated with them and how to troubleshoot. Coming up next, the corresponding security requirements according to the standard PCI/DSS are highlighted and will complement the OCTAVE methodology. It should be borne in mind that the PCI/DSS compliance is not a means of addressing vulnerabilities in POS transaction systems, because most, if not all, successful attacks have been made on systems that are built to comply with this standard. Therefore, the optimum an organization should do, is first be consistent with the OCTAVE Allegro methodology secondly implement best practices in view of overall experience and lastly follow the PCI/DSS compliance. Finally, we analyze the EMV standard, which has to do with the data which reside inside the chip & PIN card and a emulation of a transaction and the corresponding log file is presented.

Διπλωματική Εργασία / Thesis

ηλεκτρονικές συναλλαγές
OCTAVE Allegro

Ελληνικό Ανοικτό Πανεπιστήμιο (EL)
Hellenic Open University (EN)

Ελληνική γλώσσα


Ελληνικό Ανοικτό Πανεπιστήμιο / Hellenic Open University


*Η εύρυθμη και αδιάλειπτη λειτουργία των διαδικτυακών διευθύνσεων των συλλογών (ψηφιακό αρχείο, καρτέλα τεκμηρίου στο αποθετήριο) είναι αποκλειστική ευθύνη των αντίστοιχων Φορέων περιεχομένου.