Στην παρούσα διπλωματική εργασία εξετάζονται οι ηλεκτρονικές πληρωμές.
Αναφέρονται οι κατηγορίες και οι τρόποι με τους οποίους αυτές διεκπεραιώνονται,
εστιάζοντας σε αυτές που γίνονται με τη χρήση τερματικής συσκευής P.O.S. Για
αυτές γίνεται εκτενής αναφορά στο επίπεδο μεταφοράς και επεξεργασίας
δεδομένων, καθώς και στο νομικό πλαίσιο – εγχώριο και ευρωπαϊκό – το οποίο
αφορά αυτές τις συναλλαγές. Τα παραπάνω περιγράφονται πάντα με γνώμονα
πτυχές της ιδιωτικότητας και της ασφάλειας για τον κάτοχο της κάρτας, την οποία
χρησιμοποιεί για αυτές τις συναλλαγές στα τερματικά P.O.S. Σε τέτοιου τύπου
συναλλαγές, το πολυτιμότερο αγαθό είναι τα προσωπικά δεδομένα του κατόχου
της κάρτας. Εφαρμόζεται για αυτό το σύστημα συναλλαγής σε πρώτη φάση η
μεθοδολογία ανάλυσης κινδύνων OCTAVE Allegro, η οποία καταλήγει σε
καθορισμό των κρίσιμων δεδομένων, των κινδύνων που σχετίζονται με αυτά και
των τρόπων αντιμετώπισης των. Ακολούθως, αναφέρονται οι αντίστοιχες
απαιτήσεις ασφάλειας κατά το πρότυπο PCI/DSS, οι οποίες έρχονται να
συμπληρώσουν τη μεθοδολογία. Θα πρέπει να έχουμε υπόψιν ότι η συμμόρφωση
κατά PCI/DSS δεν αποτελεί και αντιμετώπιση των ευπαθειών σε συστήματα
συναλλαγών P.O.S, καθότι οι περισσότερες αν όχι όλες οι επιτυχημένες επιθέσεις
έχουν γίνει σε συστήματα που είναι συμμορφωμένα με αυτό το πρότυπο. Συνεπώς,
το καλύτερο δυνατό για έναν οργανισμό ως προς το αποτέλεσμα, είναι αφενός η
συνέπεια ως προς τη μεθοδολογία OCTAVE Allegro , αφετέρου η υλοποίηση
βέλτιστων πρακτικών δεδομένης της συνολικής εμπειρίας και τέλος η
συμμόρφωση κατά PCI/DSS. Τέλος, αναλύεται το πρότυπο EMV, το οποίο αφορά
τα δεδομένα της κάρτας και παρουσιάζεται ένα αρχείο καταγραφής συμβάντων
κατά τη διενέργεια μιας συναλλαγής.
Περιέχει: πίνακες, εικόνες, σχήματα.
Present thesis is dealing with electronic payments through POS terminals. A list
of the categories and the ways in which these are taking place, is presented,
focusing on those that are made by POS terminal equipment. Extensive reference
is made for the transport layer and data processing, as well as the legal framework
– domestic and European – which deals with these transactions. The above are
analysed, taking aspects of privacy and security for the holder of the card used
for these transactions in POS terminals. In such transactions, the asset of the
greatest value is the personal data of the cardholder. The OCTAVE Allegro risk
analysis methodology is applied for this transaction system in the first phase,
which results in a determination of critical data, the risks associated with them
and how to troubleshoot. Coming up next, the corresponding security
requirements according to the standard PCI/DSS are highlighted and will
complement the OCTAVE methodology. It should be borne in mind that the
PCI/DSS compliance is not a means of addressing vulnerabilities in POS transaction
systems, because most, if not all, successful attacks have been made on systems
that are built to comply with this standard. Therefore, the optimum an
organization should do, is first be consistent with the OCTAVE Allegro
methodology secondly implement best practices in view of overall experience and
lastly follow the PCI/DSS compliance. Finally, we analyze the EMV standard, which
has to do with the data which reside inside the chip & PIN card and a emulation
of a transaction and the corresponding log file is presented.
