银联卡账户信息安全管理与服务.ppt

1 当前账户信息安全风险形势 2 银联卡账户信息安全管理标准及工作机制 3 本年度合规评估暴露的主要问题 （二） 主要问题总结 三、本年度合规评估暴露的主要问题 （二） 主要问题总结 三、本年度合规评估暴露的主要问题 （二） 主要问题总结 三、本年度合规评估暴露的主要问题 （二） 主要问题总结 三、本年度合规评估暴露的主要问题 （二） 主要问题总结 三、本年度合规评估暴露的主要问题 保障账户信息安全 维护持卡人权益 * 1、简要介绍案件经过 2、介绍案件的损失情况 1、简要介绍四起案件。 2、分析泄漏方的行业特征，引出下一页 * 分析原因： 1、金融服务商或零售商业传输的都是金融卡片信息，直接和资金相关； 2、金融服务商业、医院零售商等用卡频繁，单位时间传输的信息量大，黑客可在相同时间内窃取更多的信息。 * 1、简要介绍表格内容 2、强调很多攻击事件的原因错综复杂，既有内部原因，又有外部原因。如TJX案例中公司违规留存问题，以及可能存在的密钥泄漏问题。 3、强调外部原因通常属于不可控，，而账户信息安全管理的重点是要加强内部的风险防控和管理。 * 1、概述数据。 2、强调实际损失可能远大于统计数据。 * * 账户信息泄漏后，可能引发多种欺诈，因此发卡机构增加验证手段等只能在末端和时候进行补救，更重要的是在泄漏源头加强风险防控。 * * 建议尽可能强化受众对ADSS标准的印象，在讲解过程中对“银联卡收单机构账户信息安全管理标准”的表述尽量使用“ADSS”标准用语。 制定背景 鉴于收单端是账户信息安全管理的重点，因此，在《账户信息与交易数据安全管理规则》基础上，针对收单环节的特点，提出更有针对性的账户信息安全管理标准，是一个一个的工作点，更具有操作性和可实现性； 《标准》里的工作要求是基本要求，是收单参与方必须遵守的“底线”；有条件的单位，应在《标准》基本原则和框架下，提出更高的账户信息安全管理要求 * * * * * * Welcome to HUAWEI Technologies presentation 银联卡账户信息安全管理与服务 二〇一一年三月 上海 1 当前账户信息安全风险形势 2 银联卡账户信息安全管理标准及工作机制 3 本年度合规评估暴露的主要问题 　根据中国银联不完全统计，此次事件波及国内10余家发卡机构，涉嫌泄漏卡片超过2.3万张，累计额度超过4亿元，截至目前已导致换卡成本和伪卡损失数百万元。 Heartland 大型账户信息泄漏事件 　2010年， 各国际卡组织向Heartland公司收取近1.9亿美元的赔偿金，用于向因本次泄露事件遭受损失的发卡机构支付换卡费用补偿和伪卡损失赔偿。 （一）当前境外账户信息安全风险形势 一、当前账户信息安全风险形势 VISA 6000万美元 Mastercard 4140万美元 Discovry 500 万美元 American Express 360万美元 （一）当前境外账户信息安全风险形势 发生时间 泄露方 泄漏点 信息泄漏数量 原因 2005 Card System （美国） 第三方处理机构后台数据库 4500万 黑客通过脚本程序侵入该公司的电脑系统，窃取后台数据库违规留存的包括磁道信息在内的账户信息 2007 TJX Cos集团 （美国） 零售商总部后台数据库 超过4570万 黑客通过无线网络入侵公司的后台数据库，窃取其违规留存的账户信息 2008 Hannaford超市（美国） 零售超市门店服务器 约420万 黑客入侵公司内部网络，在超市门店服务器中植入后门程序，在刷卡交易过程中截取持卡人账户信息 2009 Heartland公司（美国） 第三方处理机构交易处理系统 1.3亿 黑客在其交易处理系统植入恶意程序，窃取经该系统转接处理的交易卡片信息 据不完全统计，从2005年至2009年，国际上超大规模（泄漏信息超过100万条）的账户信息泄漏事件已发生16起 一、当前账户信息安全风险形势 （一）当前境外账户信息安全风险形势 一、当前账户信息安全风险形势 　　　据美国特工处的调查报告，金融机构、医院和零售业是信息泄漏的三大重灾区。在信息泄露案中的占比分别为 33%、23%和15%。 据美国的专门机构统计，截至2010年8月，美国金融行业的数据泄漏事件达41起，每周均有事件发生。 （一）当前境外账户信息安全风险形势 内部人窃取 8 19.5% 内部原因 56.07% 硬件失窃 7 17.07% 网上暴露信息 4 9.75% 遗失纸文档 4 9.75% 外部网络入侵 6 14.63% 外部原因 36.58% 侧录 5 12.20% 偶发攻击 4 9.75% 未知 3 7.31% 一、