Copyright 2013 Seppo Heikkinen, Jenna Lehtimäki, Joona Kannisto, Mikko Jaatinen, Markku Vajaranta, Arttu Niinimäki

Koko: px
Aloita esitys sivulta:

Download "Copyright 2013 Seppo Heikkinen, Jenna Lehtimäki, Joona Kannisto, Mikko Jaatinen, Markku Vajaranta, Arttu Niinimäki"

Transkriptio

1 KORTTIMAKSAMISEN TURVALLISUUS Tietotekniikan laitos Seminaariraportti, Tietoliikenteen turvallisuus (TLT-3601) Kevätlukukausi 2013 Seppo Heikkinen versio Copyright 2013 Seppo Heikkinen, Jenna Lehtimäki, Joona Kannisto, Mikko Jaatinen, Markku Vajaranta, Arttu Niinimäki Tämän teoksen käyttöoikeutta koskee lisenssi Creative Commons Nimeä - Tarttuva 3.0

2 1 SISÄLLYS 1 Johdanto Seminaari Raportin sisältö ja kirjoittajat EMV:n turvallisuus EMV:n tarkoitus ja toimintaperiaatteet Yleistä EMV:stä EMV:n mukainen maksutapahtuma EMV:n turvaominaisuudet EMV:n heikkoudet EMV-maksutapahtuman häiriköinti Kriitiikki EMV:tä vastaan EMV:n tulevaisuus Yhteenveto Lähteet PIN-koodi turvallisuusmekanismina PIN-koodin turvallisuus Hyödyt ja käyttötavat Heikkoudet ja murtotavat Uutisoidut tapaukset Korvaavat ratkaisut Yhteenveto Lähteet D SECURE Johdanto D Securen eri toimialueet Myöntäjä (Issuer) Välitoimija (Interoperability) Sopimuskumppani (Acquirer) Datan kulku eri toimialueiden välissä D Securen ongelmia... 26

3 4.3.1 Järjestelmän turvallisuus Suomen tilanne Vastuukysymykset Tulevaisuus Yhteenveto Lyhenneluettelo Lähteet NFC-tekniikkaan perustuva maksunvälitys Johdanto Maksunvälitys ja NFC Maksunvälityksen tavat NFC-maksamisen nykytila NFC-tekninen toiminta NFC-mobiilimaksaminen NFC maksamiseen perustuvia järjestelmiä Elisa Lompakko Google Wallet NFC-maksamiseen kohdistettuja hyökkäyksiä Yhteenveto Lyhenneluettelo Viitteet PCI-standardiperheen käyttäminen maksamisen turvaamisessa Johdanto PCI-Standardiperhe PCI DSS PA-DSS PTS P2PE Kritiikki PCI-standardeja kohtaan Yhteenveto Lyhenneluettelo Lähteet

4 3 1 JOHDANTO Tämä dokumentti on editoitu kooste seminaarikirjoitelmista, jotka syntyivät keväällä 2013 Tampereen teknillisen yliopiston (TTY) kurssilla. Tässä luvussa esitellään itse seminaaria ja sen sisältöä. 1.1 Seminaari Tietoturvallisuuden opintoihin TTY:llä kuuluu vuodesta 2003 asti kolmen opintopisteen laajuinen seminaari. Niitä järjestettiin aluksi vuosittain kaksi, sekä tietoliikenteeseen että tietotekniikkaan liittyvistä aihealueista. Sittemmin ollaan siirrytty vain yhteen seminaarikurssiin, jossa valitun teeman puitteissa lähestymistavan on saanut valita suhteellisen vapaasti. Tämä seminaarikurssi on jo kymmenes toteutuskerta ja aiemmat aiheet ja raportit ovat löydettävissä osoitteesta Tämän seminaarin teema liittyi alunperin maksamisen turvallisuuteen, josta osallistujien valitsemien aiheiden perusteella varsinaiseksi teemaksi muodostui Korttimaksamisen turvallisuus Yksittäisissä seminaaritöissä käsitellään siis erityisesti luottokortilla tapahtumaa maksamista ja siihen liittyviä turvamekanismeja. Luottokortit ovat maksamisen turvallisuuden kannalta oleellisia, sillä esimerkiksi Euroopassa vuoden 2011 luottokorttitransaktioiden suuruus oli luokkaa 3000 miljardia euroa. Lisäksi Europolin arvioiden mukaan vastaavasti luottokorttipetosten tuotto oli luokkaa 1,5 miljardia. Petoksia voidaan tehdä perinteisesti varastamalla kortteja, mutta myös kopioimalla niitä käyttäen erinäisiä teknisiä apuvälineitä. Jossain tapauksissa myös pelkkä luottokorttinumeron selville saaminen mahdollistaa väärinkäytökset. Näitä numeroita voidaan selvittää monilla eri tavoin, aina paperikuittien tutkimisesta lähtien. Erityisen kiinnostavia kohteita ovat kuitenkin erilaiset nettikaupat, jossa tietovuoto voi aiheuttaa miljoonien korttitietojen vuotamisen. Edellä mainittuja ongelmia varten on luotu mekanismeja ja standardeja, joilla väärinkäytöksiä pyritään suitsimaan. Seminaarin suoritusvaatimuksena oli seminaarityö ja esitelmä, sekä aktiivinen, oppiva osallistuminen seminaari-istuntoihin. Tähän liittyi oleellisesti toisen seminaarityön opponointi, joka sisälsi kyseiseen työhön tutustumisen etukäteen ja tarkentavien kysymyksien ja kommenttien esittämisen esityksen yhteydessä. Lisäksi lopuksi järjestettiin erillinen kuulustelu esitelmien aihepiireistä. Osallistujat saivat valita mieleisensä aiheen annetuista aihe-ehdotuksista tai esittää omaa, seminaarin teemaan liittyvää aihetta. Tällä kertaa ei kukaan kuitenkaan ehdottanut omaa aihetta.

5 4 1.2 Raportin sisältö ja kirjoittajat Kutakin esitelmää varten piti tehdä etukäteen noin 2000 sanan käsikirjoitus, jota myöhemmin muokattiin ottamaan huomioon keskustelussa tulleet näkökohdat ja opponentin ja kurssin vetäjän antamat kommentit. Lopullinen raportti koostettiin täydennetyistä käsikirjoituksista ja käsittää kaikkiaan viiden kirjoittajan tuotokset. Alla on esitetty raportissa esiintyvät aiheet ja kunkin vastuullinen kirjoittaja. Jenna Lehtimäki: EMV:n turvallisuus Mikko Jaatinen: PIN-koodi turvamekanismina Markku Vajaranta: 3-D Secure Joona Kannisto: NFC-maksamisen turvallisuus Arttu Niinimäki: PCI-standardiperheen käyttäminen maksamisen turvaamisessa Kaksi ensimmäistä aihetta liittyvät erityisesti kortin fyysiseen käyttämiseen, ns. Cardpresent -transaktioihin, eli kuinka voidaan varmistua, että korttia käyttää sen oikea omistaja. 3-D Secure käsittelee samaa problematiikkaa, mutta näkökulmana on luottokorttimaksamisen turvaaminen Internetissä. NFC-maksaminen kuvailee nousussa olevaa lähimaksamista ja sen turvallisuutta. Viimeisenä raportissa esitellään Payment Card Industry tietoturvastandardit, joilla pyritään ohjeistamaan kauppiaita suojaamaan käsittelemänsä korttinumerot.

6 5 5 2 EMV:N TURVALLISUUS EMV on Europayn, Mastercardin ja Visan kehittämä globaali sirukorttistandardi maksujärjestelmille. EMV:tä noudattavassa maksutapahtumassa asiakas valtuuttaa luotto- tai pankkitransaktion tyypillisesti asettamalla EMV-sirullisen maksukortin kortinlukijaan ja syöttämällä PIN-koodin. Kortinlukija varmistaa kortin aitouden, kun taas sirukortti tyypillisesti todentaa PIN-koodin ja autentikoi näin kortinhaltijan. Maksutransaktio autentikoidaan lopuksi MAC-tunnisteella (message authentication code). EMV-sirukortti parantaa huomattavasti maksamisen turvallisuutta magneettijuovakorttiin verrattuna, mutta EMV:kään ei ole aivan aukottoman turvallinen. Tässä raportissa kerrotaan ensin EMV:stä ja sen toiminnallisuudesta yleisellä tasolla, minkä jälkeen esitellään EMV:n keskeiset turvaominaisuudet. Tämän jälkeen siirrytään tarkastelemaan standardin heikkouksia, jotka pahimmillaan voivat mahdollistaa maksukorttien väärinkäytöksiä. Lopuksi kerrotaan lyhyesti EMV:n tulevaisuudesta ja esitetään raportin päätelmät. 2.1 EMV:n tarkoitus ja toimintaperiaatteet EMV-spesifikaatiot kuvaavat siruun tallennettujen kuluttajamaksusovellusten ja maksamisen mahdollistavien maksupäätejärjestelmien yhteensopivuuden vaatimukset [1, s. 6]. Ne perustuvat ISO/IEC standardiin ja niitä ylläpitää EMVCo. Seuraavassa luvussa kerrotaan lisää yleistä taustatietoa EMV:stä, minkä jälkeen kuvataan lyhyesti, miten EMV:n mukainen maksutapahtuma etenee Yleistä EMV:stä EMV-standardin spesifikaatiot julkaistiin ensimmäisen kerran vuonna 1996 ja vuoteen 2012 mennessä käytössä oli jo puolitoista miljardia EMV-sirukorttia ja noin 22 miljoonaa EMVmaksupäätettä [2]. Vuoden 2011 alussa noin 40 prosenttia myönnetyistä maksukorteista ja noin70 prosenttia maksupäätteistä olivat EMV-yhteensopivia lukuun ottamatta Yhdysvaltoja. EMV on laajalti käytössä erityisesti Euroopassa, ja Kanadassa EMV-sirukortteja alettiin myöntää vuonna Aasiassa, Afrikassa ja Latinalaisessa Amerikassa EMV:n käyttöönotto on vielä vaiheessa ja kyseisillä alueilla sen käytössä on suuria eroja eri maiden välillä. Australiassa puolestaan on massiivinen EMVimplementointi käynnissä. [2; 3.] EMV:n kehittämisen yksi päätavoite oli luoda yhtenäinen maailmanlaajuinen sirukorttistandardi korvaamaan Euroopan maiden lokaalit sirukorttiratkaisut, jotka eivät toimineet kuin paikallisilla markkinoilla [1, s. 6-7]. Tässä voidaan nähdä onnistuneen,

7 6 sillä noin 80 prosenttia Euroopan maksukorteista ovat nykyään EMV-sirullisia [2; 3]. Toinen prioriteetti oli tarjota kuluttajilleturvallisempi korttimaksamisen vaihtoehto magneettijuovakorttiin nähden. [1, s. 6-7.] Uusin versio EMV-spesifikaatioista on versio 4.3, joka julkaistiin vuonna Kontaktittomasta EMV:stä on omat ISO/IEC standardiin perustuvat spesifikaationsa, joista uusin versio 2.3 on julkaistu vuoden 2013 maaliskuussa. [2.] EMV perustuu muoviseen maksukorttiin tai henkilökohtaiseen laitteeseen kuten matkapuhelimeen upotettuun turvalliseen siruun, joka sisältää kuluttajan maksusovelluksen. Siru ei yksinään säilö dataa kuten magneettijuova vaan myös prosessoi itse dataa. [1, s. 6.] Siksi sitä ei myöskään voi kopioida ainakaan yhtä helposti kuin magneettijuovaa. EMV suojaa pankki- ja luottokorttitransaktiot autentikoimalla sekä kortin että sitä käyttävän asiakkaan kryptografisilla autentikointikoodeilla, digitaalisilla allekirjoituksilla sekä PIN-koodin syötöllä [4, s. 433]. Maksun suorittamiseksi sirun täytyy olla yhteydessä maksupäätteessä olevaan sirunlukijaan. Yhteys saadaan aikaiseksi joko kontaktin kautta, jolloin sirun on oltava fyysisesti lukijassa tai etänä, jolloin puolestaan riittää, että siru on tietyllä etäisyydellä sirunlukijasta. Maksupääte tai aktiivilaiteantaa sirulle virtaa, joka mahdollistaa sirun toiminnallisuuden [1, s. 6-7.] Etäluvussa merkittävässä roolissa on NFC-tiedonvälitys EMV:n mukainen maksutapahtuma EMV-standardin mukainen maksutapahtuma voidaan jakaa kolmeen osaan, jotka ovat: 1. kortin autentikointi 2. kortinhaltijan varmennus 3. transaktion hyväksyminen. Maksutapahtuma alkaa kortin autentikoinnilla, jossa maksupääte varmistaa kortin aitouden ja kortinantajan. Kun sirukortti asetetaan kortinlukijaan, maksupääte pyytää sirulta listan tuetuista sovelluksista ja valitsee niistä yhden. Tämän jälkeen maksupääte lukee kortilta erilaisia tietoja. Nämä tiedot sisältävät digitaalisen RSA-allekirjoituksen, joka luodaan kriittisistä dataelementeistä.[4, s.434.] Korttityypistä riippuen allekirjoitus on joko staattinen tai dynaaminen. Jos siru ei kykene itse suorittamaan RSAoperaatioita, kortinantaja on luonut sirulle staattisen allekirjoituksen sirun pysyvistä tiedoista. Dynaamisessa allekirjoituksessa siru puolestaan luo itse allekirjoituksen maksupäätteen ja sirun dataelementeistä. [5 s. 38, ] Jälkimmäisessä tapauksessa kortinantajan on tullut luoda sirulle oma asymmetrinen avainpari ja julkisen avaimen sertifikaattiallekirjoittamalla kortin julkinen avain [6, s. 9]. Allekirjoituksen validoimiseksi maksupäätteen on luettava kortilta varmenneviranomaisena toimivan maksukorttiyhtiön kortinantajalle myöntämä RSAsertifikaatti, joka linkittää kortinantajan allekirjoitusavaimen maksupäätteen tuntemaan korttijärjestelmän juuriavaimeen. Kortinantajan julkisella avaimella maksupääte pääsee käsiksi allekirjoitettuun dataan ja pystyy varmistamaan kortin kriittisten tietojen oikeellisuuden. Dynaamisen allekirjoituksen tapauksessa sirun julkisenavaimen varmentamiseksi tarvitaan myös tieto kortinantajan sirulle myöntämästä

8 7 sertifikaatista. Tätä kautta maksupääte saa selville sirun julkisen avaimen, jolla se verifioi allekirjoituksen. [5 s. 38, 53-54; 6, s. 9] Kortinhaltijan varmennus on toinen vaihe, joka alkaa varmennustavan neuvottelulla. Menetelmä määräytyy siruun tallennetun Cardholder Verification Method (CVM) -listan perusteella, joka määrittelee prioriteettijärjestyksessä, mitä menetelmää käytetään missäkin tilanteessa. Nykyään kortinhaltija varmennetaan suurimmassa osassa maksutapahtumia PIN-koodilla. Tällöin asiakas syöttää maksupäätteeseen PIN-koodin, joka yhteydettömässä offline-varmennuksessa lähetetään kortille verrattavaksi sirussa säilöttyyn koodiin. Pankkiautomaattien onlinevarmennuksessa PINkoodi puolestaan lähetetään kryptattuna kortinantajalle, joka varmentaa PIN-koodin. [4, s. 435.] EMV-maksutapahtumassa siru ohjaa maksupäätteen toimintaa ja voi esimerkiksi pakottaa maksun online-varmennukseen kortinantajan määrittelemien riskienhallintaparametrien perusteella. Kortinantaja määrittelee maksuun sovellettavat säännöt, jotka tallennetaan siruun. Jos maksupäätejärjestelmä ei pysty tarjoamaan säännöissä määriteltyjä palveluita, maksutapahtuma voidaan hylätä. [1, s. 17.] Viimeinen vaihe on transaktion hyväksyminen, jossa kortin antaneelta pankilta haetaan valtuutus maksutapahtumaan. Terminaali pyytää korttia luomaan kryptografisen MAC-tunnisteen (message authentication code) transaktion kriittisistä tiedoista. Tunniste luodaan maksukortin ja kortin antaneen pankin jakamalla symmetrisellä avaimella. [4, s. 436.] Näin ollen vain kortin antaja voi varmentaa MAC:n oikeellisuuden. MAC:n luomisessa käytetään yleensä 3DES:iä, mutta EMVstandardi salli myös AES:n käyttämisen [2]. Jos kyseessä on yhteystilainen eli online-transaktio, terminaali pyytää kortilta seuraavaksi hyväksymispyyntökryptogrammia eli ARQC:tä (authorization request cryprogram). Pyyntö sisältää transaktion kuvauksen ja tyypillisesti muun muassa TVR-tunnisteen (transaction verification results), joka indikoi, onnistuiko kortinhaltijan varmennus. Palautettava kryptogrammi puolestaan sisältää muun muassa IAD- (issuer application data) ja MAC-tunnisteen, jotka autentikoivat transaktion. [4, s.436.] IAD- ja TVR-tunnisteita käsitellään tarkemmin luvussa 3.2. Kortin hyväksyessä transaktion kortti palauttaa maksupäätteelle ARQC:n, jonka pääte lähettää edelleen kortinantajalle. Antaja tekee erilaisia tarkastuksia, joiden perusteella transaktio joko hyväksytään tai hylätään. Viimeisenä maksupääte pyytää vielä kortilta transaktion hyväksynnän osoittavaa transaktiosertifikaattia (transaction certificate, TC). Myös TC lähetetään kortinantajalleja varatoimenpiteenä maksupääte säilöö siitä kopion. Jos transaktio tapahtuu yhteydettömässä tilassa, maksupääte ei pyydä ARQC:tä vaan suoraan transaktiosertifikaattia ja kortinantaja hyväksyy transaktion jälkikäteen. [3, s. 436.] Finanssialan keskusliiton mukaan automaattisessa maksupäätevarmennuksessa käytetään TCP/IP yhteyttä, joka salataan pankista tilattavalla pankkien varmennepalvelun varmenteella. Maksunsaajan tulee varmistaa, että varmennusyhteydet ohjataan suorinta reittiä pankille tai muulle kortinantajalle [7, s. 12.].

9 8 2.2 EMV:n turvaominaisuudet Maksamisen turvallisuus ja maksukorttien väärinkäyttämisen estäminen ovat kuuluneet EMV:n kehittämisessä tärkeimpiin lähtökohtiin. Turvallisuuteen on standardissa panostettu paljon, ja magneettijuovakorttiin verrattuna EMV:ssä onkin kehittyneitä turvaominaisuuksia. Niiden johdosta maksukortin kopioiminen sekä luvaton käyttö on merkittävästi haastavampaa kuin magneettijuovakortin tapauksessa. Tässä luvussa esitellään keskeiset EMV:n turvaominaisuudet, jotka vähentävät väärennettyjen ja hukkuneiden tai varastettujen maksukorttien kautta tapahtuvia maksuhuijauksia. EMVCo listaa neljä eri EMV:n ominaisuutta, jotka varmistavat sirumaksamisen turvallisuuden. Ne ovat [1]: 1. kortin autentikointi eli maksutapahtuman vaihe 1 2. riskinhallinnan parametrit 3. transaktion autentikointi MAC-tunnisteella maksutapahtuman vaiheessa 3 4. kortinhaltijan varmennus eli maksutapahtuman vaihe 2. Ensimmäinen ominaisuus on sirukortin aitouden varmistava kortin autentikointi yhteydettömissä (offline) ja yhteystilaisissa (online) transaktioissa. [1, s. 7.] Offline-autentikoinnissa käytetään julkisen avaimen RSA-järjestelmää, mikä mahdollistaa sen, että autentikoinnin suorittamiseksi yhteyttä kortinantajaan ei tarvitse avata. Jos offline-autentikointia ei suoriteta, tulee maksutapahtumalle hakea online-varmennus. [1, s. 23.] Offline-autentikointi voidaan tehdä joko staattisella tai dynaamisella dataautentikoinnilla (static/dynamic data authentication; SDA/DDA). Kolmas vaihtoehto on yhdistetty data-autentikointi (combined data authentication), joka on variaatio DDA:sta. Näissä menetelmissä on eroavaisuuksia sekä toiminnallisuuden että turvallisuuden suhteen. DDA on voimakkaampi autentikoinnin keino, koska DDA osoittaa, että kortti on todella autentikoitu. SDA puolestaan osoittaa vain, että sirulta luettua maksusovellusdataa ei ole manipuloitu tai muutettu. Luvussa 4.1 kerrotaan lisää SDA- ja DDA-menetelmistä. CDA yhdistää dynaamisen allekirjoituksen ja sovelluskryptogrammin (application cryptogram, AC) pyynnön. Tämä tuo ylimääräisen turvakerroksen sekä nopeutta offline-transaktioihin. [6, s. 9] CDA on suunniteltu vastustamaan maksupäätteen hyökkäystä, jossa hyökkääjä yrittää läpäistä offlineautentikoinnin oikealla sirukortilla mutta sen jälkeen simuloi kortin toimintaa saadakseen transaktion hyväksyttyä. [1, s. 23.] Toinen EMV:n turvaominaisuus on riskinhallinnan parametrit, joiden avulla kortinantaja voi määritellä omia ehtojaan, joiden puitteissa korttia saa käyttää. Tämä mahdollistaa sen, että transaktio voidaan pakottaa online-varmennukseen, jos esimerkiksi kortin offline-luottorajat ovat ylittyneet. [1, s. 7.] Toisaalta tämä mahdollisuus on osaksi myös johtanut siihen, että jokainen kortinantaja on määritellyt omat EMV-maksusovelluksensa, mikä monimutkaistaa maksujärjestelmiä. Sen johdosta EMVCo on 2000-luvun puolivälissä tuonut implemetointiohjeita osaksi EMV-spesifikaatioita (CCD) sekä julkaissut erillisiä ohjeistuksia asiasta (CPA). [1, s. 10]

10 9 Toisaalta erilaisten EMV-toteutusten voidaan nähdä myös edistävän turvallisuutta, sillä yritetyt huijaukset eivät pakolla toimi jokaisessa maksujärjestelmässä, vaan vain tietyin ehdoin, kuten luvussa 3.2 huomataan. Riskienhallintaparametrien avulla kortinantajan on myös mahdollista huomata, kun korttia käytetään normaalista käytöksestä poikkeavasti, jolloin väärinkäytös voidaan estää. Tämä vaatii kuitenkin suurta sitoutumista ja kehitystyötä pankeilta, jotta parametrit olisivat optimaaliset varmistaen turvallisuuden mutta myös kortin käytettävyyden. Kolmantena EMV:tä määrittelevänä ominaisuutena EMVCo mainitsee transaktion varmennuksessa käytettävän maksudatan digitaalisen allekirjoituksen eli MAC-tunnisteen, joka sisällytetään TCviestiin ja online-varmennuksessa myös ARQC-viestiin. Neljäs ominaisuus eli kortinhaltijan varmennus minimoi mahdollisuuksia väärinkäyttää varastettuja tai hukattuja maksukortteja. [1, s. 7.] EMV tarjoaa kaksi uutta ominaisuutta kortinhaltijan varmennukseen magneettijuovakorttiin nähden. Ensimmäinen niistä on kortinantajan määrittelemä CVM-lista. Toinen ominaisuus on offline-pin, jonka avulla käyttäjän syöttämä PIN-koodi voidaan varmentaa myös ilman yhteyttä kortinantajaan. Sen toteuttamiseksi voidaan käyttää julkisen avaimen kryprografiaa. [1, s. 22.] EMV-standardin kehittämisen lisäksi EMVCo valvoo ja arvioi EMVmaksuympäristöä. Yrityksessä on työryhmä, joka arvioi, noudattavatko EMVmaksupäätteet riittävästi EMV-spesifikaatioita. Tason yksi tyyppihyväksyntä käsittelee päätteen tiedonsiirtoa sirunlukijan ja sirun välillä, kun taas tason kaksi tyyppihyväksyntä tarkastelee päätteen EMV-prosessointia suorittavaa ohjelmistoa. EMVCo:ssa on myös työryhmä, joka arvioi ja hyväksyy korttityyppejä. Yrityksessä suoritetaan lisäksi sirun turvallisuuden arviointeja, joiden tuloksia käytetään hyväksi maksujärjestelmien korttienhyväksyntäprosessissa. [1, s ] Arviointielinten avulla pyritään varmistamaan, että turvallista EMVstandardia sovelletaan turvallisessa ympäristössä. Kuitenkin sekä itse standardista että maksuympäristöstä on löydetty heikkouksia, jotka saattavat mahdollistaa väärinkäytöksiä. Näitä käsitellään seuraavassa luvussa. 2.3 EMV:n heikkoudet EMV-maksujärjestelmän laaja-alaisuuden vuoksi aukottoman turvallisten spesifikaatioiden määritteleminen on haastava, ellei jopa mahdoton tehtävä. Teknologian kehittyessä ja huijareiden viisastuessa alkujaan luodinvarmassakin menetelmässä voi ilmetä heikkouksia, joita huijarit käyttävät häikäilemättä hyväkseen. Tässä luvussa esitellään, mitä heikkouksia EMV-standardista on löydetty ja kuinka niiden kautta voi mahdollisesti tehdä hyökkäyksen. Tämän jälkeen kerrotaan kritiikistä, jota EMV on saanut osakseen EMV-maksutapahtuman häiriköinti Bond ym. [9, s. 3-4] ovat tarkastelleet, minkälainen vaikutus EMV:n käyttöönotolla on ollut maksukorttien väärinkäytöksiin Britanniassa. He huomasivat

11 EMV:n muuttaneen suuresti huijaustapoja mutta ei kuitenkaan vähentäneen maksuhuijauksia niin paljoa kuin odotettiin. Korttien väärentäminen ja varastettujen korttien hyväksikäyttäminen on EMV:n myötä vaikeutunut, mikä näkyy tilastoissa. Rikolliset siirtyivät uusiin huijaustapoihin, kuten huijaamaan maksutapahtumissa, joissa pankkikorttia ei käytetä. Tämän lisäksi korttihuijauksissa jatkettiin perinteisiä menetelmiä EMV-kortin magneettijuovan kautta, mutta uudet turvatoimet ovat suurilta osin estäneet niiden hyödyntämisen nykypäivänä. Tästä syystä huijareiden on pitänyt sittemmin keksiä kehittyneempiä menetelmiä maksukorttihuijauksiin. EMV-standardin mukaisen maksutapahtuman häiriköinti voi tapahtua joko protokollatason tai käytetyn algoritmin heikkouden kautta. Myös PIN-koodin syöttölaitteissa voi olla heikkouksia, jotka saattavat altistaa laitteet salakuuntelulle. Esimerkkinä mainittakoon Drimer ym. [8] tutkimus, jossa paljastui, että kaksi sertifioitua ja Briteissä laajassa käytössä olevaa PIN -syöttölaitetta Ingenico i3300 ja Dione Xtreme mahdollistavat korttitietojen ja PIN-koodien urkkimisen huonosti suojatuilta tietoliikenneyhteyksiltä. Bond ym. [9] puolestaan löysivät puutteita pankkiautomaattien luomista satunnaisluvuista, jotka eivät pakolla olekaan ollenkaan satunnaisia, vaan voivat olla ennustettavissa tietyn otannan perusteella. EMV-standardi ei aseta tarkkoja vaatimuksia satunnaislukugeneraattorille. Jos satunnaisluku on mahdollista ennustaa, hyökkääjä voi kerätä kortilta ARQkryptogrammeja ja käyttää niitä huijaukseen pankkiautomaatilla määriteltynä aikana tulevaisuudessa. Keräys voi käytännössä tapahtua esimerkiksi sorkitun maksupäätteen kautta. Tässä luvussa tarkastellaan kuitenkin pääasiassa itse EMVstandardia ja maksupäätteiden sekä EMVimplementointivaihtoehtojen tarkempi tarkastelu sivuutetaan. Murdoch ym. [4] tutkimus EMV:n turvallisuudesta on noteerattu laajasti alan kirjallisuudessa ja lehdistössä ja se on herättänyt huolta EMV:n ajanmukaisuudesta. He ovat löytäneet EMVprotokollasta heikkouden, jonka kautta on mahdollista suorittaa maksu aidolla sirukortilla tietämättä kortin PIN-koodia silloinkin, kun kauppias on reaaliaikaisessa yhteydessä kortinantajaan. Maksukortin väärinkäyttö on heidän kuvaamansa hyökkäyksen kautta mahdollista, kun kortinhaltijan varmennus tapahtuu offline-pin:llä riippumatta siitä, miten kortin autentikointi tapahtuu (SDA/DDA). Online-varmennuksessa eli esimerkiksi käteisnostossa hyökkäys ei toimi. Käytännössä huijari tekee Murdoch ym. [4] kuvaamassa huijauksessa man-in-the-middle -hyökkäyksen, jossa maksupäätteelle uskotellaan, että PIN-koodi on syötetty oikein. Sirukortille sen sijaan väitetään, että PIN-koodia ei syötetty ollenkaan, vaan kortinhaltija autentikoitiin jollain muulla tavalla. Hyökkäyksen mahdollistaa IAD- ja TVR-tunnisteiden puutteet, jotka johtavat siihen, että PIN-varmennusta ei autentikoida kiistattomasti. Vaikka IADtunniste yleensä osoittaa, yritettiinkö PIN-varmennusta vai ei, maksupääte ei pysty lukemaan tätä informaatiota, koska IAD:n muotoa ei ole määritelty EMV-standardissa, vaan se on riippuvainen kortinantajasta. Kortinantaja ei puolestaan tiedä, mitä varmennusmenetelmää maksupäätteen näkökulmasta käytettiin, koska TVR-tunniste ei sitä kerro. TVR erottelee kyllä eri virhetilanteet toisistaan, mutta varmennuksen onnistuessa se ei kerro, miten varmennus tapahtui. Tämä on Murdoch ym. [4] 10

12 11 mukaan vakava puute, joka saattaa selittää monet tapaukset, joissa epäillään huijausta, vaikka maksutapahtuma olisi kaupan kuitin mukaan PIN-verifioitu. eikä huijarin olisi mitenkään ollut mahdollista saada kortin PIN-koodia tietoonsa. Murdoch ym. [4] mukaan tämä huijaus ei tarvitse kuin nimeksi ohjelmointi- ja insinööritaitoja. Myös tarvittava laitteisto on helppo hankkia ja se voidaan piilottaa reppuun tai takin alle tai puristaa pieneen kokoon [4, s ] Kuten jo aiemmin mainittu, EMV:n SDA-protokolla jää turvallisuudessa selkeästi DDA:n varjoon, koska se ei autentikoi maksukorttia. SDA-kortti ei itse pysty suorittamaan RSA-operaatioita, minkä vuoksi se voi esittää maksupäätteelle vain staattisen sertifikaatin. Tämän seurauksena väärennetyllä kortilla on mahdollista läpäistä SDA-tarkistus ja suorittaa maksutapahtuma loppuun maksupäätteillä, jotka eivät ole reaaliaikaisessa yhteydessä pankkiin. Tällöin huijaus huomataan vasta, kun kortinantaja tarkistaa MAC-tunnisteen jälkikäteen. DDA-maksukorteissa tällainen huijaus ei onnistu, sillä ne allekirjoittavat maksupäätteen esittämän satunnaisluvun asymmetrisellä avaimella [1, s. 23; 4, s. 434.] Kuitenkin nykyään suuri osa maksupäätteistä on kytketty pankkiverkkoon, minkä johdosta huijaus ei yleisesti enää onnistu [vrt. 4, s. 434]. Myös EMV:n algoritmeista on löytynyt joitakin heikkouksia tietyissä EMV:n hyväksymissä olosuhteissa. Yksi esimerkki on RSA-algoritmi, kun samaa avainparia käytetään EMV-transaktiossasekä salaukseen että allekirjoitukseen. Allekirjoituksia hyödynnetään kortin autentikoinnissa DDAmenetelmässä ja transaktion varmennuksessa CDA:ssa. Salausta puolestaan voidaan käyttää offline- PIN-varmennuksessa, ja EMV-standardi sallii, että salaus tehdään samalla avainparilla kuin allekirjoitus. [10, s. 2-3.] Saman avainparin käyttäminen sekä allekirjoitukseen että salaukseen tuo suorituskykyetuja, sillä se vähentää siruun talletettavien sertifikaattien määrää, mutta saattaa mahdollistaa huijaustavan, jonka Degabriele ym. [10] esittelevät. Siinä huijari väärentää allekirjoituksen valitsemalleen viestille. Avuksi tarvitaan laitetta, joka kertoo, onko raakateksti muotoiltu oikein. Huijaus jakaantuu kolmeen osaan, jotka ovat blinding, oikeiden salatekstien etsiminen ja mahdollisten vastausten rajaaminen. Blinding suoritetaan kerran huijauksen alussa, jonka jälkeen suoritetaan iteroiden etsimistä ja rajaamista, kunnes jäljellä on vain yksi arvo [10, s. 2-3.] Degabriele ym. [10, s. 7-8] esittävät, kuinka hyökkäys etenee yhteydettömässä CDA-transaktiossa. Kortin autentikointi -vaiheessa häirintälaite vain välittää viestit sirun ja maksupäätteen välillä. Kuten Murdoch ym. [4] esittelemässä huijauksessa, PIN-koodin syöttövaiheessa laite todentaa maksupäätteelle minkä tahansa syötetyn PIN:n oikeaksi. Häirintälaite palauttaa tämän jälkeen maksupäätteelle TC:n, johon se laittaa satunnaisen arvon MAC-tunnisteeksi. Koska transaktio tapahtuu yhteydettömässä tilassa, virhe huomataan vasta jälkikäteen. Lopuksi TC:lle väärennetään allekirjoitus kolmivaiheisella hyökkäyksellä. Allekirjoituksen oikea muotoilu tarkistetaan sirulta PIN-koodin varmennuspyytöjen kautta, ja TC lähetetään maksupäätteelle transaktion loppuunsaattamiseksi.

13 12 Degabriele ym. [10] tarkastelevat kuvaamaansa hyökkäystä vain teoreettisella tasolla, ja toteavat käytännön toteutukselle olevan useita mahdollisia esteitä. Yksi näistä voi olla väärentämiseen tarvitseman ajan laukaisema tapahtuman keskeytys [10, s. 7-8.] Lisäksi offline-transaktiot eivät enää ole yleinen käytäntö. Kyseinen hyökkäys osoittaa kuitenkin, että EMV:n CDA-protokollassakin voi olla heikkouksia, sillä sen vaatima allekirjoitus voidaan väärentää Kriitiikki EMV:tä vastaan EMV on saanut osakseen myös jonkin verran kritiikkiä. Sitä on esimerkiksi kritisoitu vastuunsiirrosta pois pankeilta. Kun kortinhaltija on varmennettu allekirjoituksella, riitatilanteissa maksumieheksi joutuu yleensä kauppias. PIN-varmennuksessa puolestaan asiakas joutuu kärsimään kustannukset. Näin EMV:n kehittänyt pankkiteollisuus välttää kaikki maksuvelvoitteet, jos huijari onnistuu murtamaan järjestelmän ja suorittamaan PIN-koodilla verifioidun transaktion. [4, s. 433.] Maksajaksi joutuu tällöin huijauksen uhri eivätkä pankit, kaupat tai kansainväliset korttijärjestöt, jotka ovat kuitenkin mahdollistaneet huijauksen puutteellisella protokollalla tai huonolla ja turvattomalla EMV:n implemennoinnilla. Yhdeksi EMV:n heikkoudeksi on myös nostettu sen hidas kehitys. EMVprotokollaan ovat vaikuttamassa pankit, kaupat, maksupäätteiden valmistajat ja kansainväliset korttijärjestöt, joilla kaikilla on luonnollisesti omat intressinsä suojeltavina. Siksi yhteisen kehityspäätöksen tekeminen voi olla vaikeaa tai jopa mahdotonta, ja kuluttajat joutuvat tyytymään nykyiseen ratkaisuun, joka perustuu vuosikymmen sitten tehtyihin päätöksiin. [4, s. 434.] Hidas kehitys vaikuttaa suuresti myös siihen, miten EMV:n käyttöönottoa harkitsevissa maissa asiaan suhtaudutaan. Esimerkiksi Yhdysvalloissa asiantuntijat ovat huolissaan siitä, miten turvallinen EMV enää olisi, kun protokolla olisi vihdoin saatu vakiinnutettua maassa. Jo nyt teoreettisia ja todellisia huijaustapoja on keksitty useita ja oletettavaa on, että niitä keksitään vielä lisää. Tästä huolimatta asiantuntijat ovat kuitenkin yhtä mieltä siitä, että EMV on paras ratkaisu, mikä tällä hetkellä on saatavilla. [11.] Myös EMV-spesifikaatioiden laajuus ja kompleksisuus monine implementaatiovaihtoehtoineen saattaa kääntyä heikkoudeksi. Spesifikaatioiden perusteella ei pakolla ole mahdollista arvioida erilaisten vaihtoehtojen sopivuutta tiettyyn maksuympäristöön. Murdoch ym. [4] mukaan ne eivät myöskään tarjoa riittävän yksityiskohtaista ja selkeää tietoa. Tästä syystä spesifikaatioiden perusteella ei saa tarvittavaa ymmärrystä EMV:n protokollasta, uhkamallista ja turvapolitiikasta. [4, s. 440.] Toisaalta tällaisen ehdottoman tarkat turvaominaisuudet sisältävän standardin määrittelyssä on luonnollista ja lähes väistämätöntä, että spesifikaatioista tulee laajat ja monimutkaiset. Siksi kauppiaiden kannattaakin perehtyä paremmin EMVCo:n kirjoittamiin implementointiohjeisiin kuin itse standardin spesifikaatioihin. EMV-maissa myös jokaisella maalla on yleensä omat ohjeistuksensa EMV:n käytöstä. Suomessa ohjeistuksia tarjoaa Finanssialan Keskusliitto [7].

14 EMV:n tulevaisuus EMVCo jatkaa EMV:n kehitystyötä keskittyen erityisesti kahteen eri osaalueeseen: parantamaan nykyistä EMV-protokollaa tulevaisuuden vaatimusten mukaisiksi ja kehittämään globaalit standardit EMV-sirumaksamiseen etänä. EMVprotokollan kehittämisessä yksi tärkeä kehittämiskohde on RSA7:n korvaaminen elliptisten käyrien kryptografialla (Elliptic Curve Cryptography, ECC). [1.] ECC käyttää lyhyempiä avaimia ja on nopeampi kuin RSA. Avaimen pituus ei näiden vertailussavaikuta kielteisesti turvallisuuteen, sillä ECC pystyy tarjoamaan saman turvatason lyhyemmällä avaimella kuin RSA. [12.] Siirtyminen ECC:iin mahdollistaisi myös SDA:n, DDA:n ja CDA:N korvaamisen yhdellä dynaamisella offline data-autentikointitekniikalla. [1, s. 30.] Degabriele ym.[10] tukevat myös sitä, että elliptisten käyrien kryptografia olisi turvallisempi menetelmä allekirjoitukseen ja salaukseen EMV:ssä kuin RSA. EMVCo:n työryhmät suunnittelevat parhaillaan aikataulua ja tapaa, joilla voidaan toteuttaa tulevaisuudessa [1, s. 30.]. Tällä hetkellä näkyvissä ei ole varsinaista korvaajaa EMV-standardille. Oletettavaa onkin, että EMV-standardi on käytössä vielä pitkälle tulevaisuuteen ja se muuttuu yhä globaalimmaksi. 2.5 Yhteenveto EMV-standardin kehittämisessä turvallisuus on otettu huomioon monin erilaisin menetelmin, jotka yhdessä tekevät maksuhuijauksien tekemisestä entistä vaikeampaa. Turvallisuus on taattu erilaisilla kryptoprimitiiveillä, autentikointitunnisteilla ja - menetelmillä sekä varmenteilla. Tässä työssä tarkasteltiin EMV:n turvallisuutta EMV:n turvaominaisuuksien ja puutteiden kautta. Yhteenvetona aiheesta voi todeta, että EMV:n turvallisuus on suhteellisen tuore tutkimuskenttä, josta on yllättävän vähän tähän mennessä tehty tutkimuksia. EMV-sirukortilla maksamisen turvallisuus riippuu paljon implementaatiosta. Hyökkäyksiä tarkastellessa huomattiin esimerkiksi, että offline-transaktion turvallisuus on huonompi kuin onlinetransaktion, sillä transaktio varmennetaan kortinantajalta vasta jälkikäteen. PIN-koodin onlinevarmennus estää lähes kaikki tässä työssä esitellyt hyökkäykset. Lisäksi sirun ominaisuudet ja maksupääte vaikuttavat turvallisuuteen. Turvallisuuden voidaan katsoa menneen parempaan suuntaan, kun maksukorteissa on yhä kehittyneempiä ominaisuuksia ja offline-transaktiot ovat vähentyneet ja poistuvat luultavasti kokonaan. Kuten monissa muissa tietoturva-asioissa, EMV-maksujärjestelmissäkin sirun käyttäjän toiminta saattaa olla suurin riski, jota kautta esimerkiksi maksukortin PIN-koodi voi paljastua. Standardia itsessään voidaan mielestäni kuitenkin pitää vielä turvallisena. Alituinen kehittäminen on silti välttämätöntä, jotta EMV olisi myös tulevaisuudessa vähintään yhtä turvallinen.

15 Lähteet [1] EMVCo, LLC A Guide to EMV, Version 1.0. EMVCo, LLC. 35 p. [2] EMVCo, LLC. Homepage [WWW]. [viitattu ]. Saatavilla: [3] ACI. EMV around the world [WWW]. [viitattu ]. Saatavilla: [4] Murdoch, S. J., Drimer, S., Anderson, R. & Bond, M Chip and PIN is Broken IEEE Symposium on Security and Privacy, May, pp [5] EMVCo, LLC. EMV 4.3 Book 2 Security and Key Management 2011 EMV Integrated Circuit Card Specifications for Payment Systems. 162 p. [6] Smart Card Alliance Card Payments Roadmap in the United States: How Will EMV Impact the Future Payments Infrastructure? 2013 A Smart Card Alliance Payments Council White Paper.57 p. [7] Finanssialan keskusliitto. EMV-maksupäätejärjestelmä - Toiminnallinen kuvaus 2011 [WWW]. [viitattu ]. FK. Saatavilla: atejarjestelma.pdf [8] Drimer, S., Murdoch, S. J. & Anderson, R. Thinking inside the box: system-level failures of tamper proofing. IEEE Symposium on Security and Privacy, May, pp [9] Bond, M., Choudary, O., Murdoch, S. J., Skorobogatov, S. & Anderson, R. Chip and Skim: cloning EMV cards with the pre-play attack 2012 arxiv preprint arxiv: p. [10] Degabriele, J., Lehmann, A., Paterson, K., Smart, N. & Strefler, M. On the joint security of encryption and signature in EMV Topics in Cryptology CT-RSA 2012, pp [11] LaBarre, O. Experts Debate the Security of EMV 2001 [WWW]. Bank Systems & Technology [viitattu ]. Saatavilla: [12] Gupta, K. & Silakari, S. ECC over RSA for Asymmetric Encryption: A review 2012 International Journal of Computer Science Issues, 8, 3, pp

16 15 3 PIN-KOODI TURVALLISUUSMEKANISMINA Aiheessani esittelen missä PIN-koodia nykyään käytetään, miten sitä yritetään murtaa ja millaisissa tapauksissa. PIN (Personal identification number) on salasanana käytettävä numerosarja, jolla on tarkoitus varmistaa, että käyttäjällä on oikeus käyttää kyseistä korttia tai järjestelmää. Pääosin tulen käsittelemään PIN-koodin käyttöä maksuvälineen käyttäjän tunnistamiseen ja varmentamiseen, mutta myös muita tapauksia, kuten puhelimen avauskoodia tulen käsittelemään tässä työssä. PIN-koodin kehitti ja patentoi James Goodfellow jo vuonna 1966 [1]. Viime aikoina Suomessa on tullut esille myös useita erilaisia menetelmiä, joilla varkaat yrittävät urkkia pankkikorttien tunnuslukuja ja saavuttaa näin rahallista hyötyä itsellensä. PIN-koodi sisältää pääsääntöisesti aina numeroita, mutta poikkeuksia voi myös olla. Laitteet, joilla valvotaan esimerkiksi ihmisen kulkua tiettyihin paikkoihin, voivat sisältää kirjaimia. Tällaiset päätelaitteet eivät ole kovinkaan yleisiä, joten en perehdy niihin tässä sen enempää. 3.1 PIN-koodin turvallisuus PIN-koodi koostuu yleisesti neljästä joko käyttäjän valitsemasta numerosta tai korttiin tai laitteeseen valmiiksi asetetusta numerosarjasta. PIN-koodin pituudeksi on standardoitu (ISO ) 4-12 merkkiä, mutta käytettävyyssyistä yli kuuden numeron sarjaa ei suositella. PIN-koodi on erittäin yleinen tapa suojata esimerkiksi matkapuhelimen väärinkäyttöä tai pankkikorttien ja maksupäätteiden väärinkäyttöä [2]. Usein se on käytössä laitteissa tai korteissa, johon ei ole pääsyä muuta kuin itse suojatun välineen kautta. PIN-koodin suojaus on mahdollista murtaa etänä, esimerkiksi Bluetooth-yhteyden PIN-koodin murtamiseen ei nykytietokoneilla mene kymmenesosa sekuntiakaan mikäli koodi on neljän numeron mittainen [3]. Neljän numeron koodissa vaihtoehtoja on 10000, joten kaikkien kombinaatioiden testaamiseen ei vie kovinkaan kauaa. Usein laitteisiin on asetettu tietty määrä kertoja, joita käyttäjä saa yrittää ennen kuin laite menee kokonaan lukkoon, tai siihen tulee karenssiaika seuraavia yrityksiä varten. Nämä keinot ehkäisevät järjestelmällistä ja nopeaa suojauksen murtoa, joka tuo huomattavan paljon lisäsuojaa laitteille ja korteille. PIN-koodi tallennetaan usein laitteen tai kortin RAM-muistiin (Random Access Memory) 64-bittisellä tai vahvemmalla salauksella, jotta sen murtaminen olisi mahdollisimman haastavaa vaikka

17 16 murtajalla olisi kortti tai laite hallussa [2]. Vahvaa PIN-suojausta käytetään esimerkiksi verkkopankeissa, joissa tunnusluvut ovat kertakäyttöisiä. Kertakäyttöiset tunnusluvut voidaan myös laskea PIN-koodeiksi, vaikka ne eivät ole joka kerta samoja, eivätkä ole päivittäisessä käytössä. Tämä mahdollistaa sen, että vaikka murtautuja näkisi koodin jonka käyttäjä näppäilee kerran järjestelmään, ei se toimikaan enää seuraavalla kerralla ja käyttäjän tiedot pysyvät edelleen salassa. PIN-koodin vaihtaminen turvallisempaan ja pidempään koodiin riippuu täysin käytettävästä järjestelmästä. Maksukorttien koodin pituudet ovat aina neljän numeron mittaisia, eikä niitä voi vaihtaa muuten kuin hankkimalla uuden kortin toisin kuin esimerkiksi SIM-kortin koodi, jonka käyttäjä voi vaihtaa kuinka usein haluaa ja se voi olla myös pidempi kuin tuo edellä mainittu neljä numeroa. Vaihtaminen tapahtuu useasti syöttämällä ensin vanha koodi järjestelmään, jonka jälkeen voidaan syöttää haluttu uusi koodi Hyödyt ja käyttötavat PIN-koodilla varustetut sirulliset pankkikortit ovat nykyään käytössä melkein jokaisella pankilla muutamaa poikkeusta lukuun ottamatta. Tämä tekee maksutapahtumasta paljon turvallisemman, kuin pelkällä magneettijuovalla varustetulla kortilla maksettaessa. Pelkällä magneettijuovalla varustetuilla korteilla juuri kukaan ei tarkistanut allekirjoituksen vastaavuutta kuitin ja maksukortin välillä. Maksaessa pankkikortilla, maksupääte lähettää kyselyn pankkikortin sirulle ja vertaa niitä toisiinsa. Tämä tapahtuu verkottomassa tilassa, joten kyselyn väliin etänä on mahdotonta päästä väliin. Koodin tarkistuksen jälkeen maksutapahtuma jatkuu joissain tapauksissa, kuten Visa Electornin kanssa, kortin saldon varmistuksella verkon yli, jonka läpäistyään maksu on suoritettu. Pankkiautomaatti taasen tarkistaa PIN-koodin oikeuden verkon yli salattuna tietona tarkistaen kortin haltijalta, että käyttäjän syöttämä koodi on oikein. Kortin myöntäjä taasen asettaa kortin sirulle rajoja, joiden puitteissa rahaa voidaan myöntää käyttäjälle [4]. PIN-koodi on myös yksinkertainen tapa suojata muun muassa matkapuhelinten luvattomat käyttöönotot helposti ja nopeasti, jolloin käyttäjälle ei koidu turhaa vaivaa sen näppäilystä antaen kuitenkin riittävän suojan väärinkäyttäjiä vastaan. Esimerkiksi puhelimet harvoin sisältävät niin arkaluontoista materiaalia, että tarvittaisiin erittäin vahvaa suojausta väärinkäyttäjiä vastaan, jolloin PIN-koodi luontuu loistavasti tähän tarpeeseen. Mikäli käyttäjä osaa olla varovainen, eikä paljasta omaa koodiaan kenellekään muulle, on murtautujan käytännössä mahdoton murtaa esimerkiksi pankkikortin tunnusluku, vaikka murtautuja saisikin pankkikortin käyttöönsä. Kolme arvausta antaa murtautujalle 0,06% mahdollisuuden osua oikeaan numerosarjaan ilman minkäänlaista vihjettä mikä se voisi olla. PIN-koodi on usein tarpeeksi vahva tapa suojata haluttu materiaali, mikäli koodin valintaan käytetään edes hetki aikaa. Ei valita sitä helpoiten muistettavaa yhdistelmää tai suoraa linjaa päätelaitteen numerovalitsijasta, vaan numeroita sieltä täältä numerovalitsimesta. Suuret numerot eli yli viiden ovat esimerkiksi yleensä hyviä, sillä se esiintyvät harvemmin syntymäajoissa. Harvinaisin PIN-koodi erään tutkimuksen mukaan vuonna 2013 on 8068, joka ei muodosta mitään päivämäärää, vuosilukua tai

18 17 muutakaan järkevää lukua. Tällaiset koodit ovat hyviä ja jokaisen PIN-koodia suojaukseen käyttävän henkilön tulisikin muodostaa koodinsa täysin satunnaisia numeroita yhdistelemällä käyttämättä omaa syntymävuottansa tai helppoa numerosarjaa koodina. [5] Heikkoudet ja murtotavat Selvästi suurin heikkous suojausmenetelmässä on ihmisten laiskuus, tyhmyys ja kiinnostuksen puute PIN-koodin valinnassa. Usein valmiiksi asetetut koodit ovat joko 1234, 1111 tai 0000 ainakin neljä numeroa sisältävistä koodeista. Usein myös käyttäjän syntymäpäivä esiintyy koodissa, jolloin kortinhaltijan tunteva ihminen voi käyttää myös sitä tietoa murtautuessaan kortin tietoihin. Yksinkertaiset ja useita samoja numeroita sisältävät koodit valtaavatkin yleisimpien koodien kärkisijat. Yllättäen nämä ovat myös ne ensimmäiset vaihtoehdot, joita murtautuja yrittää laitteeseen käyttää. Käyttäjät jättävät valmiiksi asetetut koodit yleiseen käyttöön, koska ne ovat helppo muistaa. On arvioitu, että joka kymmenes PIN-koodi maailmassa on 1234 ja 20 suosituinta PINkoodia arvellaan kattavan noin 27% kaikista PIN-koodeista, jotka ovat ihmisten laitteissa ja korteissa käytössä [5]. Ihmisten muisti kykenee muistamaan vain tietyn määrän informaatiota, joten käyttäjät turvautuvat useasti helppoihin numerosarjoihin, jotka toistuvat kaikissa heidän omistamissaan laitteissa sekä korteissa. Vaikka useimmat laitteet tarjoavat mahdollisuuden asettaa pidempi kuin neljän numeron sarjan suojelemaan kortin takana sisältävää materiaalia, valitsevat käyttäjät valitettavasti lyhyen neljän numeron sarjan, koska aina on neljä numeroa riittänyt ja siihen voi asettaa vanhan tutun, jota on tullut käytettyä jo useamman vuoden ajan. Verrattuna harvinaisimpiin koodeihin, joiden keksiminen ilman apua ja oikeanlaisella laitteen lukitusjärjestelmällä on käytännössä mahdotonta, näitä yleisimpiä tulisi välttää mahdollisimman paljon mikäli haluaa säilyttää rahaa tai järjestelmän tietoja hyvässä tallessa. Valmiiksi asetetuissa PIN-koodeissa heikkouksia ovat muun muassa ainakin Suomessa oletuksellisesti käytössä oleva menetelmä postittaa pankkikortti ja sen tunnusluku välikäden kautta asiakkaalle, kuitenkin sillä tavalla, että tunnusluku ja pankkikortti postitetaan eri aikoihin. Tämä vähentää riskiä, että molemmat päätyvät saman aikaisesti väärälle henkilölle. On mahdollista, että kirjeet eivät päädy halutulle henkilölle, jolloin pankkikortti on väärän ihmisen hallussa ja täysin käyttövalmiina. Vaihtoehtoinen tapa olisi noutaa kumpainenkin postin konttorista, mutta tämä saattaa tuottaa asiakkaalle vaikeuksia, mikäli kotikonttori on esimerkiksi kaukana omasta asuinkunnasta. Valmiiksi asetetut koodit aiheuttavat myös käyttäjälle pään vaivaa, sillä unohduksia tapahtuu paljon useammin kuin itse asetetuilla koodeilla. Varsinkin pankkikortit menevät useamman yrityksen jälkeen lukkoon, jolloin käyttäjä joutuu turvautumaan pankin puoleen saadakseen käytettyä korttia. Näissä valmiiksi asetuissa koodeissa iso ongelma on myös, että kerran kun ihmiset eivät ole itse saaneet valita haluamaansa koodia, muistaminen vaikeutuu ja koodi tulee kirjoitettua paperille lähelle itse korttia. Nämä molemmat heikkoudet ovat enemmän järjestelyn heikkouksia kuin itse tekniikan, mutta selkeitä heikkouksia kuitenkin. Varkaan viedessä lompakon kortin mukana saattaa lähteä myös koodi, jonka jälkeen esimerkiksi pankkikortin rahat ovat

19 18 täysin varkaan saatavilla. Usein koodeja tallennettaan paperilappujen sijaan puhelimeen, jossa tieto ei ole sen paremmin tallessa. Tunnuslukuja tai koodeja ei tulisi kirjoittaa ikinä mihinkään paperille tai muulle hyökkäyksille alttiille järjestelmälle. Parasta olisi tallettaa tunnusluku omaan muistiin tai paikkaan, jonne hyökkääjän on vaikea päästä, esimerkiksi kassakaappiin. On olemassa myös järjestelmiä, joihin voi säilöä tärkeitä tunnuslukuja ja tietoja, jonne on helppo pääsy mobiilisti tai ainakin verkon ylitse. Tällaiset järjestelmät vaativat myös tunnistautumisen PIN-koodin tai muun vastaavan suojausmenetelmän avulla. Myös PIN-koodin syöttölaitteet saattavat sisältää tietoturvallisuuden kannalta heikkouksia, jotka altistavat kortin urkinnalle. Briteissä yleisesti käytössä olevat ja sertifikoidut Ingenico i3300 ja Dione Xtreme -syöttölaitteet mahdollistavat tutkimusten mukaan koodien vuotamisen ei halutuille tahoille huonosti suojattujen tietoliikenneyhteyksien kautta johon kolmannen osapuolen on mahdollista päästä väliin ja toimia kyselyn tilaajana [4]. Nykyisissä kosketusnäytöllisissä matkapuhelimissa PIN-koodia käytetään usein myös näytön lukitsemiseen. Kosketusnäyttöjen ongelmana on, että näyttöön jää sormenjälkiä, jotka mahdollistaa väärien käyttäjien murtautumiset itse laitteelle. Sormista irtoava rasva jää näytön pintaan kiinni, jolloin murtautuja voi päätellä, että näitä kohtia näytössä on paineltu useimmiten ja näin selvittää ainakin mitkä numerot suojauskoodissa esiintyvät. Puhelin sisältää useasti ei niin salaista materiaalia, joten turvakoodit ovat useasti yhtä todella heikkoja tai vielä useammissa tapauksissa jätetty kokonaan lisäämättä koko turvakoodia Uutisoidut tapaukset Yleisimpiä murtomenetelmiä, joita PIN-koodin murtamiseen on käytetty, ovat tunnuslukujen kalasteleminen sähköpostitse, jolloin käyttäjä itse kertoo tarvittavan salausavaimen murtautujalle. PIN-koodin osalta tämä ei ole niin yleistä kuin sähköpostien salasanojen kalastelussa, muta yleistä kuitenkin. Toinen hyvin yleinen tapa on salaa katsoa käyttäjän koodin naputtelua päätelaitteelle joko ihan fyysisesti läsnä ollessa käyttäjän naputellessa PIN-koodia tai vaihtoehtoisesti esimerkiksi kameran avulla tallentaa käyttäjän asettama koodi. Viime aikoina Suomessa on tullut ilmi useita tapauksia, joissa pankkiautomaatteihin on asennettu skimmauslaite sekä kamera tallentamaan käyttäjän PIN-koodin syöttö. Skimmauslaitteen tarkoitus on kopioida käyttäjän kortti, jolloin kopioidun kortin tiedot, sekä kameralle tallennettu PIN-koodi avaavat murtautujalle pääsyn käyttäjän tilille [6]. Usein tällaiset huijaukset ovat hyvin piilotettu pankkiautomaattiin, jotta käyttäjän olisi mahdollisimman vaikea havaita meneillä olevaa urkintaa. Käyttäjän kannalta kannattaakin pankkiautomaatilla tai maksuautomaatilla toimiessa suojata kaikki mahdolliset kulmat, joista tunnusluvun voisi nähdä. Valitettavan usein tapahtuu myös niin sanottua väkisin koodin talteenottoa, eli tapahtumaketjua, jossa käyttäjä pakotetaan antamaan koodi tai itse syöttämään koodi kyseiseen järjestelmään johon murtautujat sitten pääsevät. Vaikka tämä ei ole itse salauksen heikkoutta, liittyy se vahvasti kuitenkin menetelmiin, joita murtautujat käyttävät. Usein tapahtuu myös niin kutsuttua shoulder surfingia, jossa tunnusluvun

20 19 haluava taho joko seuraa paikanpäällä tunnusluvun naputtelua tai sitten juurikin kameran avulla saa selville oikean yhdistelmän. Tällaisten tapauksien takia on entistä tärkeämpää suojata hyvin oma koodi, jonka automaateilla päätelaitteisiin naputtaa. [7]. 3.2 Korvaavat ratkaisut PIN-koodi sisältää useita heikkouksia, eikä voida täysin taata, että koodin näppäillyt henkilö on kortin omistaja. Tulevaisuuden ratkaisut tulevatkin todennäköisesti pohjautumaan biometrisiin tunnisteisiin, kuten sormenjälkeen, ääneen, verkkokalvon tunnistamiseen tai ihmiseen integroituun tietosiruun. YK on luonut ICAO:n (kansainvälinen siviili-ilmailujärjestö) kanssa biometrisen passin, joka sisältää vähintään kasvokuvan biometrisenä tunnisteena. Kuvan lisäksi standardi mahdollistaa käyttäjien tunnistamisen sormenjäljen tai iiriksen avulla biometrisenä tunnisteena [8]. Ihon alle asetettavia siruja on käytetty tähän päivään mennessä testimielessä maksuvälineenä. VeriChip on siru, jota on käytetty maksuvälineenä, jossa ihon alle asetettu siru heilautetaan skannerin edessä, jolloin RFID-sirun sisältämä VeriChip antaa tiedot skannerille, joka tarkistaa maksutapahtuman läpiviennin [9]. Ihmiseen asennettua sirua voi käyttää myös moneen muuhun käyttötarkoitukseen kuin maksamiseen. Siru voi valvoa ihmisten elinten toimintaa, kuten sykettä ja verenpainetta. Sirua voi käyttää myös ihmisten paikantamiseen, jolloin kadoksissa olevat ihmiset olisivat muun muassa helpommin löydettävissä. Tämä tosin luo isoveli valvoo kuvitelman, koska joka hetki joku pystyy seuraamaan mihin tietty käyttäjä on tiettyyn aikaan menossa [10]. Ihmiseen asennettavalle sirulle löytyy varmasti tulevaisuudessa useita käyttötarkoituksia, se että onko maksaminen yksi niistä, niin sitä ei voi tietää. Ongelmia näistäkin menetelmistä löytyy, sillä ei täysin voida taata, että onko käyttäjän antama sormenjälki itse sormesta, joka laitteelle annetaan vai onko murtautuja ottanut jäljen jostain esineestä johon käyttäjä on koskenut. Täysin aukotonta systeemiä ihmisen identifikointiin on todella haastava kehittää, sillä ihmisellä tietoja, ruumiin osia, jälkiä, ääniä tai mitä ikinä käytetäänkin tunnistuksessa, voidaan kopioida murtautumistarkoituksena. Nykyteknologian avulla voidaan luoda melkein mitä tahansa, joten jos täysin aukoton keino tunnistaa käyttäjä olisi olemassa tai löydetty, olisi se jo varmaan kehitetty. Tällä hetkellä varmin keino on yhdistää monta eri teknologiaa, jolla yritetään olla varmoja käyttäjien identiteeteistä. PIN-koodi, sormenjälki, DNA-näyte, iiriksen tunnistus ja ääninäyte yhdistettynä menetelmänä kuulostaa jo täysin aukottomalta järjestelmältä, mutta kaikki näistä ovat murrettavissa tämän päiväisillä menetelmillä, joten täyttä varmuutta ei edes näillä saada käyttäjän identiteetistä. 3.3 Yhteenveto Yhteenvetona voidaan todeta, että vaikka PIN-koodi suojausmenetelmänä onkin vanha, niin sen käytännöllisyys ja helppokäyttöisyys on edelleenkin huippuluokkaa. Helposti muistetta ja lyhyt koodi antaa riittävästi suojaa vieläkin, mikäli käyttäjä itse

Sirulliset maksukortit ja niiden käyttö potilaan monipalvelupäätteessä

Sirulliset maksukortit ja niiden käyttö potilaan monipalvelupäätteessä Sirulliset maksukortit ja niiden käyttö potilaan monipalvelupäätteessä Arno Ekström Diplomityöseminaari 16.2.2010 Työn valvoja: Harri Haanpää Työ tehty Miratel Oy:lle Sisältö Työn tausta ja tavoitteet

Lisätiedot

Siru ja tunnusluku. Elokuu 2007

Siru ja tunnusluku. Elokuu 2007 Siru ja tunnusluku Elokuu 27 Siru ja tunnusluku Euroopassa siirrytään kortilla maksamisessa sirukortteihin ja sirukortit ovat laajasti käytössä jo useissa Euroopan maissa. Myös Suomessa on otettu sirukortit

Lisätiedot

OHJEET LIIKEPAIKOILLE

OHJEET LIIKEPAIKOILLE OHJEET LIIKEPAIKOILLE DINERS CLUB -KORTIN TUNNISTAMINEN Yhteistä kaikille Diners Club -korteille on vasemmassa yläkulmassa oleva Diners Clubin logo. Kortin etupuolelle on kohopainettu kortin numero, kortinhaltijan

Lisätiedot

DNSSec. Turvallisen internetin puolesta

DNSSec. Turvallisen internetin puolesta DNSSec Turvallisen internetin puolesta Mikä on DNSSec? 2 DNSSec on nimipalvelujärjestelmän (DNS) laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys. Teknisillä toimenpiteillä

Lisätiedot

KÄYTTÖOHJE Lumo-maksupääteratkaisu Ingenico IPP350 sirupääte

KÄYTTÖOHJE Lumo-maksupääteratkaisu Ingenico IPP350 sirupääte KÄYTTÖOHJE Lumo-maksupääteratkaisu Ingenico IPP350 sirupääte SISÄLTÖ 1. Sirupääte... 3 2. Maksukorttitapahtuma... 4 2.1 Tapahtumatyypin valinta (siru/juova tai näppäily)... 4 2.2 Maksukorttitapahtuma sirulla...

Lisätiedot

SALAUSMENETELMÄT. Osa 2. Etätehtävät

SALAUSMENETELMÄT. Osa 2. Etätehtävät SALAUSMENETELMÄT Osa 2 Etätehtävät A. Kysymyksiä, jotka perustuvat luentomateriaaliin 1. Määrittele, mitä tarkoitetaan tiedon eheydellä tieoturvan yhteydessä. 2. Määrittele, mitä tarkoittaa kiistämättömyys

Lisätiedot

RAHAXI Hypercom T2100

RAHAXI Hypercom T2100 RAHAXI Hypercom T2100 Käyttäjän Opas 1 SISÄLLYSLUETTELO... 1 1. RAHAXI PROCESSING OY... 2 1.1. Rahaxi-palvelu... 2 1.2. Yhteystiedot... 2 2. HYPERCOM T2100 MAKSUPÄÄTE... 3 2.1. Pakkauksen purkaminen...

Lisätiedot

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat

Lisätiedot

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus

Lisätiedot

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus 1 (7) PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus 18.04.2005 2 (7) Sisällysluettelo 1 REITTi -varmmennuspalvelun palvelukuvaus... 3 1.1 REITTi -varmennuspalvelu... 3 2 Tekninen toteutus... 4

Lisätiedot

1.1 Maksupäätteen kytkeminen 2 1.2 Yhteyden testaus 3

1.1 Maksupäätteen kytkeminen 2 1.2 Yhteyden testaus 3 SISÄLLYS: 1. ENNEN KÄYTTÖÖNOTTOA 1.1 Maksupäätteen kytkeminen 2 1.2 Yhteyden testaus 3 2. TAPAHTUMAT 2.1 Maksutapahtuman teko sirulla 4 2.2 Maksutapahtuman teko juovalla 6 2.3 Offline tapahtuman teko 7

Lisätiedot

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1 PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 Nixu 2014 1 Yleistä PCI DSS standardin kehittämisestä PCI SSC (Payment Card Industry Security Standards Council)

Lisätiedot

Useimmin kysytyt kysymykset

Useimmin kysytyt kysymykset Useimmin kysytyt kysymykset Versio 1.1 1 1. Mikä mobiilikortti on? Mobiilikortti on matkapuhelimessa toimiva sovellus ja www.mobiilikortti.com osoitteessa oleva palvelu. Sovelluksen avulla voit siirtää

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai sähköiseen

Lisätiedot

BIOMETRINEN TUNNISTUS MIKA RÖNKKÖ

BIOMETRINEN TUNNISTUS MIKA RÖNKKÖ BIOMETRINEN TUNNISTUS MIKA RÖNKKÖ MITÄ ON BIOMETRINEN TUNNISTUS Tapa ja sen taustalla oleva teknologia, jolla henkilö voidaan tunnistaa käyttämällä yhtä tai useampaa biologista piirrettä. Nykyään osataan

Lisätiedot

Rahaxi Thyron maksupääte pikaohje

Rahaxi Thyron maksupääte pikaohje Rahaxi Processing Oy Asiakaspalvelu puh. 09-612 0730 Versio 1.0, 12.10.2006 1 Sisällysluettelo 1 Sisällysluettelo... 1 2 Maksupäätteen käynnistys... 2 3 Yleiset toiminnot... 2 3.1 Valikoiden selaus...

Lisätiedot

Digisovittimien testaus ja laitteiden linkitys HDpalveluissa. Timo Santi DigiPhilos Oy

Digisovittimien testaus ja laitteiden linkitys HDpalveluissa. Timo Santi DigiPhilos Oy Digisovittimien testaus ja laitteiden linkitys HDpalveluissa Timo Santi DigiPhilos Oy CA-linkitysprojektin tavoitteet Saada korkealaatuista, kuluttajaa kiinnostavaa HD-sisältöä tarjolle Suomen kaapelitelevisioverkkoihin.

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

MITEN MAKSAMISEN, TUNNISTAMISEN JA SÄHKÖISEN ASIOINNIN PELIKENTTÄ MUUTTUU? VAI MUUTTUUKO?

MITEN MAKSAMISEN, TUNNISTAMISEN JA SÄHKÖISEN ASIOINNIN PELIKENTTÄ MUUTTUU? VAI MUUTTUUKO? MITEN MAKSAMISEN, TUNNISTAMISEN JA SÄHKÖISEN ASIOINNIN PELIKENTTÄ MUUTTUU? VAI MUUTTUUKO? 3.6.2013 Teknologiateollisuus ry & Teleforum ry Pekka Laaksonen, johtava asiantuntija 1 TOISINAAN VANHA JA UUSI

Lisätiedot

Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys

Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys SISÄLLYSLUETTELO 1. Kaikille käyttäjille Johdanto...3 Tietoja oppaasta...3 Tavaramerkit... 4 Mikä on RICOH Smart Device Connector?...

Lisätiedot

KÄYTTÖOHJE Luottokunnan maksupääteratkaisu Ingenico ML-30 sirupääte

KÄYTTÖOHJE Luottokunnan maksupääteratkaisu Ingenico ML-30 sirupääte KÄYTTÖOHJE Luottokunnan maksupääteratkaisu Ingenico ML-30 sirupääte SISÄLTÖ 1. Sirupääte... 3 2. Maksukorttitapahtuma... 4 2.1 Tapahtumatyypin valinta (siru/juova tai näppäily)...4 2.2 Maksukorttitapahtuma

Lisätiedot

Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä

Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä Hyvä Salis Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä salasana. Jokainen salasanaan lisäämäsi kirjain

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

SIRU JA TUNNUSLUKU Kysymyksiä ja vastauksia

SIRU JA TUNNUSLUKU Kysymyksiä ja vastauksia 1 SIRU JA TUNNUSLUKU Kysymyksiä ja vastauksia Sisältö KORTTIEN KÄYTTÖÖNOTTO... 2 AIKATAULUT... 2 KORTTIEHDOT... 3 MITEN TOIMIA KAUPASSA TAI RAVINTOLASSA?... 3 TUNNUSLUVUN KÄYTTÖ... 5 ONGELMAT MAKSUTAPAHTUMAN

Lisätiedot

AMERICAN EXPRESS GLOBAL MERCHANT SERVICES. Aloituspaketti TYÖKALUT AMERICAN EXPRESS -KORTTIEN HYVÄKSYMISEEN MAKSUVÄLINEENÄ.

AMERICAN EXPRESS GLOBAL MERCHANT SERVICES. Aloituspaketti TYÖKALUT AMERICAN EXPRESS -KORTTIEN HYVÄKSYMISEEN MAKSUVÄLINEENÄ. AMERICAN EXPRESS GLOBAL MERCHANT SERVICES Aloituspaketti TYÖKALUT AMERICAN EXPRESS -KORTTIEN HYVÄKSYMISEEN MAKSUVÄLINEENÄ. Pikaopas Kiitos, että valitsit American Expressin! Tässä oppaassa on tärkeitä

Lisätiedot

Maksujärjestelmien tuleva kehitys

Maksujärjestelmien tuleva kehitys Maksujärjestelmien tuleva kehitys Suomen Pankki Harry Leinonen 12.10.2004 E-mail:etunimi.sukunimi@bof.fi Mitä on maksaminen 4 Maksaminen on korvauksen tai velan suorittamista 4 Rahalla maksaminen korvasi

Lisätiedot

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION Salasanojen hallinta Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION Restaurant Enterprise Solution Asiakirjan tarkoitus Tämä asiakirja kertoo tarvittavat säännöt kuinka hallinnoida RES salasanoja

Lisätiedot

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje Muistio 1 (7) Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje Sisällys 1 Johdanto... 1 2 Suojatun viestin vastaanottaminen... 1 3 Suojatun viestin lukeminen... 2 4 Vastaanotetun

Lisätiedot

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi Sonera ID huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi 2 Joko sinulla on henkilöllisyystodistus matkapuhelimessasi? Sonera ID -mobiilivarmenne on uudenlainen sähköinen henkilötodistus,

Lisätiedot

TALOUSVALIOKUNTA KANSALLISILLE PANKEILLE TASAPUOLISET TOIMINTAEDELLYTYKSET SIIRTOHINNAT SÄILYTTÄMÄLLÄ

TALOUSVALIOKUNTA KANSALLISILLE PANKEILLE TASAPUOLISET TOIMINTAEDELLYTYKSET SIIRTOHINNAT SÄILYTTÄMÄLLÄ TALOUSVALIOKUNTA KANSALLISILLE PANKEILLE TASAPUOLISET TOIMINTAEDELLYTYKSET SIIRTOHINNAT SÄILYTTÄMÄLLÄ Kirsi Klepp 20.11.2015 1 SIIRTOHINNAN MAKSAA KORTTITAPAHTUMIEN VASTAANOTTAJA KORTINMYÖNTÄJÄLLE Kortinhaltija

Lisätiedot

TILASTOTIETOJA PANKKIEN MAKSU- JÄRJESTELMISTÄ SUOMESSA 2002-2013 12.5.2014

TILASTOTIETOJA PANKKIEN MAKSU- JÄRJESTELMISTÄ SUOMESSA 2002-2013 12.5.2014 TILASTOTIETOJA PANKKIEN MAKSU- JÄRJESTELMISTÄ SUOMESSA 2002-2013 12.5.2014 1 TILASTOTIETOJA PANKKIEN MAKSUJÄRJESTELMISTÄ SUOMESSA 2002-2013 MAKSUJENVÄLITYS 1 Maksutapahtumat pankeissa 2 Shekkimaksut 3

Lisätiedot

Nordea Debit Nordea Electron

Nordea Debit Nordea Electron Nordea Pankki Suomi Oyj HKO232 11.13 Nordea Debit Nordea Electron Kortinhaltijan opas Debit- ja Electron -korteilla Nordea asioit kotimaassa, ulkomailla ja internetissä. Jos sinulla on kysyttävää kortistasi,

Lisätiedot

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services Järjestelmäarkkitehtuuri (TK081702) Standardoidutu tapa integroida sovelluksia Internetin kautta avointen protokollien ja rajapintojen avulla. tekniikka mahdollista ITjärjestelmien liittämiseen yrityskumppaneiden

Lisätiedot

Tietoturvavinkkejä pilvitallennuspalveluiden

Tietoturvavinkkejä pilvitallennuspalveluiden Tietoturvavinkkejä pilvitallennuspalveluiden turvallisempaan käyttöön 11/2014 Sisällysluettelo Johdanto... 3 1 Mikä on pilvipalvelu?... 3 2 Mikä on pilvitallennuspalvelu?... 3 3 Ovatko pilvipalvelut turvallisia?...

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

HUOMAUTUS! Älä kytke Cometia USB-kaapelilla tietokoneeseesi, kun lataat satunnaiskoodeilla.

HUOMAUTUS! Älä kytke Cometia USB-kaapelilla tietokoneeseesi, kun lataat satunnaiskoodeilla. RAHAN LATAAMINEN COMET-MAKSULAITTEESEEN SATUNNAISKOODEJA KÄYTTÄMÄLLÄ HUOMAUTUS! Älä kytke Cometia USB-kaapelilla tietokoneeseesi, kun lataat satunnaiskoodeilla. Voit käyttää Comet maksulaitteen lataamista

Lisätiedot

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen Enigmail-opas Enigmail on Mozilla Thunderbird ja Mozilla Seamonkey -ohjelmille tehty liitännäinen GPG-salausohjelmiston käyttöä varten. Sitä käytetään etenkin Thunderbirdin kanssa sähköpostin salaamiseen

Lisätiedot

Tietoturvan haasteet grideille

Tietoturvan haasteet grideille Tietoturvan haasteet grideille / Arto Teräs 2005-09-06 Kalvo 1(10) Tietoturvan haasteet grideille Arto Teräs FUNET CERT 10-vuotispäivät Espoo, 6.9.2005 Grid Tietoturvan haasteet grideille

Lisätiedot

eduroamin käyttöohje Windows

eduroamin käyttöohje Windows eduroamin käyttöohje eduroamissa liitytään verkkoon käyttäen 802.1x:ää. Tätä varten tarvitaan suplikantti ja tietokoneissa voidaan käyttää Windowsin tai Linuxin oma suplikanttia. eduroamiin voidaan myös

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai

Lisätiedot

T-110.5690 Yritysturvallisuuden seminaari

T-110.5690 Yritysturvallisuuden seminaari T-110.5690 Yritysturvallisuuden seminaari 28.9.2005 Mikko Hopeakivi Ross Anderson: Security Engineering Security Engineering: A Guide to Building Dependable Distributed Systems Ross Anderson Cambridgen

Lisätiedot

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,

Lisätiedot

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com SecGo Sähköinen allekirjoitus ja sen käyttö Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com Turvallinen Sähköinen Tiedonkulku Tunnistetut käyttäjät tietojärjestelmiin Pääsyoikeudet

Lisätiedot

010627000 Tietoturvan Perusteet Autentikointi

010627000 Tietoturvan Perusteet Autentikointi 010627000 Tietoturvan Perusteet Autentikointi Pekka Jäppinen 10. lokakuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 10. lokakuuta 2007 Autentikointi Aidoksi/oikeaksi tunnistaminen Tarvitaan

Lisätiedot

Web-palveluiden toteutus älykortille

Web-palveluiden toteutus älykortille älykortille Jukka Hänninen Valvoja: Prof. Raimo Kantola Ohjaaja: DI Kaj Höglund, Elisa Oyj Sisältö Työn tausta Standardointi Älykortin web-palvelin Toteutus Hyödyt ja mahdollisuudet Kohdatut ongelmat Lopputulos

Lisätiedot

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka The administrative process of a cluster Santtu Rantanen Valvoja: Prof. Jorma Jormakka Sisällysluettelo Johdanto Yleistä HA klustereista Tietoturva klustereissa Hallintaprosessi Johtopäätökset Johdanto

Lisätiedot

RiskPointer transaction decision framework. Pekka Honkonen CEO

RiskPointer transaction decision framework. Pekka Honkonen CEO RiskPointer transaction decision framework Pekka Honkonen CEO September 27, 2013 RiskPointer 2012 Tausta RiskPointer on yhtiö, joka perustettiin Nokialla kehitetyn teknologian pohjalta Perustuu OVI ja

Lisätiedot

Option GlobeSurfer III pikakäyttöopas

Option GlobeSurfer III pikakäyttöopas Option GlobeSurfer III pikakäyttöopas Laitteen ensimmäinen käyttöönotto 1. Aseta SIM-kortti laitteen pohjaan pyötätuen takana olevaan SIM-korttipaikkaan 2. Aseta mukana tullut ethernetkaapeli tietokoneen

Lisätiedot

F-Secure Mobile Security. Android

F-Secure Mobile Security. Android F-Secure Mobile Security Android F-Secure Mobile Security Sisällysluettelo 3 Sisällys Luku 1:Asennus...5 Asentaminen...6 Aktivointi...7 Luku 2:Luottamuksellisten tietojen suojaaminen...9 Anti-Theftin

Lisätiedot

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android 4.0.3 Ice Cream Sandwichissä.

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android 4.0.3 Ice Cream Sandwichissä. Y K S I K Ä Ä N A S I A K A S E I O L E M E I L L E LI I A N P I E NI TAI M I K Ä Ä N H A A S T E LI I A N S U U R I. Android Sähköpostin määritys Määrittämällä sähköpostitilisi Android-laitteeseesi, voit

Lisätiedot

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/ Tietoturva Internet kaupankäynnissä E-Commerce for Extended Enterprise 29.4.98 Jari Pirhonen (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com Tutkimus web-palveluista

Lisätiedot

Ristijärven metsästysseura tysseura osti lisenssin jahtipaikat.fi verkkopalveluun, jotta seuran

Ristijärven metsästysseura tysseura osti lisenssin jahtipaikat.fi verkkopalveluun, jotta seuran Ohjeet. Sivu 1/7 Tämä ohje on tarkoitettu Ristijärven metsästysseuran jäsenille. Ohjeen tarkoitus on opastaa kuinka seuran jäsenet saavat Jahtipaikat.fi verkkosivustolla olevan metsästyskartta sovelluksen

Lisätiedot

T-79.4501 Cryptography and Data Security

T-79.4501 Cryptography and Data Security T-79.4501 Cryptography and Data Security Lecture 11 Bluetooth Security Bluetooth turvallisuus Uhkakuvat Bluetooth turvallisuuden tavoitteet Linkkitason turvamekanismit Pairing menettely Autentikointi ja

Lisätiedot

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa? Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa? 2012-2013 Lasse Lensu 2 Ongelma 2: Miten tietoa voidaan (uudelleen)koodata tehokkaasti? 2012-2013 Lasse Lensu

Lisätiedot

RAHAXI Hypercom T4220. Käyttöohje

RAHAXI Hypercom T4220. Käyttöohje RAHAXI Hypercom T4220 Käyttöohje 1 Sisällysluettelo: 1 RAHAXI PROCESSING OY... 3 1.1 Rahaxi-palvelu... 3 1.2 Yhteystiedot... 3 2 HYPERCOM T4220 MAKSUPÄÄTE... 4 2.1 Pakkauksen purkaminen... 4 2.2 Maksupäätteen

Lisätiedot

Tuotetta koskeva ilmoitus

Tuotetta koskeva ilmoitus Suojaus Käyttöopas Copyright 2009 Hewlett-Packard Development Company, L.P. Tässä olevat tiedot voivat muuttua ilman ennakkoilmoitusta. Ainoat HP:n tuotteita ja palveluja koskevat takuut mainitaan erikseen

Lisätiedot

TIETOTURVAOHJE ANDROID-LAITTEILLE

TIETOTURVAOHJE ANDROID-LAITTEILLE TIETOTURVAOHJE ANDROID-LAITTEILLE 7.3.2015 ATK Seniorit Mukanetti ry / Android-kerho 2 1. Mitä teet, jos laite katoaa tai varastetaan Turvatoimet etukäteen: Kirjoita yhteystietosi laitteen takakanteen:

Lisätiedot

E-ilta: Biometrinen passi

E-ilta: Biometrinen passi P E O L A I I S S T I U O S S O A S S A T S OT O E-ilta: Biometrinen passi 7.5.2009 Mika Hansson mika.hansson@poliisi.fi Biometriahanke Biometriahankkeen I vaihe 2003-2006 Uusi passi Siru Biometria: kasvokuva

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

Tietoturva 811168P 5 op

Tietoturva 811168P 5 op 811168P 5 op 6. Oulun yliopisto Tietojenkäsittelytieteiden laitos Mitä se on? on viestin alkuperän luotettavaa todentamista; ja eheyden tarkastamista. Viestin eheydellä tarkoitetaan sitä, että se ei ole

Lisätiedot

EMV-MAKSUPÄÄTEJÄRJESTELMÄ TOIMINNALLINEN KUVAUS 21.10.2011 / V 4.2

EMV-MAKSUPÄÄTEJÄRJESTELMÄ TOIMINNALLINEN KUVAUS 21.10.2011 / V 4.2 2(20) Sisällysluettelo: 1 JOHDANTO... 3 2 KÄSITTEET... 4 3 Maksupäätejärjestelmä... 7 4 Sopimukset ja hyväksyttävät kortit... 7 5 Korttien tunnistaminen ja aitouden varmistaminen... 8 6 OSTO- JA KÄTEISNOSTOTAPAHTUMA...

Lisätiedot

Opiskelijana Suomessa tai maailmalla

Opiskelijana Suomessa tai maailmalla Opiskelijana Suomessa tai maailmalla Aalto-yliopisto opiskelijavaihto 8.5.2014 Danske opiskelijoille Danske määrittelee opiskelijoiksi kaikki 18-32 vuotiaat. Opiskelijat saavat Danske Bankista maksuttoman

Lisätiedot

Suomen Pankin Maksufoorumi

Suomen Pankin Maksufoorumi Suomen Pankin Maksufoorumi 10.5.2016 Finlandia-talo SAMI KARHUNEN SOLINOR OY MAKSAMISESTA VELOITUSSOPIMUKSEEN JA PALVELUIDEN KÄYTTÖÖN SEKÄ OSTELUUN MAKSAMISESTA SOVITAAN PALVELUNTARJOAJAN TAI KAUPAN KANSSA.

Lisätiedot

Maksamisen nykytila ja trendit 2014

Maksamisen nykytila ja trendit 2014 Maksamisen nykytila ja trendit 2014 Maksuneuvoston työryhmä 1 Maksuneuvoston kokous 6.11.2014 Julkinen 1 Toimeksianto ja reunaehdot Maksamisen kitkat asiointitilanteiden muutoksessa Yhteiskunnan isot trendit

Lisätiedot

Laskutuspalvelu Yksittäisen e-laskun lähetys

Laskutuspalvelu Yksittäisen e-laskun lähetys Laskutuspalvelu Yksittäisen e-laskun lähetys Laskutuspalvelun kautta voit tehdä ja lähettää e-laskuja yritys- ja kuluttaja-asiakkaille. Voit katsella ja tulostaa lähetettyjä e-laskuja sekä kopioida vanhan

Lisätiedot

Biometriikka. Markku Metsämäki, SFS/SR 302 Biometriikka puheenjohtaja Guiart Oy suunnittelujohtaja

Biometriikka. Markku Metsämäki, SFS/SR 302 Biometriikka puheenjohtaja Guiart Oy suunnittelujohtaja Biometriikka, SFS/SR 302 Biometriikka puheenjohtaja Guiart Oy suunnittelujohtaja SFS on jäsenenä kansainvälisessä standardisoimisjärjestössä ISOssa (International Organization for Standardization) ja eurooppalaisessa

Lisätiedot

Kuluttajaverkkolaskutus ja esilläpitopalvelu Suomessa

Kuluttajaverkkolaskutus ja esilläpitopalvelu Suomessa Kuluttajaverkkolaskutus ja esilläpitopalvelu Suomessa Palvelun kuvaus sivu 1/7 Tiedon asiakirjat: tekijänoikeudet Tämän asiakirjan sisältöä tai mitään sen osaa ei saa jäljentää yrityksenne ulkopuolella

Lisätiedot

TIETOTURVALLISUUDESTA

TIETOTURVALLISUUDESTA TIETOTURVALLISUUDESTA Tietoturvallisuus riippuu monista asioista. Tärkein niistä on käyttäjä itse! Käyttäjä voi toimia turvallisesti tai turvattomasti Tervettä harkintaa tarvitaan erityisesti Internetin

Lisätiedot

BioLock sormenjälkitunnistin

BioLock sormenjälkitunnistin BioLock sormenjälkitunnistin Valnes BioLock-sormenjälkitunnistin Valnes BioLock on ensimmäinen säänkestävä sisä- ja ulkokäyttöön soveltuva solmenjälkitunnistin, jonka tekee konttori- tai asuintiloihin

Lisätiedot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot Ohje 1 (5) Dnro: 11.11.2015 190/651/2015 Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot 1 Johdanto Tässä dokumentissa kuvataan ne kryptografiset vähimmäisvaatimukset,

Lisätiedot

Yhtenäinen euromaksualue SEPA

Yhtenäinen euromaksualue SEPA Yhtenäinen euromaksualue SEPA Miten maksaminen muuttuu ja kehittyy 1 Euro on paras asia EU:ssa Ostovoima säilyy vaikka liikutaan rajojen yli. Hintoja on helppo verrata. Ei rahanvaihto- tai siirtelykuluja.

Lisätiedot

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa!

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa! Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa! Onregon DPS-työpajat ovat Microsoft Enterprise Agreement asiakkaille sopivia työpajoja, joiden maksamiseen voi

Lisätiedot

PALAUTUKSEN PERUSTOIMINNALLISUUDEN KUVAUS

PALAUTUKSEN PERUSTOIMINNALLISUUDEN KUVAUS PALAUTUKSEN PERUSTOIMINNALLISUUDEN KUVAUS Palautuksen tekemiseen liittyvät seuraavat vaiheet: Sovi asiakkaan kanssa tuotteen palautuksesta haluamallasi tavalla Varmista, että asiakkaan sähköpostiosoite

Lisätiedot

XEROXIN TURVATIEDOTE XRX05-008 Versio 1.0 Muutettu viimeksi: 10/08/05

XEROXIN TURVATIEDOTE XRX05-008 Versio 1.0 Muutettu viimeksi: 10/08/05 XEROXIN TURVATIEDOTE XRX05-008 Xerox MicroServer -web-palvelimessa on haavoittuvuuksia, jotka saattavat mahdollistaa järjestelmän luvattoman käytön. Seuraavassa on ohjeet alla lueteltujen laitteiden tietojen

Lisätiedot

Päivi Heikkinen 8.1.2016. Julkinen

Päivi Heikkinen 8.1.2016. Julkinen Muistio 1 (5) Käteistä kaupan kassalta - yleinen palvelukuvaus 1 Käteisen saatavuus Suomessa 2 Käteistä kaupan kassalta Käteisen jakelukanavista merkittävin on Otto.-automaattiverkko, jonka kautta jaetaan

Lisätiedot

Sisällys Clerica Web-sovellusten käytön aloittaminen 2

Sisällys Clerica Web-sovellusten käytön aloittaminen 2 Sisällys Clerica Web-sovellusten käytön aloittaminen 2 Kirjautuminen järjestelmään 2 Myyntilaskut 2 Ostolaskujen käsittely 4 Uuden laskun syöttö 6 Palkkailmoituslomake 8 Palkkailmoituksesta kopio 9 Henkilötietojen

Lisätiedot

Uudet kansainväliset maksukortit ja maksupäätteet. Jo käytössä olevat SEPA-kelpoiset maksukortit. Sirua lukevien maksupäätteiden käyttöönotto

Uudet kansainväliset maksukortit ja maksupäätteet. Jo käytössä olevat SEPA-kelpoiset maksukortit. Sirua lukevien maksupäätteiden käyttöönotto 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Alkusanat Korttimaksaminen uudistuu Muistilista SEPAan siirtymiseen SEPAn käyttöönotto etenee Uudet kansainväliset maksukortit ja maksupäätteet Jo käytössä olevat SEPA-kelpoiset

Lisätiedot

TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA

TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA SUOMEN PANKKI Rahoitusmarkkina- ja tilasto-osasto 1 / 10 Versio Pvm Päivittäjä 1.0 20.2.2007 Härkönen, Tony 1.1 24.2.2007 Huhtaniska,

Lisätiedot

Standardien PCI DSS 3.0 ja Katakri II vertailu

Standardien PCI DSS 3.0 ja Katakri II vertailu Standardien PC DSS 3.0 ja Katakri vertailu Copyright Solinor Oy 2014 Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170 Standardien PC DSS

Lisätiedot

Tilastotietoja pankkien maksujärjestelmistä Suomessa 2001-2010 1.4.2011

Tilastotietoja pankkien maksujärjestelmistä Suomessa 2001-2010 1.4.2011 Tilastotietoja pankkien maksujärjestelmistä Suomessa 21-21 1.4.211 TILASTOTIETOJA PANKKIEN MAKSUJÄRJESTELMISTÄ SUOMESSA 21-21 MAKSUJENVÄLITYS Siirrot 1 Pankkien maksujenvälitys ja konekielisyysaste 2 Konekieliset

Lisätiedot

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014 SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014 1 TUNNISTAMINEN JA MAKSAMINEN VERKOSSA TÄYDENTÄÄ DIGITALISAATIOTA Dirty Money Banknotes are contaminated with an average

Lisätiedot

DumpDbox-ohjelmiston asennus- ja käyttöohjeet Sisällys

DumpDbox-ohjelmiston asennus- ja käyttöohjeet Sisällys DumpDbox-ohjelmiston asennus- ja käyttöohjeet Sisällys 1. Esittely... 2 2. Asennusohjeet... 2 3. Yleiskuva ohjelmistosta... 3 4. Tietojen siirtäminen D-Boxin avulla... 4 4.1. Piirturitiedostojen siirtäminen...

Lisätiedot

Tyky-Online: Sähköinen maksuväline liikuntaan ja kulttuuriin

Tyky-Online: Sähköinen maksuväline liikuntaan ja kulttuuriin Tyky-Online: Sähköinen maksuväline liikuntaan ja kulttuuriin Tutustu Tyky-Kuntoseteli -tuoteperheen uusimpaan jäseneen, helppoon ja monipuoliseen Tyky-Onlineen! turvallinen vaivaton nopea käyttöönotto

Lisätiedot

Hankinnan problematiikka

Hankinnan problematiikka Antti Kirmanen Hankinnan problematiikka Toimittajan näkökulma Asiakkaan näkökulma www.sulava.com www.facebook.com/sulavaoy 2 1. Ristiriita www.sulava.com www.facebook.com/sulavaoy 3 Asiakas haluaa Onnistuneen

Lisätiedot

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen Liikenteen turvallisuusvirasto 27.9.2012 Sisällysluettelo Luottamuksellista tietoa sisältävien sähköpostiviestien

Lisätiedot

Tämän ohjeen avulla pääset alkuun Elisa Toimisto 365 palvelun käyttöönotossa. Lisää ohjeita käyttöösi saat: www.elisa.fi/toimisto365-ohjeet

Tämän ohjeen avulla pääset alkuun Elisa Toimisto 365 palvelun käyttöönotossa. Lisää ohjeita käyttöösi saat: www.elisa.fi/toimisto365-ohjeet Elisa Toimisto 365 Pääkäyttäjän pikaopas 02/2015 Tämän ohjeen avulla pääset alkuun Elisa Toimisto 365 palvelun käyttöönotossa. Lisää ohjeita käyttöösi saat: www.elisa.fi/toimisto365-ohjeet Kirjautumalla

Lisätiedot

SEPA - muutoksia pienille ja keskisuurille yrityksille

SEPA - muutoksia pienille ja keskisuurille yrityksille SEPA - muutoksia pienille ja keskisuurille yrityksille Yleiset toimenpiteet SEPAan siirtymiseksi Käy läpi yrityksen käyttämät maksamiskanavat (verkkopankki, pankkiyhteysohjelma, jne) ja ohjelmistot, joissa

Lisätiedot

Miten SEPA-uudistus vaikuttaa kortilla maksamiseen yrittäjän näkökulmasta? Hanna Willner 15.11.2010

Miten SEPA-uudistus vaikuttaa kortilla maksamiseen yrittäjän näkökulmasta? Hanna Willner 15.11.2010 Miten SEPA-uudistus vaikuttaa kortilla maksamiseen yrittäjän näkökulmasta? Hanna Willner 15.11.2010 SEPA:n lähtökohdat Yhtenäinen euromaksualue tekee EU:n sisämarkkinoista ja yhteisestä valuutasta entistä

Lisätiedot

Sonyn suomenkielisen Web-portaalin käyttöohjeet

Sonyn suomenkielisen Web-portaalin käyttöohjeet Sonyn suomenkielisen Web-portaalin käyttöohjeet Sonyn Web-portaalin käyttöohjeet Seuraavilla sivuilla esiteltävien käyttöohjeiden yhteenveto: Sisäänkirjautuminen Uuden tai vaihtosalasanan hankkiminen.

Lisätiedot

Verkkopalkan palvelukuvaus

Verkkopalkan palvelukuvaus 27.1.2012 1 (6) Verkkopalkan palvelukuvaus 27.1.2012 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Verkkopalkka-palvelun toiminta palkanmaksajalle... 3 3 Verkkopalkan käyttöönotto... 4 4 Verkkopalkka-palvelun

Lisätiedot

SINGLE EURO PAYMENTS AREA, YHTENÄINEN EUROMAKSUALUE

SINGLE EURO PAYMENTS AREA, YHTENÄINEN EUROMAKSUALUE Mikä SEPA? Mikä SEPA? SINGLE EURO PAYMENTS AREA, YHTENÄINEN EUROMAKSUALUE 32 maata Euroopassa: EU-maat, ETA-maat (Islanti, Norja, Liechtenstein, Monaco) ja Sveitsi Yhtenäinen infrastruktuuri, säännöt ja

Lisätiedot

1. Uuden Ilmon käytön eroavaisuudet vanhasta Ilmosta lyhyesti

1. Uuden Ilmon käytön eroavaisuudet vanhasta Ilmosta lyhyesti Sisällysluettelo 1. Uuden Ilmon käytön eroavaisuudet vanhasta Ilmosta lyhyesti... 2 Huomattavaa kurssin tietojen täyttämisessä!... 2 2. Kurssikuvauksen ja muiden opiskelijoille näkyvien kurssitietojen

Lisätiedot

Pakettien kuvat, hinta, toimialat, logo.

Pakettien kuvat, hinta, toimialat, logo. Pakettien kuvat, hinta, toimialat, logo. Pointin palvelupaketit tekevät korttimaksujen vastaanottamisesta nautintoa! Premium Plus -paketti on Pointin lippulaiva, johon on sisällytetty kaikki korttimaksujen

Lisätiedot

Kytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas

Kytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas Sivu 1/5 Kytkentäopas Tuetut käyttöjärjestelmät Software and Documentation -CD-levyltä voi asentaa tulostinohjelmiston seuraaviin käyttöjärjestelmiin: Windows 8 Windows 7 SP1 Windows 7 Windows Server 2008

Lisätiedot

Pertti Pennanen License 1 (7) EDUPOLI ICTPro1 23.10.2013

Pertti Pennanen License 1 (7) EDUPOLI ICTPro1 23.10.2013 License Pertti Pennanen License 1 (7) SISÄLLYSLUETTELO Lisenssien hallinta... 2 Lisenssisopimus... 2 Yleisimmät lisensiointimallit... 2 OEM lisenssi... 3 Kelluva lisenssi... 3 Työasemakohtainen lisenssi...

Lisätiedot

SMS ÄLYPUHELIN. edellytykset. Suomen Pankin Maksufoorumi 29.5.2008 Reijo Svento FiCom ry. 29.5.2008 Reijo Svento 2

SMS ÄLYPUHELIN. edellytykset. Suomen Pankin Maksufoorumi 29.5.2008 Reijo Svento FiCom ry. 29.5.2008 Reijo Svento 2 Mobiilimaksamisen muodot Mobiilimaksamisen läpilyönnin edellytykset SMS ÄLYPUHELIN LÄHIASIOINTI (NFC) Suomen Pankin Maksufoorumi 29.5.2008 Reijo Svento FiCom ry 29.5.2008 Reijo Svento 2 Mobiili Metro/Raitiovaunu/Bussiliput

Lisätiedot

Virtuoosi POS-järjestelmien joukossa

Virtuoosi POS-järjestelmien joukossa Virtuoosi POS-järjestelmien joukossa Menestyvä liiketoiminta muistuttaa monin osin huippuunsa viritettyä orkesteria jossa eri osien sopusuhtainen vuorovaikutus ja integrointi luovat sykähdyttävän esityksen.

Lisätiedot

Langaton Tampere yrityskäyttäjän asetukset

Langaton Tampere yrityskäyttäjän asetukset Sivu 1/6 Langaton Tampere yrityskäyttäjän asetukset Tässä ohjeessa kerrotaan, miten teet kannettavan tietokoneesi ja WLANkännykkäsi määrittelyt. Ohjeet on tarkoitettu sellaiselle yritykselle, jolla on

Lisätiedot

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään.

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään. Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on -kirjautumispalvelu ja miten sitä käytetään. - 0 - Mikä on? Henkilökohtaisia tietojasi sisältävä verkkopalvelu on suojattu niin, että tietosi ovat turvassa.

Lisätiedot