Copyright 2013 Seppo Heikkinen, Jenna Lehtimäki, Joona Kannisto, Mikko Jaatinen, Markku Vajaranta, Arttu Niinimäki

Koko: px
Aloita esitys sivulta:

Download "Copyright 2013 Seppo Heikkinen, Jenna Lehtimäki, Joona Kannisto, Mikko Jaatinen, Markku Vajaranta, Arttu Niinimäki"

Transkriptio

1 KORTTIMAKSAMISEN TURVALLISUUS Tietotekniikan laitos Seminaariraportti, Tietoliikenteen turvallisuus (TLT-3601) Kevätlukukausi 2013 Seppo Heikkinen versio Copyright 2013 Seppo Heikkinen, Jenna Lehtimäki, Joona Kannisto, Mikko Jaatinen, Markku Vajaranta, Arttu Niinimäki Tämän teoksen käyttöoikeutta koskee lisenssi Creative Commons Nimeä - Tarttuva 3.0

2 1 SISÄLLYS 1 Johdanto Seminaari Raportin sisältö ja kirjoittajat EMV:n turvallisuus EMV:n tarkoitus ja toimintaperiaatteet Yleistä EMV:stä EMV:n mukainen maksutapahtuma EMV:n turvaominaisuudet EMV:n heikkoudet EMV-maksutapahtuman häiriköinti Kriitiikki EMV:tä vastaan EMV:n tulevaisuus Yhteenveto Lähteet PIN-koodi turvallisuusmekanismina PIN-koodin turvallisuus Hyödyt ja käyttötavat Heikkoudet ja murtotavat Uutisoidut tapaukset Korvaavat ratkaisut Yhteenveto Lähteet D SECURE Johdanto D Securen eri toimialueet Myöntäjä (Issuer) Välitoimija (Interoperability) Sopimuskumppani (Acquirer) Datan kulku eri toimialueiden välissä D Securen ongelmia... 26

3 4.3.1 Järjestelmän turvallisuus Suomen tilanne Vastuukysymykset Tulevaisuus Yhteenveto Lyhenneluettelo Lähteet NFC-tekniikkaan perustuva maksunvälitys Johdanto Maksunvälitys ja NFC Maksunvälityksen tavat NFC-maksamisen nykytila NFC-tekninen toiminta NFC-mobiilimaksaminen NFC maksamiseen perustuvia järjestelmiä Elisa Lompakko Google Wallet NFC-maksamiseen kohdistettuja hyökkäyksiä Yhteenveto Lyhenneluettelo Viitteet PCI-standardiperheen käyttäminen maksamisen turvaamisessa Johdanto PCI-Standardiperhe PCI DSS PA-DSS PTS P2PE Kritiikki PCI-standardeja kohtaan Yhteenveto Lyhenneluettelo Lähteet

4 3 1 JOHDANTO Tämä dokumentti on editoitu kooste seminaarikirjoitelmista, jotka syntyivät keväällä 2013 Tampereen teknillisen yliopiston (TTY) kurssilla. Tässä luvussa esitellään itse seminaaria ja sen sisältöä. 1.1 Seminaari Tietoturvallisuuden opintoihin TTY:llä kuuluu vuodesta 2003 asti kolmen opintopisteen laajuinen seminaari. Niitä järjestettiin aluksi vuosittain kaksi, sekä tietoliikenteeseen että tietotekniikkaan liittyvistä aihealueista. Sittemmin ollaan siirrytty vain yhteen seminaarikurssiin, jossa valitun teeman puitteissa lähestymistavan on saanut valita suhteellisen vapaasti. Tämä seminaarikurssi on jo kymmenes toteutuskerta ja aiemmat aiheet ja raportit ovat löydettävissä osoitteesta Tämän seminaarin teema liittyi alunperin maksamisen turvallisuuteen, josta osallistujien valitsemien aiheiden perusteella varsinaiseksi teemaksi muodostui Korttimaksamisen turvallisuus Yksittäisissä seminaaritöissä käsitellään siis erityisesti luottokortilla tapahtumaa maksamista ja siihen liittyviä turvamekanismeja. Luottokortit ovat maksamisen turvallisuuden kannalta oleellisia, sillä esimerkiksi Euroopassa vuoden 2011 luottokorttitransaktioiden suuruus oli luokkaa 3000 miljardia euroa. Lisäksi Europolin arvioiden mukaan vastaavasti luottokorttipetosten tuotto oli luokkaa 1,5 miljardia. Petoksia voidaan tehdä perinteisesti varastamalla kortteja, mutta myös kopioimalla niitä käyttäen erinäisiä teknisiä apuvälineitä. Jossain tapauksissa myös pelkkä luottokorttinumeron selville saaminen mahdollistaa väärinkäytökset. Näitä numeroita voidaan selvittää monilla eri tavoin, aina paperikuittien tutkimisesta lähtien. Erityisen kiinnostavia kohteita ovat kuitenkin erilaiset nettikaupat, jossa tietovuoto voi aiheuttaa miljoonien korttitietojen vuotamisen. Edellä mainittuja ongelmia varten on luotu mekanismeja ja standardeja, joilla väärinkäytöksiä pyritään suitsimaan. Seminaarin suoritusvaatimuksena oli seminaarityö ja esitelmä, sekä aktiivinen, oppiva osallistuminen seminaari-istuntoihin. Tähän liittyi oleellisesti toisen seminaarityön opponointi, joka sisälsi kyseiseen työhön tutustumisen etukäteen ja tarkentavien kysymyksien ja kommenttien esittämisen esityksen yhteydessä. Lisäksi lopuksi järjestettiin erillinen kuulustelu esitelmien aihepiireistä. Osallistujat saivat valita mieleisensä aiheen annetuista aihe-ehdotuksista tai esittää omaa, seminaarin teemaan liittyvää aihetta. Tällä kertaa ei kukaan kuitenkaan ehdottanut omaa aihetta.

5 4 1.2 Raportin sisältö ja kirjoittajat Kutakin esitelmää varten piti tehdä etukäteen noin 2000 sanan käsikirjoitus, jota myöhemmin muokattiin ottamaan huomioon keskustelussa tulleet näkökohdat ja opponentin ja kurssin vetäjän antamat kommentit. Lopullinen raportti koostettiin täydennetyistä käsikirjoituksista ja käsittää kaikkiaan viiden kirjoittajan tuotokset. Alla on esitetty raportissa esiintyvät aiheet ja kunkin vastuullinen kirjoittaja. Jenna Lehtimäki: EMV:n turvallisuus Mikko Jaatinen: PIN-koodi turvamekanismina Markku Vajaranta: 3-D Secure Joona Kannisto: NFC-maksamisen turvallisuus Arttu Niinimäki: PCI-standardiperheen käyttäminen maksamisen turvaamisessa Kaksi ensimmäistä aihetta liittyvät erityisesti kortin fyysiseen käyttämiseen, ns. Cardpresent -transaktioihin, eli kuinka voidaan varmistua, että korttia käyttää sen oikea omistaja. 3-D Secure käsittelee samaa problematiikkaa, mutta näkökulmana on luottokorttimaksamisen turvaaminen Internetissä. NFC-maksaminen kuvailee nousussa olevaa lähimaksamista ja sen turvallisuutta. Viimeisenä raportissa esitellään Payment Card Industry tietoturvastandardit, joilla pyritään ohjeistamaan kauppiaita suojaamaan käsittelemänsä korttinumerot.

6 5 5 2 EMV:N TURVALLISUUS EMV on Europayn, Mastercardin ja Visan kehittämä globaali sirukorttistandardi maksujärjestelmille. EMV:tä noudattavassa maksutapahtumassa asiakas valtuuttaa luotto- tai pankkitransaktion tyypillisesti asettamalla EMV-sirullisen maksukortin kortinlukijaan ja syöttämällä PIN-koodin. Kortinlukija varmistaa kortin aitouden, kun taas sirukortti tyypillisesti todentaa PIN-koodin ja autentikoi näin kortinhaltijan. Maksutransaktio autentikoidaan lopuksi MAC-tunnisteella (message authentication code). EMV-sirukortti parantaa huomattavasti maksamisen turvallisuutta magneettijuovakorttiin verrattuna, mutta EMV:kään ei ole aivan aukottoman turvallinen. Tässä raportissa kerrotaan ensin EMV:stä ja sen toiminnallisuudesta yleisellä tasolla, minkä jälkeen esitellään EMV:n keskeiset turvaominaisuudet. Tämän jälkeen siirrytään tarkastelemaan standardin heikkouksia, jotka pahimmillaan voivat mahdollistaa maksukorttien väärinkäytöksiä. Lopuksi kerrotaan lyhyesti EMV:n tulevaisuudesta ja esitetään raportin päätelmät. 2.1 EMV:n tarkoitus ja toimintaperiaatteet EMV-spesifikaatiot kuvaavat siruun tallennettujen kuluttajamaksusovellusten ja maksamisen mahdollistavien maksupäätejärjestelmien yhteensopivuuden vaatimukset [1, s. 6]. Ne perustuvat ISO/IEC standardiin ja niitä ylläpitää EMVCo. Seuraavassa luvussa kerrotaan lisää yleistä taustatietoa EMV:stä, minkä jälkeen kuvataan lyhyesti, miten EMV:n mukainen maksutapahtuma etenee Yleistä EMV:stä EMV-standardin spesifikaatiot julkaistiin ensimmäisen kerran vuonna 1996 ja vuoteen 2012 mennessä käytössä oli jo puolitoista miljardia EMV-sirukorttia ja noin 22 miljoonaa EMVmaksupäätettä [2]. Vuoden 2011 alussa noin 40 prosenttia myönnetyistä maksukorteista ja noin70 prosenttia maksupäätteistä olivat EMV-yhteensopivia lukuun ottamatta Yhdysvaltoja. EMV on laajalti käytössä erityisesti Euroopassa, ja Kanadassa EMV-sirukortteja alettiin myöntää vuonna Aasiassa, Afrikassa ja Latinalaisessa Amerikassa EMV:n käyttöönotto on vielä vaiheessa ja kyseisillä alueilla sen käytössä on suuria eroja eri maiden välillä. Australiassa puolestaan on massiivinen EMVimplementointi käynnissä. [2; 3.] EMV:n kehittämisen yksi päätavoite oli luoda yhtenäinen maailmanlaajuinen sirukorttistandardi korvaamaan Euroopan maiden lokaalit sirukorttiratkaisut, jotka eivät toimineet kuin paikallisilla markkinoilla [1, s. 6-7]. Tässä voidaan nähdä onnistuneen,

7 6 sillä noin 80 prosenttia Euroopan maksukorteista ovat nykyään EMV-sirullisia [2; 3]. Toinen prioriteetti oli tarjota kuluttajilleturvallisempi korttimaksamisen vaihtoehto magneettijuovakorttiin nähden. [1, s. 6-7.] Uusin versio EMV-spesifikaatioista on versio 4.3, joka julkaistiin vuonna Kontaktittomasta EMV:stä on omat ISO/IEC standardiin perustuvat spesifikaationsa, joista uusin versio 2.3 on julkaistu vuoden 2013 maaliskuussa. [2.] EMV perustuu muoviseen maksukorttiin tai henkilökohtaiseen laitteeseen kuten matkapuhelimeen upotettuun turvalliseen siruun, joka sisältää kuluttajan maksusovelluksen. Siru ei yksinään säilö dataa kuten magneettijuova vaan myös prosessoi itse dataa. [1, s. 6.] Siksi sitä ei myöskään voi kopioida ainakaan yhtä helposti kuin magneettijuovaa. EMV suojaa pankki- ja luottokorttitransaktiot autentikoimalla sekä kortin että sitä käyttävän asiakkaan kryptografisilla autentikointikoodeilla, digitaalisilla allekirjoituksilla sekä PIN-koodin syötöllä [4, s. 433]. Maksun suorittamiseksi sirun täytyy olla yhteydessä maksupäätteessä olevaan sirunlukijaan. Yhteys saadaan aikaiseksi joko kontaktin kautta, jolloin sirun on oltava fyysisesti lukijassa tai etänä, jolloin puolestaan riittää, että siru on tietyllä etäisyydellä sirunlukijasta. Maksupääte tai aktiivilaiteantaa sirulle virtaa, joka mahdollistaa sirun toiminnallisuuden [1, s. 6-7.] Etäluvussa merkittävässä roolissa on NFC-tiedonvälitys EMV:n mukainen maksutapahtuma EMV-standardin mukainen maksutapahtuma voidaan jakaa kolmeen osaan, jotka ovat: 1. kortin autentikointi 2. kortinhaltijan varmennus 3. transaktion hyväksyminen. Maksutapahtuma alkaa kortin autentikoinnilla, jossa maksupääte varmistaa kortin aitouden ja kortinantajan. Kun sirukortti asetetaan kortinlukijaan, maksupääte pyytää sirulta listan tuetuista sovelluksista ja valitsee niistä yhden. Tämän jälkeen maksupääte lukee kortilta erilaisia tietoja. Nämä tiedot sisältävät digitaalisen RSA-allekirjoituksen, joka luodaan kriittisistä dataelementeistä.[4, s.434.] Korttityypistä riippuen allekirjoitus on joko staattinen tai dynaaminen. Jos siru ei kykene itse suorittamaan RSAoperaatioita, kortinantaja on luonut sirulle staattisen allekirjoituksen sirun pysyvistä tiedoista. Dynaamisessa allekirjoituksessa siru puolestaan luo itse allekirjoituksen maksupäätteen ja sirun dataelementeistä. [5 s. 38, ] Jälkimmäisessä tapauksessa kortinantajan on tullut luoda sirulle oma asymmetrinen avainpari ja julkisen avaimen sertifikaattiallekirjoittamalla kortin julkinen avain [6, s. 9]. Allekirjoituksen validoimiseksi maksupäätteen on luettava kortilta varmenneviranomaisena toimivan maksukorttiyhtiön kortinantajalle myöntämä RSAsertifikaatti, joka linkittää kortinantajan allekirjoitusavaimen maksupäätteen tuntemaan korttijärjestelmän juuriavaimeen. Kortinantajan julkisella avaimella maksupääte pääsee käsiksi allekirjoitettuun dataan ja pystyy varmistamaan kortin kriittisten tietojen oikeellisuuden. Dynaamisen allekirjoituksen tapauksessa sirun julkisenavaimen varmentamiseksi tarvitaan myös tieto kortinantajan sirulle myöntämästä

8 7 sertifikaatista. Tätä kautta maksupääte saa selville sirun julkisen avaimen, jolla se verifioi allekirjoituksen. [5 s. 38, 53-54; 6, s. 9] Kortinhaltijan varmennus on toinen vaihe, joka alkaa varmennustavan neuvottelulla. Menetelmä määräytyy siruun tallennetun Cardholder Verification Method (CVM) -listan perusteella, joka määrittelee prioriteettijärjestyksessä, mitä menetelmää käytetään missäkin tilanteessa. Nykyään kortinhaltija varmennetaan suurimmassa osassa maksutapahtumia PIN-koodilla. Tällöin asiakas syöttää maksupäätteeseen PIN-koodin, joka yhteydettömässä offline-varmennuksessa lähetetään kortille verrattavaksi sirussa säilöttyyn koodiin. Pankkiautomaattien onlinevarmennuksessa PINkoodi puolestaan lähetetään kryptattuna kortinantajalle, joka varmentaa PIN-koodin. [4, s. 435.] EMV-maksutapahtumassa siru ohjaa maksupäätteen toimintaa ja voi esimerkiksi pakottaa maksun online-varmennukseen kortinantajan määrittelemien riskienhallintaparametrien perusteella. Kortinantaja määrittelee maksuun sovellettavat säännöt, jotka tallennetaan siruun. Jos maksupäätejärjestelmä ei pysty tarjoamaan säännöissä määriteltyjä palveluita, maksutapahtuma voidaan hylätä. [1, s. 17.] Viimeinen vaihe on transaktion hyväksyminen, jossa kortin antaneelta pankilta haetaan valtuutus maksutapahtumaan. Terminaali pyytää korttia luomaan kryptografisen MAC-tunnisteen (message authentication code) transaktion kriittisistä tiedoista. Tunniste luodaan maksukortin ja kortin antaneen pankin jakamalla symmetrisellä avaimella. [4, s. 436.] Näin ollen vain kortin antaja voi varmentaa MAC:n oikeellisuuden. MAC:n luomisessa käytetään yleensä 3DES:iä, mutta EMVstandardi salli myös AES:n käyttämisen [2]. Jos kyseessä on yhteystilainen eli online-transaktio, terminaali pyytää kortilta seuraavaksi hyväksymispyyntökryptogrammia eli ARQC:tä (authorization request cryprogram). Pyyntö sisältää transaktion kuvauksen ja tyypillisesti muun muassa TVR-tunnisteen (transaction verification results), joka indikoi, onnistuiko kortinhaltijan varmennus. Palautettava kryptogrammi puolestaan sisältää muun muassa IAD- (issuer application data) ja MAC-tunnisteen, jotka autentikoivat transaktion. [4, s.436.] IAD- ja TVR-tunnisteita käsitellään tarkemmin luvussa 3.2. Kortin hyväksyessä transaktion kortti palauttaa maksupäätteelle ARQC:n, jonka pääte lähettää edelleen kortinantajalle. Antaja tekee erilaisia tarkastuksia, joiden perusteella transaktio joko hyväksytään tai hylätään. Viimeisenä maksupääte pyytää vielä kortilta transaktion hyväksynnän osoittavaa transaktiosertifikaattia (transaction certificate, TC). Myös TC lähetetään kortinantajalleja varatoimenpiteenä maksupääte säilöö siitä kopion. Jos transaktio tapahtuu yhteydettömässä tilassa, maksupääte ei pyydä ARQC:tä vaan suoraan transaktiosertifikaattia ja kortinantaja hyväksyy transaktion jälkikäteen. [3, s. 436.] Finanssialan keskusliiton mukaan automaattisessa maksupäätevarmennuksessa käytetään TCP/IP yhteyttä, joka salataan pankista tilattavalla pankkien varmennepalvelun varmenteella. Maksunsaajan tulee varmistaa, että varmennusyhteydet ohjataan suorinta reittiä pankille tai muulle kortinantajalle [7, s. 12.].

9 8 2.2 EMV:n turvaominaisuudet Maksamisen turvallisuus ja maksukorttien väärinkäyttämisen estäminen ovat kuuluneet EMV:n kehittämisessä tärkeimpiin lähtökohtiin. Turvallisuuteen on standardissa panostettu paljon, ja magneettijuovakorttiin verrattuna EMV:ssä onkin kehittyneitä turvaominaisuuksia. Niiden johdosta maksukortin kopioiminen sekä luvaton käyttö on merkittävästi haastavampaa kuin magneettijuovakortin tapauksessa. Tässä luvussa esitellään keskeiset EMV:n turvaominaisuudet, jotka vähentävät väärennettyjen ja hukkuneiden tai varastettujen maksukorttien kautta tapahtuvia maksuhuijauksia. EMVCo listaa neljä eri EMV:n ominaisuutta, jotka varmistavat sirumaksamisen turvallisuuden. Ne ovat [1]: 1. kortin autentikointi eli maksutapahtuman vaihe 1 2. riskinhallinnan parametrit 3. transaktion autentikointi MAC-tunnisteella maksutapahtuman vaiheessa 3 4. kortinhaltijan varmennus eli maksutapahtuman vaihe 2. Ensimmäinen ominaisuus on sirukortin aitouden varmistava kortin autentikointi yhteydettömissä (offline) ja yhteystilaisissa (online) transaktioissa. [1, s. 7.] Offline-autentikoinnissa käytetään julkisen avaimen RSA-järjestelmää, mikä mahdollistaa sen, että autentikoinnin suorittamiseksi yhteyttä kortinantajaan ei tarvitse avata. Jos offline-autentikointia ei suoriteta, tulee maksutapahtumalle hakea online-varmennus. [1, s. 23.] Offline-autentikointi voidaan tehdä joko staattisella tai dynaamisella dataautentikoinnilla (static/dynamic data authentication; SDA/DDA). Kolmas vaihtoehto on yhdistetty data-autentikointi (combined data authentication), joka on variaatio DDA:sta. Näissä menetelmissä on eroavaisuuksia sekä toiminnallisuuden että turvallisuuden suhteen. DDA on voimakkaampi autentikoinnin keino, koska DDA osoittaa, että kortti on todella autentikoitu. SDA puolestaan osoittaa vain, että sirulta luettua maksusovellusdataa ei ole manipuloitu tai muutettu. Luvussa 4.1 kerrotaan lisää SDA- ja DDA-menetelmistä. CDA yhdistää dynaamisen allekirjoituksen ja sovelluskryptogrammin (application cryptogram, AC) pyynnön. Tämä tuo ylimääräisen turvakerroksen sekä nopeutta offline-transaktioihin. [6, s. 9] CDA on suunniteltu vastustamaan maksupäätteen hyökkäystä, jossa hyökkääjä yrittää läpäistä offlineautentikoinnin oikealla sirukortilla mutta sen jälkeen simuloi kortin toimintaa saadakseen transaktion hyväksyttyä. [1, s. 23.] Toinen EMV:n turvaominaisuus on riskinhallinnan parametrit, joiden avulla kortinantaja voi määritellä omia ehtojaan, joiden puitteissa korttia saa käyttää. Tämä mahdollistaa sen, että transaktio voidaan pakottaa online-varmennukseen, jos esimerkiksi kortin offline-luottorajat ovat ylittyneet. [1, s. 7.] Toisaalta tämä mahdollisuus on osaksi myös johtanut siihen, että jokainen kortinantaja on määritellyt omat EMV-maksusovelluksensa, mikä monimutkaistaa maksujärjestelmiä. Sen johdosta EMVCo on 2000-luvun puolivälissä tuonut implemetointiohjeita osaksi EMV-spesifikaatioita (CCD) sekä julkaissut erillisiä ohjeistuksia asiasta (CPA). [1, s. 10]

10 9 Toisaalta erilaisten EMV-toteutusten voidaan nähdä myös edistävän turvallisuutta, sillä yritetyt huijaukset eivät pakolla toimi jokaisessa maksujärjestelmässä, vaan vain tietyin ehdoin, kuten luvussa 3.2 huomataan. Riskienhallintaparametrien avulla kortinantajan on myös mahdollista huomata, kun korttia käytetään normaalista käytöksestä poikkeavasti, jolloin väärinkäytös voidaan estää. Tämä vaatii kuitenkin suurta sitoutumista ja kehitystyötä pankeilta, jotta parametrit olisivat optimaaliset varmistaen turvallisuuden mutta myös kortin käytettävyyden. Kolmantena EMV:tä määrittelevänä ominaisuutena EMVCo mainitsee transaktion varmennuksessa käytettävän maksudatan digitaalisen allekirjoituksen eli MAC-tunnisteen, joka sisällytetään TCviestiin ja online-varmennuksessa myös ARQC-viestiin. Neljäs ominaisuus eli kortinhaltijan varmennus minimoi mahdollisuuksia väärinkäyttää varastettuja tai hukattuja maksukortteja. [1, s. 7.] EMV tarjoaa kaksi uutta ominaisuutta kortinhaltijan varmennukseen magneettijuovakorttiin nähden. Ensimmäinen niistä on kortinantajan määrittelemä CVM-lista. Toinen ominaisuus on offline-pin, jonka avulla käyttäjän syöttämä PIN-koodi voidaan varmentaa myös ilman yhteyttä kortinantajaan. Sen toteuttamiseksi voidaan käyttää julkisen avaimen kryprografiaa. [1, s. 22.] EMV-standardin kehittämisen lisäksi EMVCo valvoo ja arvioi EMVmaksuympäristöä. Yrityksessä on työryhmä, joka arvioi, noudattavatko EMVmaksupäätteet riittävästi EMV-spesifikaatioita. Tason yksi tyyppihyväksyntä käsittelee päätteen tiedonsiirtoa sirunlukijan ja sirun välillä, kun taas tason kaksi tyyppihyväksyntä tarkastelee päätteen EMV-prosessointia suorittavaa ohjelmistoa. EMVCo:ssa on myös työryhmä, joka arvioi ja hyväksyy korttityyppejä. Yrityksessä suoritetaan lisäksi sirun turvallisuuden arviointeja, joiden tuloksia käytetään hyväksi maksujärjestelmien korttienhyväksyntäprosessissa. [1, s ] Arviointielinten avulla pyritään varmistamaan, että turvallista EMVstandardia sovelletaan turvallisessa ympäristössä. Kuitenkin sekä itse standardista että maksuympäristöstä on löydetty heikkouksia, jotka saattavat mahdollistaa väärinkäytöksiä. Näitä käsitellään seuraavassa luvussa. 2.3 EMV:n heikkoudet EMV-maksujärjestelmän laaja-alaisuuden vuoksi aukottoman turvallisten spesifikaatioiden määritteleminen on haastava, ellei jopa mahdoton tehtävä. Teknologian kehittyessä ja huijareiden viisastuessa alkujaan luodinvarmassakin menetelmässä voi ilmetä heikkouksia, joita huijarit käyttävät häikäilemättä hyväkseen. Tässä luvussa esitellään, mitä heikkouksia EMV-standardista on löydetty ja kuinka niiden kautta voi mahdollisesti tehdä hyökkäyksen. Tämän jälkeen kerrotaan kritiikistä, jota EMV on saanut osakseen EMV-maksutapahtuman häiriköinti Bond ym. [9, s. 3-4] ovat tarkastelleet, minkälainen vaikutus EMV:n käyttöönotolla on ollut maksukorttien väärinkäytöksiin Britanniassa. He huomasivat

11 EMV:n muuttaneen suuresti huijaustapoja mutta ei kuitenkaan vähentäneen maksuhuijauksia niin paljoa kuin odotettiin. Korttien väärentäminen ja varastettujen korttien hyväksikäyttäminen on EMV:n myötä vaikeutunut, mikä näkyy tilastoissa. Rikolliset siirtyivät uusiin huijaustapoihin, kuten huijaamaan maksutapahtumissa, joissa pankkikorttia ei käytetä. Tämän lisäksi korttihuijauksissa jatkettiin perinteisiä menetelmiä EMV-kortin magneettijuovan kautta, mutta uudet turvatoimet ovat suurilta osin estäneet niiden hyödyntämisen nykypäivänä. Tästä syystä huijareiden on pitänyt sittemmin keksiä kehittyneempiä menetelmiä maksukorttihuijauksiin. EMV-standardin mukaisen maksutapahtuman häiriköinti voi tapahtua joko protokollatason tai käytetyn algoritmin heikkouden kautta. Myös PIN-koodin syöttölaitteissa voi olla heikkouksia, jotka saattavat altistaa laitteet salakuuntelulle. Esimerkkinä mainittakoon Drimer ym. [8] tutkimus, jossa paljastui, että kaksi sertifioitua ja Briteissä laajassa käytössä olevaa PIN -syöttölaitetta Ingenico i3300 ja Dione Xtreme mahdollistavat korttitietojen ja PIN-koodien urkkimisen huonosti suojatuilta tietoliikenneyhteyksiltä. Bond ym. [9] puolestaan löysivät puutteita pankkiautomaattien luomista satunnaisluvuista, jotka eivät pakolla olekaan ollenkaan satunnaisia, vaan voivat olla ennustettavissa tietyn otannan perusteella. EMV-standardi ei aseta tarkkoja vaatimuksia satunnaislukugeneraattorille. Jos satunnaisluku on mahdollista ennustaa, hyökkääjä voi kerätä kortilta ARQkryptogrammeja ja käyttää niitä huijaukseen pankkiautomaatilla määriteltynä aikana tulevaisuudessa. Keräys voi käytännössä tapahtua esimerkiksi sorkitun maksupäätteen kautta. Tässä luvussa tarkastellaan kuitenkin pääasiassa itse EMVstandardia ja maksupäätteiden sekä EMVimplementointivaihtoehtojen tarkempi tarkastelu sivuutetaan. Murdoch ym. [4] tutkimus EMV:n turvallisuudesta on noteerattu laajasti alan kirjallisuudessa ja lehdistössä ja se on herättänyt huolta EMV:n ajanmukaisuudesta. He ovat löytäneet EMVprotokollasta heikkouden, jonka kautta on mahdollista suorittaa maksu aidolla sirukortilla tietämättä kortin PIN-koodia silloinkin, kun kauppias on reaaliaikaisessa yhteydessä kortinantajaan. Maksukortin väärinkäyttö on heidän kuvaamansa hyökkäyksen kautta mahdollista, kun kortinhaltijan varmennus tapahtuu offline-pin:llä riippumatta siitä, miten kortin autentikointi tapahtuu (SDA/DDA). Online-varmennuksessa eli esimerkiksi käteisnostossa hyökkäys ei toimi. Käytännössä huijari tekee Murdoch ym. [4] kuvaamassa huijauksessa man-in-the-middle -hyökkäyksen, jossa maksupäätteelle uskotellaan, että PIN-koodi on syötetty oikein. Sirukortille sen sijaan väitetään, että PIN-koodia ei syötetty ollenkaan, vaan kortinhaltija autentikoitiin jollain muulla tavalla. Hyökkäyksen mahdollistaa IAD- ja TVR-tunnisteiden puutteet, jotka johtavat siihen, että PIN-varmennusta ei autentikoida kiistattomasti. Vaikka IADtunniste yleensä osoittaa, yritettiinkö PIN-varmennusta vai ei, maksupääte ei pysty lukemaan tätä informaatiota, koska IAD:n muotoa ei ole määritelty EMV-standardissa, vaan se on riippuvainen kortinantajasta. Kortinantaja ei puolestaan tiedä, mitä varmennusmenetelmää maksupäätteen näkökulmasta käytettiin, koska TVR-tunniste ei sitä kerro. TVR erottelee kyllä eri virhetilanteet toisistaan, mutta varmennuksen onnistuessa se ei kerro, miten varmennus tapahtui. Tämä on Murdoch ym. [4] 10

12 11 mukaan vakava puute, joka saattaa selittää monet tapaukset, joissa epäillään huijausta, vaikka maksutapahtuma olisi kaupan kuitin mukaan PIN-verifioitu. eikä huijarin olisi mitenkään ollut mahdollista saada kortin PIN-koodia tietoonsa. Murdoch ym. [4] mukaan tämä huijaus ei tarvitse kuin nimeksi ohjelmointi- ja insinööritaitoja. Myös tarvittava laitteisto on helppo hankkia ja se voidaan piilottaa reppuun tai takin alle tai puristaa pieneen kokoon [4, s ] Kuten jo aiemmin mainittu, EMV:n SDA-protokolla jää turvallisuudessa selkeästi DDA:n varjoon, koska se ei autentikoi maksukorttia. SDA-kortti ei itse pysty suorittamaan RSA-operaatioita, minkä vuoksi se voi esittää maksupäätteelle vain staattisen sertifikaatin. Tämän seurauksena väärennetyllä kortilla on mahdollista läpäistä SDA-tarkistus ja suorittaa maksutapahtuma loppuun maksupäätteillä, jotka eivät ole reaaliaikaisessa yhteydessä pankkiin. Tällöin huijaus huomataan vasta, kun kortinantaja tarkistaa MAC-tunnisteen jälkikäteen. DDA-maksukorteissa tällainen huijaus ei onnistu, sillä ne allekirjoittavat maksupäätteen esittämän satunnaisluvun asymmetrisellä avaimella [1, s. 23; 4, s. 434.] Kuitenkin nykyään suuri osa maksupäätteistä on kytketty pankkiverkkoon, minkä johdosta huijaus ei yleisesti enää onnistu [vrt. 4, s. 434]. Myös EMV:n algoritmeista on löytynyt joitakin heikkouksia tietyissä EMV:n hyväksymissä olosuhteissa. Yksi esimerkki on RSA-algoritmi, kun samaa avainparia käytetään EMV-transaktiossasekä salaukseen että allekirjoitukseen. Allekirjoituksia hyödynnetään kortin autentikoinnissa DDAmenetelmässä ja transaktion varmennuksessa CDA:ssa. Salausta puolestaan voidaan käyttää offline- PIN-varmennuksessa, ja EMV-standardi sallii, että salaus tehdään samalla avainparilla kuin allekirjoitus. [10, s. 2-3.] Saman avainparin käyttäminen sekä allekirjoitukseen että salaukseen tuo suorituskykyetuja, sillä se vähentää siruun talletettavien sertifikaattien määrää, mutta saattaa mahdollistaa huijaustavan, jonka Degabriele ym. [10] esittelevät. Siinä huijari väärentää allekirjoituksen valitsemalleen viestille. Avuksi tarvitaan laitetta, joka kertoo, onko raakateksti muotoiltu oikein. Huijaus jakaantuu kolmeen osaan, jotka ovat blinding, oikeiden salatekstien etsiminen ja mahdollisten vastausten rajaaminen. Blinding suoritetaan kerran huijauksen alussa, jonka jälkeen suoritetaan iteroiden etsimistä ja rajaamista, kunnes jäljellä on vain yksi arvo [10, s. 2-3.] Degabriele ym. [10, s. 7-8] esittävät, kuinka hyökkäys etenee yhteydettömässä CDA-transaktiossa. Kortin autentikointi -vaiheessa häirintälaite vain välittää viestit sirun ja maksupäätteen välillä. Kuten Murdoch ym. [4] esittelemässä huijauksessa, PIN-koodin syöttövaiheessa laite todentaa maksupäätteelle minkä tahansa syötetyn PIN:n oikeaksi. Häirintälaite palauttaa tämän jälkeen maksupäätteelle TC:n, johon se laittaa satunnaisen arvon MAC-tunnisteeksi. Koska transaktio tapahtuu yhteydettömässä tilassa, virhe huomataan vasta jälkikäteen. Lopuksi TC:lle väärennetään allekirjoitus kolmivaiheisella hyökkäyksellä. Allekirjoituksen oikea muotoilu tarkistetaan sirulta PIN-koodin varmennuspyytöjen kautta, ja TC lähetetään maksupäätteelle transaktion loppuunsaattamiseksi.

13 12 Degabriele ym. [10] tarkastelevat kuvaamaansa hyökkäystä vain teoreettisella tasolla, ja toteavat käytännön toteutukselle olevan useita mahdollisia esteitä. Yksi näistä voi olla väärentämiseen tarvitseman ajan laukaisema tapahtuman keskeytys [10, s. 7-8.] Lisäksi offline-transaktiot eivät enää ole yleinen käytäntö. Kyseinen hyökkäys osoittaa kuitenkin, että EMV:n CDA-protokollassakin voi olla heikkouksia, sillä sen vaatima allekirjoitus voidaan väärentää Kriitiikki EMV:tä vastaan EMV on saanut osakseen myös jonkin verran kritiikkiä. Sitä on esimerkiksi kritisoitu vastuunsiirrosta pois pankeilta. Kun kortinhaltija on varmennettu allekirjoituksella, riitatilanteissa maksumieheksi joutuu yleensä kauppias. PIN-varmennuksessa puolestaan asiakas joutuu kärsimään kustannukset. Näin EMV:n kehittänyt pankkiteollisuus välttää kaikki maksuvelvoitteet, jos huijari onnistuu murtamaan järjestelmän ja suorittamaan PIN-koodilla verifioidun transaktion. [4, s. 433.] Maksajaksi joutuu tällöin huijauksen uhri eivätkä pankit, kaupat tai kansainväliset korttijärjestöt, jotka ovat kuitenkin mahdollistaneet huijauksen puutteellisella protokollalla tai huonolla ja turvattomalla EMV:n implemennoinnilla. Yhdeksi EMV:n heikkoudeksi on myös nostettu sen hidas kehitys. EMVprotokollaan ovat vaikuttamassa pankit, kaupat, maksupäätteiden valmistajat ja kansainväliset korttijärjestöt, joilla kaikilla on luonnollisesti omat intressinsä suojeltavina. Siksi yhteisen kehityspäätöksen tekeminen voi olla vaikeaa tai jopa mahdotonta, ja kuluttajat joutuvat tyytymään nykyiseen ratkaisuun, joka perustuu vuosikymmen sitten tehtyihin päätöksiin. [4, s. 434.] Hidas kehitys vaikuttaa suuresti myös siihen, miten EMV:n käyttöönottoa harkitsevissa maissa asiaan suhtaudutaan. Esimerkiksi Yhdysvalloissa asiantuntijat ovat huolissaan siitä, miten turvallinen EMV enää olisi, kun protokolla olisi vihdoin saatu vakiinnutettua maassa. Jo nyt teoreettisia ja todellisia huijaustapoja on keksitty useita ja oletettavaa on, että niitä keksitään vielä lisää. Tästä huolimatta asiantuntijat ovat kuitenkin yhtä mieltä siitä, että EMV on paras ratkaisu, mikä tällä hetkellä on saatavilla. [11.] Myös EMV-spesifikaatioiden laajuus ja kompleksisuus monine implementaatiovaihtoehtoineen saattaa kääntyä heikkoudeksi. Spesifikaatioiden perusteella ei pakolla ole mahdollista arvioida erilaisten vaihtoehtojen sopivuutta tiettyyn maksuympäristöön. Murdoch ym. [4] mukaan ne eivät myöskään tarjoa riittävän yksityiskohtaista ja selkeää tietoa. Tästä syystä spesifikaatioiden perusteella ei saa tarvittavaa ymmärrystä EMV:n protokollasta, uhkamallista ja turvapolitiikasta. [4, s. 440.] Toisaalta tällaisen ehdottoman tarkat turvaominaisuudet sisältävän standardin määrittelyssä on luonnollista ja lähes väistämätöntä, että spesifikaatioista tulee laajat ja monimutkaiset. Siksi kauppiaiden kannattaakin perehtyä paremmin EMVCo:n kirjoittamiin implementointiohjeisiin kuin itse standardin spesifikaatioihin. EMV-maissa myös jokaisella maalla on yleensä omat ohjeistuksensa EMV:n käytöstä. Suomessa ohjeistuksia tarjoaa Finanssialan Keskusliitto [7].

14 EMV:n tulevaisuus EMVCo jatkaa EMV:n kehitystyötä keskittyen erityisesti kahteen eri osaalueeseen: parantamaan nykyistä EMV-protokollaa tulevaisuuden vaatimusten mukaisiksi ja kehittämään globaalit standardit EMV-sirumaksamiseen etänä. EMVprotokollan kehittämisessä yksi tärkeä kehittämiskohde on RSA7:n korvaaminen elliptisten käyrien kryptografialla (Elliptic Curve Cryptography, ECC). [1.] ECC käyttää lyhyempiä avaimia ja on nopeampi kuin RSA. Avaimen pituus ei näiden vertailussavaikuta kielteisesti turvallisuuteen, sillä ECC pystyy tarjoamaan saman turvatason lyhyemmällä avaimella kuin RSA. [12.] Siirtyminen ECC:iin mahdollistaisi myös SDA:n, DDA:n ja CDA:N korvaamisen yhdellä dynaamisella offline data-autentikointitekniikalla. [1, s. 30.] Degabriele ym.[10] tukevat myös sitä, että elliptisten käyrien kryptografia olisi turvallisempi menetelmä allekirjoitukseen ja salaukseen EMV:ssä kuin RSA. EMVCo:n työryhmät suunnittelevat parhaillaan aikataulua ja tapaa, joilla voidaan toteuttaa tulevaisuudessa [1, s. 30.]. Tällä hetkellä näkyvissä ei ole varsinaista korvaajaa EMV-standardille. Oletettavaa onkin, että EMV-standardi on käytössä vielä pitkälle tulevaisuuteen ja se muuttuu yhä globaalimmaksi. 2.5 Yhteenveto EMV-standardin kehittämisessä turvallisuus on otettu huomioon monin erilaisin menetelmin, jotka yhdessä tekevät maksuhuijauksien tekemisestä entistä vaikeampaa. Turvallisuus on taattu erilaisilla kryptoprimitiiveillä, autentikointitunnisteilla ja - menetelmillä sekä varmenteilla. Tässä työssä tarkasteltiin EMV:n turvallisuutta EMV:n turvaominaisuuksien ja puutteiden kautta. Yhteenvetona aiheesta voi todeta, että EMV:n turvallisuus on suhteellisen tuore tutkimuskenttä, josta on yllättävän vähän tähän mennessä tehty tutkimuksia. EMV-sirukortilla maksamisen turvallisuus riippuu paljon implementaatiosta. Hyökkäyksiä tarkastellessa huomattiin esimerkiksi, että offline-transaktion turvallisuus on huonompi kuin onlinetransaktion, sillä transaktio varmennetaan kortinantajalta vasta jälkikäteen. PIN-koodin onlinevarmennus estää lähes kaikki tässä työssä esitellyt hyökkäykset. Lisäksi sirun ominaisuudet ja maksupääte vaikuttavat turvallisuuteen. Turvallisuuden voidaan katsoa menneen parempaan suuntaan, kun maksukorteissa on yhä kehittyneempiä ominaisuuksia ja offline-transaktiot ovat vähentyneet ja poistuvat luultavasti kokonaan. Kuten monissa muissa tietoturva-asioissa, EMV-maksujärjestelmissäkin sirun käyttäjän toiminta saattaa olla suurin riski, jota kautta esimerkiksi maksukortin PIN-koodi voi paljastua. Standardia itsessään voidaan mielestäni kuitenkin pitää vielä turvallisena. Alituinen kehittäminen on silti välttämätöntä, jotta EMV olisi myös tulevaisuudessa vähintään yhtä turvallinen.

15 Lähteet [1] EMVCo, LLC A Guide to EMV, Version 1.0. EMVCo, LLC. 35 p. [2] EMVCo, LLC. Homepage [WWW]. [viitattu ]. Saatavilla: [3] ACI. EMV around the world [WWW]. [viitattu ]. Saatavilla: [4] Murdoch, S. J., Drimer, S., Anderson, R. & Bond, M Chip and PIN is Broken IEEE Symposium on Security and Privacy, May, pp [5] EMVCo, LLC. EMV 4.3 Book 2 Security and Key Management 2011 EMV Integrated Circuit Card Specifications for Payment Systems. 162 p. [6] Smart Card Alliance Card Payments Roadmap in the United States: How Will EMV Impact the Future Payments Infrastructure? 2013 A Smart Card Alliance Payments Council White Paper.57 p. [7] Finanssialan keskusliitto. EMV-maksupäätejärjestelmä - Toiminnallinen kuvaus 2011 [WWW]. [viitattu ]. FK. Saatavilla: atejarjestelma.pdf [8] Drimer, S., Murdoch, S. J. & Anderson, R. Thinking inside the box: system-level failures of tamper proofing. IEEE Symposium on Security and Privacy, May, pp [9] Bond, M., Choudary, O., Murdoch, S. J., Skorobogatov, S. & Anderson, R. Chip and Skim: cloning EMV cards with the pre-play attack 2012 arxiv preprint arxiv: p. [10] Degabriele, J., Lehmann, A., Paterson, K., Smart, N. & Strefler, M. On the joint security of encryption and signature in EMV Topics in Cryptology CT-RSA 2012, pp [11] LaBarre, O. Experts Debate the Security of EMV 2001 [WWW]. Bank Systems & Technology [viitattu ]. Saatavilla: [12] Gupta, K. & Silakari, S. ECC over RSA for Asymmetric Encryption: A review 2012 International Journal of Computer Science Issues, 8, 3, pp

16 15 3 PIN-KOODI TURVALLISUUSMEKANISMINA Aiheessani esittelen missä PIN-koodia nykyään käytetään, miten sitä yritetään murtaa ja millaisissa tapauksissa. PIN (Personal identification number) on salasanana käytettävä numerosarja, jolla on tarkoitus varmistaa, että käyttäjällä on oikeus käyttää kyseistä korttia tai järjestelmää. Pääosin tulen käsittelemään PIN-koodin käyttöä maksuvälineen käyttäjän tunnistamiseen ja varmentamiseen, mutta myös muita tapauksia, kuten puhelimen avauskoodia tulen käsittelemään tässä työssä. PIN-koodin kehitti ja patentoi James Goodfellow jo vuonna 1966 [1]. Viime aikoina Suomessa on tullut esille myös useita erilaisia menetelmiä, joilla varkaat yrittävät urkkia pankkikorttien tunnuslukuja ja saavuttaa näin rahallista hyötyä itsellensä. PIN-koodi sisältää pääsääntöisesti aina numeroita, mutta poikkeuksia voi myös olla. Laitteet, joilla valvotaan esimerkiksi ihmisen kulkua tiettyihin paikkoihin, voivat sisältää kirjaimia. Tällaiset päätelaitteet eivät ole kovinkaan yleisiä, joten en perehdy niihin tässä sen enempää. 3.1 PIN-koodin turvallisuus PIN-koodi koostuu yleisesti neljästä joko käyttäjän valitsemasta numerosta tai korttiin tai laitteeseen valmiiksi asetetusta numerosarjasta. PIN-koodin pituudeksi on standardoitu (ISO ) 4-12 merkkiä, mutta käytettävyyssyistä yli kuuden numeron sarjaa ei suositella. PIN-koodi on erittäin yleinen tapa suojata esimerkiksi matkapuhelimen väärinkäyttöä tai pankkikorttien ja maksupäätteiden väärinkäyttöä [2]. Usein se on käytössä laitteissa tai korteissa, johon ei ole pääsyä muuta kuin itse suojatun välineen kautta. PIN-koodin suojaus on mahdollista murtaa etänä, esimerkiksi Bluetooth-yhteyden PIN-koodin murtamiseen ei nykytietokoneilla mene kymmenesosa sekuntiakaan mikäli koodi on neljän numeron mittainen [3]. Neljän numeron koodissa vaihtoehtoja on 10000, joten kaikkien kombinaatioiden testaamiseen ei vie kovinkaan kauaa. Usein laitteisiin on asetettu tietty määrä kertoja, joita käyttäjä saa yrittää ennen kuin laite menee kokonaan lukkoon, tai siihen tulee karenssiaika seuraavia yrityksiä varten. Nämä keinot ehkäisevät järjestelmällistä ja nopeaa suojauksen murtoa, joka tuo huomattavan paljon lisäsuojaa laitteille ja korteille. PIN-koodi tallennetaan usein laitteen tai kortin RAM-muistiin (Random Access Memory) 64-bittisellä tai vahvemmalla salauksella, jotta sen murtaminen olisi mahdollisimman haastavaa vaikka

17 16 murtajalla olisi kortti tai laite hallussa [2]. Vahvaa PIN-suojausta käytetään esimerkiksi verkkopankeissa, joissa tunnusluvut ovat kertakäyttöisiä. Kertakäyttöiset tunnusluvut voidaan myös laskea PIN-koodeiksi, vaikka ne eivät ole joka kerta samoja, eivätkä ole päivittäisessä käytössä. Tämä mahdollistaa sen, että vaikka murtautuja näkisi koodin jonka käyttäjä näppäilee kerran järjestelmään, ei se toimikaan enää seuraavalla kerralla ja käyttäjän tiedot pysyvät edelleen salassa. PIN-koodin vaihtaminen turvallisempaan ja pidempään koodiin riippuu täysin käytettävästä järjestelmästä. Maksukorttien koodin pituudet ovat aina neljän numeron mittaisia, eikä niitä voi vaihtaa muuten kuin hankkimalla uuden kortin toisin kuin esimerkiksi SIM-kortin koodi, jonka käyttäjä voi vaihtaa kuinka usein haluaa ja se voi olla myös pidempi kuin tuo edellä mainittu neljä numeroa. Vaihtaminen tapahtuu useasti syöttämällä ensin vanha koodi järjestelmään, jonka jälkeen voidaan syöttää haluttu uusi koodi Hyödyt ja käyttötavat PIN-koodilla varustetut sirulliset pankkikortit ovat nykyään käytössä melkein jokaisella pankilla muutamaa poikkeusta lukuun ottamatta. Tämä tekee maksutapahtumasta paljon turvallisemman, kuin pelkällä magneettijuovalla varustetulla kortilla maksettaessa. Pelkällä magneettijuovalla varustetuilla korteilla juuri kukaan ei tarkistanut allekirjoituksen vastaavuutta kuitin ja maksukortin välillä. Maksaessa pankkikortilla, maksupääte lähettää kyselyn pankkikortin sirulle ja vertaa niitä toisiinsa. Tämä tapahtuu verkottomassa tilassa, joten kyselyn väliin etänä on mahdotonta päästä väliin. Koodin tarkistuksen jälkeen maksutapahtuma jatkuu joissain tapauksissa, kuten Visa Electornin kanssa, kortin saldon varmistuksella verkon yli, jonka läpäistyään maksu on suoritettu. Pankkiautomaatti taasen tarkistaa PIN-koodin oikeuden verkon yli salattuna tietona tarkistaen kortin haltijalta, että käyttäjän syöttämä koodi on oikein. Kortin myöntäjä taasen asettaa kortin sirulle rajoja, joiden puitteissa rahaa voidaan myöntää käyttäjälle [4]. PIN-koodi on myös yksinkertainen tapa suojata muun muassa matkapuhelinten luvattomat käyttöönotot helposti ja nopeasti, jolloin käyttäjälle ei koidu turhaa vaivaa sen näppäilystä antaen kuitenkin riittävän suojan väärinkäyttäjiä vastaan. Esimerkiksi puhelimet harvoin sisältävät niin arkaluontoista materiaalia, että tarvittaisiin erittäin vahvaa suojausta väärinkäyttäjiä vastaan, jolloin PIN-koodi luontuu loistavasti tähän tarpeeseen. Mikäli käyttäjä osaa olla varovainen, eikä paljasta omaa koodiaan kenellekään muulle, on murtautujan käytännössä mahdoton murtaa esimerkiksi pankkikortin tunnusluku, vaikka murtautuja saisikin pankkikortin käyttöönsä. Kolme arvausta antaa murtautujalle 0,06% mahdollisuuden osua oikeaan numerosarjaan ilman minkäänlaista vihjettä mikä se voisi olla. PIN-koodi on usein tarpeeksi vahva tapa suojata haluttu materiaali, mikäli koodin valintaan käytetään edes hetki aikaa. Ei valita sitä helpoiten muistettavaa yhdistelmää tai suoraa linjaa päätelaitteen numerovalitsijasta, vaan numeroita sieltä täältä numerovalitsimesta. Suuret numerot eli yli viiden ovat esimerkiksi yleensä hyviä, sillä se esiintyvät harvemmin syntymäajoissa. Harvinaisin PIN-koodi erään tutkimuksen mukaan vuonna 2013 on 8068, joka ei muodosta mitään päivämäärää, vuosilukua tai

18 17 muutakaan järkevää lukua. Tällaiset koodit ovat hyviä ja jokaisen PIN-koodia suojaukseen käyttävän henkilön tulisikin muodostaa koodinsa täysin satunnaisia numeroita yhdistelemällä käyttämättä omaa syntymävuottansa tai helppoa numerosarjaa koodina. [5] Heikkoudet ja murtotavat Selvästi suurin heikkous suojausmenetelmässä on ihmisten laiskuus, tyhmyys ja kiinnostuksen puute PIN-koodin valinnassa. Usein valmiiksi asetetut koodit ovat joko 1234, 1111 tai 0000 ainakin neljä numeroa sisältävistä koodeista. Usein myös käyttäjän syntymäpäivä esiintyy koodissa, jolloin kortinhaltijan tunteva ihminen voi käyttää myös sitä tietoa murtautuessaan kortin tietoihin. Yksinkertaiset ja useita samoja numeroita sisältävät koodit valtaavatkin yleisimpien koodien kärkisijat. Yllättäen nämä ovat myös ne ensimmäiset vaihtoehdot, joita murtautuja yrittää laitteeseen käyttää. Käyttäjät jättävät valmiiksi asetetut koodit yleiseen käyttöön, koska ne ovat helppo muistaa. On arvioitu, että joka kymmenes PIN-koodi maailmassa on 1234 ja 20 suosituinta PINkoodia arvellaan kattavan noin 27% kaikista PIN-koodeista, jotka ovat ihmisten laitteissa ja korteissa käytössä [5]. Ihmisten muisti kykenee muistamaan vain tietyn määrän informaatiota, joten käyttäjät turvautuvat useasti helppoihin numerosarjoihin, jotka toistuvat kaikissa heidän omistamissaan laitteissa sekä korteissa. Vaikka useimmat laitteet tarjoavat mahdollisuuden asettaa pidempi kuin neljän numeron sarjan suojelemaan kortin takana sisältävää materiaalia, valitsevat käyttäjät valitettavasti lyhyen neljän numeron sarjan, koska aina on neljä numeroa riittänyt ja siihen voi asettaa vanhan tutun, jota on tullut käytettyä jo useamman vuoden ajan. Verrattuna harvinaisimpiin koodeihin, joiden keksiminen ilman apua ja oikeanlaisella laitteen lukitusjärjestelmällä on käytännössä mahdotonta, näitä yleisimpiä tulisi välttää mahdollisimman paljon mikäli haluaa säilyttää rahaa tai järjestelmän tietoja hyvässä tallessa. Valmiiksi asetetuissa PIN-koodeissa heikkouksia ovat muun muassa ainakin Suomessa oletuksellisesti käytössä oleva menetelmä postittaa pankkikortti ja sen tunnusluku välikäden kautta asiakkaalle, kuitenkin sillä tavalla, että tunnusluku ja pankkikortti postitetaan eri aikoihin. Tämä vähentää riskiä, että molemmat päätyvät saman aikaisesti väärälle henkilölle. On mahdollista, että kirjeet eivät päädy halutulle henkilölle, jolloin pankkikortti on väärän ihmisen hallussa ja täysin käyttövalmiina. Vaihtoehtoinen tapa olisi noutaa kumpainenkin postin konttorista, mutta tämä saattaa tuottaa asiakkaalle vaikeuksia, mikäli kotikonttori on esimerkiksi kaukana omasta asuinkunnasta. Valmiiksi asetetut koodit aiheuttavat myös käyttäjälle pään vaivaa, sillä unohduksia tapahtuu paljon useammin kuin itse asetetuilla koodeilla. Varsinkin pankkikortit menevät useamman yrityksen jälkeen lukkoon, jolloin käyttäjä joutuu turvautumaan pankin puoleen saadakseen käytettyä korttia. Näissä valmiiksi asetuissa koodeissa iso ongelma on myös, että kerran kun ihmiset eivät ole itse saaneet valita haluamaansa koodia, muistaminen vaikeutuu ja koodi tulee kirjoitettua paperille lähelle itse korttia. Nämä molemmat heikkoudet ovat enemmän järjestelyn heikkouksia kuin itse tekniikan, mutta selkeitä heikkouksia kuitenkin. Varkaan viedessä lompakon kortin mukana saattaa lähteä myös koodi, jonka jälkeen esimerkiksi pankkikortin rahat ovat

19 18 täysin varkaan saatavilla. Usein koodeja tallennettaan paperilappujen sijaan puhelimeen, jossa tieto ei ole sen paremmin tallessa. Tunnuslukuja tai koodeja ei tulisi kirjoittaa ikinä mihinkään paperille tai muulle hyökkäyksille alttiille järjestelmälle. Parasta olisi tallettaa tunnusluku omaan muistiin tai paikkaan, jonne hyökkääjän on vaikea päästä, esimerkiksi kassakaappiin. On olemassa myös järjestelmiä, joihin voi säilöä tärkeitä tunnuslukuja ja tietoja, jonne on helppo pääsy mobiilisti tai ainakin verkon ylitse. Tällaiset järjestelmät vaativat myös tunnistautumisen PIN-koodin tai muun vastaavan suojausmenetelmän avulla. Myös PIN-koodin syöttölaitteet saattavat sisältää tietoturvallisuuden kannalta heikkouksia, jotka altistavat kortin urkinnalle. Briteissä yleisesti käytössä olevat ja sertifikoidut Ingenico i3300 ja Dione Xtreme -syöttölaitteet mahdollistavat tutkimusten mukaan koodien vuotamisen ei halutuille tahoille huonosti suojattujen tietoliikenneyhteyksien kautta johon kolmannen osapuolen on mahdollista päästä väliin ja toimia kyselyn tilaajana [4]. Nykyisissä kosketusnäytöllisissä matkapuhelimissa PIN-koodia käytetään usein myös näytön lukitsemiseen. Kosketusnäyttöjen ongelmana on, että näyttöön jää sormenjälkiä, jotka mahdollistaa väärien käyttäjien murtautumiset itse laitteelle. Sormista irtoava rasva jää näytön pintaan kiinni, jolloin murtautuja voi päätellä, että näitä kohtia näytössä on paineltu useimmiten ja näin selvittää ainakin mitkä numerot suojauskoodissa esiintyvät. Puhelin sisältää useasti ei niin salaista materiaalia, joten turvakoodit ovat useasti yhtä todella heikkoja tai vielä useammissa tapauksissa jätetty kokonaan lisäämättä koko turvakoodia Uutisoidut tapaukset Yleisimpiä murtomenetelmiä, joita PIN-koodin murtamiseen on käytetty, ovat tunnuslukujen kalasteleminen sähköpostitse, jolloin käyttäjä itse kertoo tarvittavan salausavaimen murtautujalle. PIN-koodin osalta tämä ei ole niin yleistä kuin sähköpostien salasanojen kalastelussa, muta yleistä kuitenkin. Toinen hyvin yleinen tapa on salaa katsoa käyttäjän koodin naputtelua päätelaitteelle joko ihan fyysisesti läsnä ollessa käyttäjän naputellessa PIN-koodia tai vaihtoehtoisesti esimerkiksi kameran avulla tallentaa käyttäjän asettama koodi. Viime aikoina Suomessa on tullut ilmi useita tapauksia, joissa pankkiautomaatteihin on asennettu skimmauslaite sekä kamera tallentamaan käyttäjän PIN-koodin syöttö. Skimmauslaitteen tarkoitus on kopioida käyttäjän kortti, jolloin kopioidun kortin tiedot, sekä kameralle tallennettu PIN-koodi avaavat murtautujalle pääsyn käyttäjän tilille [6]. Usein tällaiset huijaukset ovat hyvin piilotettu pankkiautomaattiin, jotta käyttäjän olisi mahdollisimman vaikea havaita meneillä olevaa urkintaa. Käyttäjän kannalta kannattaakin pankkiautomaatilla tai maksuautomaatilla toimiessa suojata kaikki mahdolliset kulmat, joista tunnusluvun voisi nähdä. Valitettavan usein tapahtuu myös niin sanottua väkisin koodin talteenottoa, eli tapahtumaketjua, jossa käyttäjä pakotetaan antamaan koodi tai itse syöttämään koodi kyseiseen järjestelmään johon murtautujat sitten pääsevät. Vaikka tämä ei ole itse salauksen heikkoutta, liittyy se vahvasti kuitenkin menetelmiin, joita murtautujat käyttävät. Usein tapahtuu myös niin kutsuttua shoulder surfingia, jossa tunnusluvun

20 19 haluava taho joko seuraa paikanpäällä tunnusluvun naputtelua tai sitten juurikin kameran avulla saa selville oikean yhdistelmän. Tällaisten tapauksien takia on entistä tärkeämpää suojata hyvin oma koodi, jonka automaateilla päätelaitteisiin naputtaa. [7]. 3.2 Korvaavat ratkaisut PIN-koodi sisältää useita heikkouksia, eikä voida täysin taata, että koodin näppäillyt henkilö on kortin omistaja. Tulevaisuuden ratkaisut tulevatkin todennäköisesti pohjautumaan biometrisiin tunnisteisiin, kuten sormenjälkeen, ääneen, verkkokalvon tunnistamiseen tai ihmiseen integroituun tietosiruun. YK on luonut ICAO:n (kansainvälinen siviili-ilmailujärjestö) kanssa biometrisen passin, joka sisältää vähintään kasvokuvan biometrisenä tunnisteena. Kuvan lisäksi standardi mahdollistaa käyttäjien tunnistamisen sormenjäljen tai iiriksen avulla biometrisenä tunnisteena [8]. Ihon alle asetettavia siruja on käytetty tähän päivään mennessä testimielessä maksuvälineenä. VeriChip on siru, jota on käytetty maksuvälineenä, jossa ihon alle asetettu siru heilautetaan skannerin edessä, jolloin RFID-sirun sisältämä VeriChip antaa tiedot skannerille, joka tarkistaa maksutapahtuman läpiviennin [9]. Ihmiseen asennettua sirua voi käyttää myös moneen muuhun käyttötarkoitukseen kuin maksamiseen. Siru voi valvoa ihmisten elinten toimintaa, kuten sykettä ja verenpainetta. Sirua voi käyttää myös ihmisten paikantamiseen, jolloin kadoksissa olevat ihmiset olisivat muun muassa helpommin löydettävissä. Tämä tosin luo isoveli valvoo kuvitelman, koska joka hetki joku pystyy seuraamaan mihin tietty käyttäjä on tiettyyn aikaan menossa [10]. Ihmiseen asennettavalle sirulle löytyy varmasti tulevaisuudessa useita käyttötarkoituksia, se että onko maksaminen yksi niistä, niin sitä ei voi tietää. Ongelmia näistäkin menetelmistä löytyy, sillä ei täysin voida taata, että onko käyttäjän antama sormenjälki itse sormesta, joka laitteelle annetaan vai onko murtautuja ottanut jäljen jostain esineestä johon käyttäjä on koskenut. Täysin aukotonta systeemiä ihmisen identifikointiin on todella haastava kehittää, sillä ihmisellä tietoja, ruumiin osia, jälkiä, ääniä tai mitä ikinä käytetäänkin tunnistuksessa, voidaan kopioida murtautumistarkoituksena. Nykyteknologian avulla voidaan luoda melkein mitä tahansa, joten jos täysin aukoton keino tunnistaa käyttäjä olisi olemassa tai löydetty, olisi se jo varmaan kehitetty. Tällä hetkellä varmin keino on yhdistää monta eri teknologiaa, jolla yritetään olla varmoja käyttäjien identiteeteistä. PIN-koodi, sormenjälki, DNA-näyte, iiriksen tunnistus ja ääninäyte yhdistettynä menetelmänä kuulostaa jo täysin aukottomalta järjestelmältä, mutta kaikki näistä ovat murrettavissa tämän päiväisillä menetelmillä, joten täyttä varmuutta ei edes näillä saada käyttäjän identiteetistä. 3.3 Yhteenveto Yhteenvetona voidaan todeta, että vaikka PIN-koodi suojausmenetelmänä onkin vanha, niin sen käytännöllisyys ja helppokäyttöisyys on edelleenkin huippuluokkaa. Helposti muistetta ja lyhyt koodi antaa riittävästi suojaa vieläkin, mikäli käyttäjä itse

Sirulliset maksukortit ja niiden käyttö potilaan monipalvelupäätteessä

Sirulliset maksukortit ja niiden käyttö potilaan monipalvelupäätteessä Sirulliset maksukortit ja niiden käyttö potilaan monipalvelupäätteessä Arno Ekström Diplomityöseminaari 16.2.2010 Työn valvoja: Harri Haanpää Työ tehty Miratel Oy:lle Sisältö Työn tausta ja tavoitteet

Lisätiedot

Siru ja tunnusluku. Elokuu 2007

Siru ja tunnusluku. Elokuu 2007 Siru ja tunnusluku Elokuu 27 Siru ja tunnusluku Euroopassa siirrytään kortilla maksamisessa sirukortteihin ja sirukortit ovat laajasti käytössä jo useissa Euroopan maissa. Myös Suomessa on otettu sirukortit

Lisätiedot

OHJEET LIIKEPAIKOILLE

OHJEET LIIKEPAIKOILLE OHJEET LIIKEPAIKOILLE DINERS CLUB -KORTIN TUNNISTAMINEN Yhteistä kaikille Diners Club -korteille on vasemmassa yläkulmassa oleva Diners Clubin logo. Kortin etupuolelle on kohopainettu kortin numero, kortinhaltijan

Lisätiedot

OHJEET LIIKEPAIKOILLE

OHJEET LIIKEPAIKOILLE OHJEET LIIKEPAIKOILLE DINERS CLUB -KORTIN TUNNISTAMINEN Yhteistä kaikille Diners Club -korteille on vasemmassa yläkulmassa oleva Diners Clubin logo. Kortin etupuolelle on kohopainettu kortin numero, kortinhaltijan

Lisätiedot

DNSSec. Turvallisen internetin puolesta

DNSSec. Turvallisen internetin puolesta DNSSec Turvallisen internetin puolesta Mikä on DNSSec? 2 DNSSec on nimipalvelujärjestelmän (DNS) laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys. Teknisillä toimenpiteillä

Lisätiedot

RAHAXI Hypercom T2100

RAHAXI Hypercom T2100 RAHAXI Hypercom T2100 Käyttäjän Opas 1 SISÄLLYSLUETTELO... 1 1. RAHAXI PROCESSING OY... 2 1.1. Rahaxi-palvelu... 2 1.2. Yhteystiedot... 2 2. HYPERCOM T2100 MAKSUPÄÄTE... 3 2.1. Pakkauksen purkaminen...

Lisätiedot

Käyttöopas Mobiilipankkiin ja tunnuslukusovellukseen

Käyttöopas Mobiilipankkiin ja tunnuslukusovellukseen Käyttöopas Mobiilipankkiin ja tunnuslukusovellukseen Käyttöopas tunnuslukusovellukseen sekä mobiilipankkiin Tämä opas on tehty sinulle tueksi Nordean mobiilipalveluiden käytön aloittamiseen Näitä ohjeita

Lisätiedot

Useimmin kysytyt kysymykset

Useimmin kysytyt kysymykset Useimmin kysytyt kysymykset Versio 1.1 1 1. Mikä mobiilikortti on? Mobiilikortti on matkapuhelimessa toimiva sovellus ja www.mobiilikortti.com osoitteessa oleva palvelu. Sovelluksen avulla voit siirtää

Lisätiedot

KÄYTTÖOHJE Lumo-maksupääteratkaisu Ingenico IPP350 sirupääte

KÄYTTÖOHJE Lumo-maksupääteratkaisu Ingenico IPP350 sirupääte KÄYTTÖOHJE Lumo-maksupääteratkaisu Ingenico IPP350 sirupääte SISÄLTÖ 1. Sirupääte... 3 2. Maksukorttitapahtuma... 4 2.1 Tapahtumatyypin valinta (siru/juova tai näppäily)... 4 2.2 Maksukorttitapahtuma sirulla...

Lisätiedot

SALAUSMENETELMÄT. Osa 2. Etätehtävät

SALAUSMENETELMÄT. Osa 2. Etätehtävät SALAUSMENETELMÄT Osa 2 Etätehtävät A. Kysymyksiä, jotka perustuvat luentomateriaaliin 1. Määrittele, mitä tarkoitetaan tiedon eheydellä tieoturvan yhteydessä. 2. Määrittele, mitä tarkoittaa kiistämättömyys

Lisätiedot

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat

Lisätiedot

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus 1 (7) PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus 18.04.2005 2 (7) Sisällysluettelo 1 REITTi -varmmennuspalvelun palvelukuvaus... 3 1.1 REITTi -varmennuspalvelu... 3 2 Tekninen toteutus... 4

Lisätiedot

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, risto.hakala@viestintavirasto.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Tiedon suojauksessa käytetyt menetelmät Salausratkaisun arviointi

Lisätiedot

Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä

Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä Hyvä Salis Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä salasana. Jokainen salasanaan lisäämäsi kirjain

Lisätiedot

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, risto.hakala@ficora.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Miten tietoa voidaan suojata? Mitä yksityiskohtia salausratkaisun

Lisätiedot

MITEN MAKSAMISEN, TUNNISTAMISEN JA SÄHKÖISEN ASIOINNIN PELIKENTTÄ MUUTTUU? VAI MUUTTUUKO?

MITEN MAKSAMISEN, TUNNISTAMISEN JA SÄHKÖISEN ASIOINNIN PELIKENTTÄ MUUTTUU? VAI MUUTTUUKO? MITEN MAKSAMISEN, TUNNISTAMISEN JA SÄHKÖISEN ASIOINNIN PELIKENTTÄ MUUTTUU? VAI MUUTTUUKO? 3.6.2013 Teknologiateollisuus ry & Teleforum ry Pekka Laaksonen, johtava asiantuntija 1 TOISINAAN VANHA JA UUSI

Lisätiedot

Mikä on NFC kameroissa?

Mikä on NFC kameroissa? Mikä on NFC kameroissa? Jos olet ollut ostamassa (video)kameraa äskettäin, olet luultavasti nähnyt termin NFC. Kyseessä on Near Field Communication (lähiluku) ominaisuus. Videokerhon kerhoiltaan 22.11.2016

Lisätiedot

Digisovittimien testaus ja laitteiden linkitys HDpalveluissa. Timo Santi DigiPhilos Oy

Digisovittimien testaus ja laitteiden linkitys HDpalveluissa. Timo Santi DigiPhilos Oy Digisovittimien testaus ja laitteiden linkitys HDpalveluissa Timo Santi DigiPhilos Oy CA-linkitysprojektin tavoitteet Saada korkealaatuista, kuluttajaa kiinnostavaa HD-sisältöä tarjolle Suomen kaapelitelevisioverkkoihin.

Lisätiedot

Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys

Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys SISÄLLYSLUETTELO 1. Kaikille käyttäjille Johdanto...3 Tietoja oppaasta...3 Tavaramerkit... 4 Mikä on RICOH Smart Device Connector?...

Lisätiedot

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa 2.10.2017 Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Petri Puhakainen, valtioneuvoston tietoturvapäällikkö Tietoturvallisuuden

Lisätiedot

BIOMETRINEN TUNNISTUS MIKA RÖNKKÖ

BIOMETRINEN TUNNISTUS MIKA RÖNKKÖ BIOMETRINEN TUNNISTUS MIKA RÖNKKÖ MITÄ ON BIOMETRINEN TUNNISTUS Tapa ja sen taustalla oleva teknologia, jolla henkilö voidaan tunnistaa käyttämällä yhtä tai useampaa biologista piirrettä. Nykyään osataan

Lisätiedot

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android 4.0.3 Ice Cream Sandwichissä.

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android 4.0.3 Ice Cream Sandwichissä. Y K S I K Ä Ä N A S I A K A S E I O L E M E I L L E LI I A N P I E NI TAI M I K Ä Ä N H A A S T E LI I A N S U U R I. Android Sähköpostin määritys Määrittämällä sähköpostitilisi Android-laitteeseesi, voit

Lisätiedot

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy Käyttöohje Ticket Inspector Versio 1.0 Sportum Oy 10.5.2017 Sivu 1 Sisällysluettelo 1. Yleistä... 2 2. Kirjautuminen ensimmäisellä kerralla / PIN-koodin unohtuessa... 3 3. Tunnistautuminen... 4 4. Päänäkymä...

Lisätiedot

1.1 Maksupäätteen kytkeminen 2 1.2 Yhteyden testaus 3

1.1 Maksupäätteen kytkeminen 2 1.2 Yhteyden testaus 3 SISÄLLYS: 1. ENNEN KÄYTTÖÖNOTTOA 1.1 Maksupäätteen kytkeminen 2 1.2 Yhteyden testaus 3 2. TAPAHTUMAT 2.1 Maksutapahtuman teko sirulla 4 2.2 Maksutapahtuman teko juovalla 6 2.3 Offline tapahtuman teko 7

Lisätiedot

Rahaxi Thyron maksupääte pikaohje

Rahaxi Thyron maksupääte pikaohje Rahaxi Processing Oy Asiakaspalvelu puh. 09-612 0730 Versio 1.0, 12.10.2006 1 Sisällysluettelo 1 Sisällysluettelo... 1 2 Maksupäätteen käynnistys... 2 3 Yleiset toiminnot... 2 3.1 Valikoiden selaus...

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai sähköiseen

Lisätiedot

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1 PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 Nixu 2014 1 Yleistä PCI DSS standardin kehittämisestä PCI SSC (Payment Card Industry Security Standards Council)

Lisätiedot

Tietoturvan haasteet grideille

Tietoturvan haasteet grideille Tietoturvan haasteet grideille / Arto Teräs 2005-09-06 Kalvo 1(10) Tietoturvan haasteet grideille Arto Teräs FUNET CERT 10-vuotispäivät Espoo, 6.9.2005 Grid Tietoturvan haasteet grideille

Lisätiedot

KÄYTTÖOHJE Luottokunnan maksupääteratkaisu Ingenico ML-30 sirupääte

KÄYTTÖOHJE Luottokunnan maksupääteratkaisu Ingenico ML-30 sirupääte KÄYTTÖOHJE Luottokunnan maksupääteratkaisu Ingenico ML-30 sirupääte SISÄLTÖ 1. Sirupääte... 3 2. Maksukorttitapahtuma... 4 2.1 Tapahtumatyypin valinta (siru/juova tai näppäily)...4 2.2 Maksukorttitapahtuma

Lisätiedot

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus

Lisätiedot

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen Enigmail-opas Enigmail on Mozilla Thunderbird ja Mozilla Seamonkey -ohjelmille tehty liitännäinen GPG-salausohjelmiston käyttöä varten. Sitä käytetään etenkin Thunderbirdin kanssa sähköpostin salaamiseen

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

Hankinnan problematiikka

Hankinnan problematiikka Antti Kirmanen Hankinnan problematiikka Toimittajan näkökulma Asiakkaan näkökulma www.sulava.com www.facebook.com/sulavaoy 2 1. Ristiriita www.sulava.com www.facebook.com/sulavaoy 3 Asiakas haluaa Onnistuneen

Lisätiedot

Langattomien verkkojen tietosuojapalvelut

Langattomien verkkojen tietosuojapalvelut Langattomien verkkojen tietosuojapalvelut Sisältö Työn tausta & tavoitteet Käytetty metodiikka Työn lähtökohdat IEEE 802.11 verkkojen tietoturva Keskeiset tulokset Demonstraatiojärjestelmä Oman työn osuus

Lisätiedot

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION Salasanojen hallinta Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION Restaurant Enterprise Solution Asiakirjan tarkoitus Tämä asiakirja kertoo tarvittavat säännöt kuinka hallinnoida RES salasanoja

Lisätiedot

1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen

1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen 1 OHJEET 1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen verkkopalveluun 2 1.2 Rekisteröityminen 2 1.2 Tunnistautuminen 3 1.2.1 Tunnistautuminen henkilökortilla 3 1.2.2 Mobiilivarmenteella tunnistautuminen

Lisätiedot

DumpDbox-ohjelmiston asennus- ja käyttöohjeet Sisällys

DumpDbox-ohjelmiston asennus- ja käyttöohjeet Sisällys DumpDbox-ohjelmiston asennus- ja käyttöohjeet Sisällys 1. Esittely... 2 2. Asennusohjeet... 2 3. Yleiskuva ohjelmistosta... 3 4. Tietojen siirtäminen D-Boxin avulla... 4 4.1. Piirturitiedostojen siirtäminen...

Lisätiedot

Pivo Lompakko mobiilimaksaminen, mobiililompakko, what s the difference

Pivo Lompakko mobiilimaksaminen, mobiililompakko, what s the difference Pivo Lompakko mobiilimaksaminen, mobiililompakko, what s the difference M a t t i R u s i l a O p R y h m ä Matti Rusila Head of Pivo Wallet @mrusila Taapero maksamisessa (4v) 3 [Alatunniste] Suomen suosituin

Lisätiedot

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services Järjestelmäarkkitehtuuri (TK081702) Standardoidutu tapa integroida sovelluksia Internetin kautta avointen protokollien ja rajapintojen avulla. tekniikka mahdollista ITjärjestelmien liittämiseen yrityskumppaneiden

Lisätiedot

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,

Lisätiedot

AMERICAN EXPRESS GLOBAL MERCHANT SERVICES. Aloituspaketti TYÖKALUT AMERICAN EXPRESS -KORTTIEN HYVÄKSYMISEEN MAKSUVÄLINEENÄ.

AMERICAN EXPRESS GLOBAL MERCHANT SERVICES. Aloituspaketti TYÖKALUT AMERICAN EXPRESS -KORTTIEN HYVÄKSYMISEEN MAKSUVÄLINEENÄ. AMERICAN EXPRESS GLOBAL MERCHANT SERVICES Aloituspaketti TYÖKALUT AMERICAN EXPRESS -KORTTIEN HYVÄKSYMISEEN MAKSUVÄLINEENÄ. Pikaopas Kiitos, että valitsit American Expressin! Tässä oppaassa on tärkeitä

Lisätiedot

F-Secure Mobile Security. Android

F-Secure Mobile Security. Android F-Secure Mobile Security Android F-Secure Mobile Security Sisällysluettelo 3 Sisällys Luku 1:Asennus...5 Asentaminen...6 Aktivointi...7 Luku 2:Luottamuksellisten tietojen suojaaminen...9 Anti-Theftin

Lisätiedot

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje Muistio 1 (7) Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje Sisällys 1 Johdanto... 1 2 Suojatun viestin vastaanottaminen... 1 3 Suojatun viestin lukeminen... 2 4 Vastaanotetun

Lisätiedot

HUOMAUTUS! Älä kytke Cometia USB-kaapelilla tietokoneeseesi, kun lataat satunnaiskoodeilla.

HUOMAUTUS! Älä kytke Cometia USB-kaapelilla tietokoneeseesi, kun lataat satunnaiskoodeilla. RAHAN LATAAMINEN COMET-MAKSULAITTEESEEN SATUNNAISKOODEJA KÄYTTÄMÄLLÄ HUOMAUTUS! Älä kytke Cometia USB-kaapelilla tietokoneeseesi, kun lataat satunnaiskoodeilla. Voit käyttää Comet maksulaitteen lataamista

Lisätiedot

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT 1 Yritysesittely Smart Idea MARA-alan ITpalvelutoimittaja erikoistunut kassajärjestelmiin, maksupäätteisiin ja ravintolaverkkoihin. SKJ Systems - luo asiakkailleen

Lisätiedot

Tietoturvavinkkejä pilvitallennuspalveluiden

Tietoturvavinkkejä pilvitallennuspalveluiden Tietoturvavinkkejä pilvitallennuspalveluiden turvallisempaan käyttöön 11/2014 Sisällysluettelo Johdanto... 3 1 Mikä on pilvipalvelu?... 3 2 Mikä on pilvitallennuspalvelu?... 3 3 Ovatko pilvipalvelut turvallisia?...

Lisätiedot

Opas tekijänoikeudesta valokuvaan, piirrettyyn kuvaan, liikkuvaan kuvaan, ääneen ja musiikkitallenteisiin sekä tekijänoikeudesta internettiin.

Opas tekijänoikeudesta valokuvaan, piirrettyyn kuvaan, liikkuvaan kuvaan, ääneen ja musiikkitallenteisiin sekä tekijänoikeudesta internettiin. Opas tekijänoikeudesta valokuvaan, piirrettyyn kuvaan, liikkuvaan kuvaan, ääneen ja musiikkitallenteisiin sekä tekijänoikeudesta internettiin. TEKIJÄNOIKEUS (Kopiereg - Derechos d autor - Müəlliflik hüquqları

Lisätiedot

Web-palveluiden toteutus älykortille

Web-palveluiden toteutus älykortille älykortille Jukka Hänninen Valvoja: Prof. Raimo Kantola Ohjaaja: DI Kaj Höglund, Elisa Oyj Sisältö Työn tausta Standardointi Älykortin web-palvelin Toteutus Hyödyt ja mahdollisuudet Kohdatut ongelmat Lopputulos

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

Ulkoiset mediakortit Käyttöopas

Ulkoiset mediakortit Käyttöopas Ulkoiset mediakortit Käyttöopas Copyright 2007 Hewlett-Packard Development Company, L.P. SD-logo on omistajansa tavaramerkki. Java on Sun Microsystems, Inc:n tavaramerkki Yhdysvalloissa. Tässä olevat tiedot

Lisätiedot

TIETOTURVALLISUUDESTA

TIETOTURVALLISUUDESTA TIETOTURVALLISUUDESTA Tietoturvallisuus riippuu monista asioista. Tärkein niistä on käyttäjä itse! Käyttäjä voi toimia turvallisesti tai turvattomasti Tervettä harkintaa tarvitaan erityisesti Internetin

Lisätiedot

Maksujärjestelmien tuleva kehitys

Maksujärjestelmien tuleva kehitys Maksujärjestelmien tuleva kehitys Suomen Pankki Harry Leinonen 12.10.2004 E-mail:etunimi.sukunimi@bof.fi Mitä on maksaminen 4 Maksaminen on korvauksen tai velan suorittamista 4 Rahalla maksaminen korvasi

Lisätiedot

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi Sonera ID huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi 2 Joko sinulla on henkilöllisyystodistus matkapuhelimessasi? Sonera ID -mobiilivarmenne on uudenlainen sähköinen henkilötodistus,

Lisätiedot

PALAUTUKSEN PERUSTOIMINNALLISUUDEN KUVAUS

PALAUTUKSEN PERUSTOIMINNALLISUUDEN KUVAUS PALAUTUKSEN PERUSTOIMINNALLISUUDEN KUVAUS Palautuksen tekemiseen liittyvät seuraavat vaiheet: Sovi asiakkaan kanssa tuotteen palautuksesta haluamallasi tavalla Varmista, että asiakkaan sähköpostiosoite

Lisätiedot

F-Secure KEY salasanojenhallintaohjelman käyttöönotto Mac -laitteella

F-Secure KEY salasanojenhallintaohjelman käyttöönotto Mac -laitteella F-Secure KEY salasanojenhallintaohjelman käyttöönotto Mac -laitteella 1 F-Secure KEY F-Secure KEY on palvelu, joka tallentaa turvallisesti kaikki henkilökohtaiset tunnistetiedot, kuten salasanat ja maksukorttitiedot,

Lisätiedot

HUOM! Latauskaapelia ei saa kytkeä laitteeseen ennen hyväksytyn maksuprosessin suorittamista! Kirjaudu

HUOM! Latauskaapelia ei saa kytkeä laitteeseen ennen hyväksytyn maksuprosessin suorittamista! Kirjaudu Ecariot mobiili applikaatio-ohje 1 (6) Ecariot Oy:n operoimissa maksullisissa latauslaitteissa on mahdollista käynnistää sähköauton lataus mobiiliapplikaation kautta. Applikaatiota voivat käyttää vain

Lisätiedot

TALOUSVALIOKUNTA KANSALLISILLE PANKEILLE TASAPUOLISET TOIMINTAEDELLYTYKSET SIIRTOHINNAT SÄILYTTÄMÄLLÄ

TALOUSVALIOKUNTA KANSALLISILLE PANKEILLE TASAPUOLISET TOIMINTAEDELLYTYKSET SIIRTOHINNAT SÄILYTTÄMÄLLÄ TALOUSVALIOKUNTA KANSALLISILLE PANKEILLE TASAPUOLISET TOIMINTAEDELLYTYKSET SIIRTOHINNAT SÄILYTTÄMÄLLÄ Kirsi Klepp 20.11.2015 1 SIIRTOHINNAN MAKSAA KORTTITAPAHTUMIEN VASTAANOTTAJA KORTINMYÖNTÄJÄLLE Kortinhaltija

Lisätiedot

Nordea First Card -sovelluksen käyttöönotto

Nordea First Card -sovelluksen käyttöönotto Valtiokonttori Ohje 1 (8) 10.10.2017 Dnro VK/797/00.00.00.01/2017 Kirjanpitoyksiköt ja talousarvion ulkopuolella olevat valtion rahastot Nordea First Card -sovelluksen käyttöönotto Valtion talousarviosta

Lisätiedot

Maksaminen tulevaisuudessa Turvallisesti kohti murrosta. Talous- ja Palkkahallintopäivät Danske Bank

Maksaminen tulevaisuudessa Turvallisesti kohti murrosta. Talous- ja Palkkahallintopäivät Danske Bank Maksaminen tulevaisuudessa Turvallisesti kohti murrosta Talous- ja Palkkahallintopäivät Danske Bank Agenda Maksamisen uusi tuleminen Danske Bank mukana murroksessa Digitaalinen turvallisuus 2 Murros vähittäiskaupan

Lisätiedot

Langaton Tampere yrityskäyttäjän asetukset

Langaton Tampere yrityskäyttäjän asetukset Sivu 1/6 Langaton Tampere yrityskäyttäjän asetukset Tässä ohjeessa kerrotaan, miten teet kannettavan tietokoneesi ja WLANkännykkäsi määrittelyt. Ohjeet on tarkoitettu sellaiselle yritykselle, jolla on

Lisätiedot

Tietosuojaseloste. Trimedia Oy

Tietosuojaseloste. Trimedia Oy Tietosuojaseloste Trimedia Oy www.trimedia.fi info@trimedia.fi +358 44 535 7215 1 Tietosuojaseloste 1. Rekisterin pitäjä Yritys valvoo antamiasi tietoja ja on vastuussa henkilötiedoista tietosuojalain

Lisätiedot

SIRU JA TUNNUSLUKU Kysymyksiä ja vastauksia

SIRU JA TUNNUSLUKU Kysymyksiä ja vastauksia 1 SIRU JA TUNNUSLUKU Kysymyksiä ja vastauksia Sisältö KORTTIEN KÄYTTÖÖNOTTO... 2 AIKATAULUT... 2 KORTTIEHDOT... 3 MITEN TOIMIA KAUPASSA TAI RAVINTOLASSA?... 3 TUNNUSLUVUN KÄYTTÖ... 5 ONGELMAT MAKSUTAPAHTUMAN

Lisätiedot

Tietoturvatekniikka Ursula Holmström

Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Tietoturvan osa-alueet Muutama esimerkki Miten toteutetaan Eheys Luottamuksellisuus Saatavuus Tietoturvaterminologiaa Luottamuksellisuus Eheys Saatavuus

Lisätiedot

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID http://fi.yourpdfguides.com/dref/2859496

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID http://fi.yourpdfguides.com/dref/2859496 Voit lukea suosituksia käyttäjän oppaista, teknisistä ohjeista tai asennusohjeista tuotteelle F-SECURE MOBILE SECURITY 6 FOR ANDROID. Löydät kysymyksiisi vastaukset F-SECURE MOBILE SECURITY 6 FOR ANDROID

Lisätiedot

eduroamin käyttöohje Windows

eduroamin käyttöohje Windows eduroamin käyttöohje eduroamissa liitytään verkkoon käyttäen 802.1x:ää. Tätä varten tarvitaan suplikantti ja tietokoneissa voidaan käyttää Windowsin tai Linuxin oma suplikanttia. eduroamiin voidaan myös

Lisätiedot

T-79.4501 Cryptography and Data Security

T-79.4501 Cryptography and Data Security T-79.4501 Cryptography and Data Security Lecture 11 Bluetooth Security Bluetooth turvallisuus Uhkakuvat Bluetooth turvallisuuden tavoitteet Linkkitason turvamekanismit Pairing menettely Autentikointi ja

Lisätiedot

Menetelmäraportti - Konfiguraationhallinta

Menetelmäraportti - Konfiguraationhallinta Menetelmäraportti - Konfiguraationhallinta Päiväys Tekijä 22.03.02 Ville Vaittinen Sisällysluettelo 1. Johdanto... 3 1.1 Tärkeimmät lyhenteet... 3 2. Konfiguraationhallinnan tärkeimmät välineet... 4 2.1

Lisätiedot

PSD2. Keskeiset muutokset maksupalvelulainsäädäntöön Sanna Atrila. Finanssivalvonta Finansinspektionen Financial Supervisory Authority

PSD2. Keskeiset muutokset maksupalvelulainsäädäntöön Sanna Atrila. Finanssivalvonta Finansinspektionen Financial Supervisory Authority PSD2 Keskeiset muutokset maksupalvelulainsäädäntöön Uudistettu maksupalveludirektiivi PSD2 Tavoitteena saattaa erilaiset maksupalvelut nykyistä laajemmin sääntelyn piiriin sekä saattaa maksupalvelujen

Lisätiedot

TIETOTURVAOHJE ANDROID-LAITTEILLE

TIETOTURVAOHJE ANDROID-LAITTEILLE TIETOTURVAOHJE ANDROID-LAITTEILLE 7.3.2015 ATK Seniorit Mukanetti ry / Android-kerho 2 1. Mitä teet, jos laite katoaa tai varastetaan Turvatoimet etukäteen: Kirjoita yhteystietosi laitteen takakanteen:

Lisätiedot

RiskPointer transaction decision framework. Pekka Honkonen CEO

RiskPointer transaction decision framework. Pekka Honkonen CEO RiskPointer transaction decision framework Pekka Honkonen CEO September 27, 2013 RiskPointer 2012 Tausta RiskPointer on yhtiö, joka perustettiin Nokialla kehitetyn teknologian pohjalta Perustuu OVI ja

Lisätiedot

Kirjanpidon ALV-muutos

Kirjanpidon ALV-muutos 9.9.2010 1(10) Kirjanpidon ALV-muutos Tämä dokumentti sisältää ohjeen sille miten uudet ALVkoodit (ALV-prosentit) otetaan käyttöön. Vaihtoehto yksi(1) vaihda olemassaolevat ALV-koodit yhdestä prosentista

Lisätiedot

Ulkoiset mediakortit Käyttöopas

Ulkoiset mediakortit Käyttöopas Ulkoiset mediakortit Käyttöopas Copyright 2009 Hewlett-Packard Development Company, L.P. Java on Sun Microsystems, Inc:in yhdysvaltalainen tavaramerkki. SD-logo on omistajansa tavaramerkki. Tuotetta koskeva

Lisätiedot

Alkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari

Alkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari Alkuraportti Avoimen lähdekoodin käyttö WWW-sovelluspalvelujen toteutuksessa Lappeenranta, 30.3.2008,

Lisätiedot

TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA

TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA SUOMEN PANKKI Rahoitusmarkkina- ja tilasto-osasto 1 / 10 Versio Pvm Päivittäjä 1.0 20.2.2007 Härkönen, Tony 1.1 24.2.2007 Huhtaniska,

Lisätiedot

Yhtenäinen euromaksualue SEPA

Yhtenäinen euromaksualue SEPA Yhtenäinen euromaksualue SEPA Miten maksaminen muuttuu ja kehittyy 1 Euro on paras asia EU:ssa Ostovoima säilyy vaikka liikutaan rajojen yli. Hintoja on helppo verrata. Ei rahanvaihto- tai siirtelykuluja.

Lisätiedot

Ulkoiset tallennusvälinekortit

Ulkoiset tallennusvälinekortit Ulkoiset tallennusvälinekortit Asiakirjan osanumero: 419584-351 Tammikuu 2007 Tässä oppaassa kerrotaan ulkoisten tallennusvälinekorttien käytöstä. Sisällysluettelo 1 Digitaalisten tallennusvälineiden korttipaikassa

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet

Lisätiedot

Ennen varmenteen asennusta varmista seuraavat asiat:

Ennen varmenteen asennusta varmista seuraavat asiat: NAPPULA-VARMENTEEN ASENNUSOHJE 1/17 Suosittelemme käyttämään Nappulaa uusimmalla versiolla Firefox- tai Chrome- tai Applen laitteissa Safariselaimesta. Tästä dokumentista löydät varmenteen asennusohjeet

Lisätiedot

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/ Tietoturva Internet kaupankäynnissä E-Commerce for Extended Enterprise 29.4.98 Jari Pirhonen (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com Tutkimus web-palveluista

Lisätiedot

Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen

Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen 1 (13) Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen 2 (13) Sisällysluettelo 1 Palveluun rekisteröityminen... 3 1.1 Henkilötiedot...4 1.2 Suomen Pankin tiedonkeruut... 5 1.2.1 Alustava

Lisätiedot

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka The administrative process of a cluster Santtu Rantanen Valvoja: Prof. Jorma Jormakka Sisällysluettelo Johdanto Yleistä HA klustereista Tietoturva klustereissa Hallintaprosessi Johtopäätökset Johdanto

Lisätiedot

E-kirjan kirjoittaminen

E-kirjan kirjoittaminen 1 E-kirjan kirjoittaminen Ohjeet e-kirjan kirjoittamiseen Tämän ohjeistuksen tavoitteena on auttaa sinua luomaan yksinkertainen e-kirja (pdftiedosto) asiakkaallesi. Kirja näyttää hänelle kuinka hyvin ymmärrät

Lisätiedot

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä? TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se, että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet

Lisätiedot

ILMOITUSSOVELLUS 4.1. Rahanpesun selvittelykeskus REKISTERÖINTIOHJE. SOVELLUS: 2014 UNODC, versio 4.1.38.0

ILMOITUSSOVELLUS 4.1. Rahanpesun selvittelykeskus REKISTERÖINTIOHJE. SOVELLUS: 2014 UNODC, versio 4.1.38.0 Rahanpesun selvittelykeskus ILMOITUSSOVELLUS 4.1 REKISTERÖINTIOHJE SOVELLUS: 2014 UNODC, versio 4.1.38.0 Tekninen tuki: puh: 0295 486 833 (ark. 8-16) email: goaml.krp@poliisi.fi Ilmoitusten sisältöön liittyvät

Lisätiedot

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet

Lisätiedot

Tietoturvapolitiikka turvallisuuden perusta

Tietoturvapolitiikka turvallisuuden perusta Tietoturvapolitiikka turvallisuuden perusta TkT Pekka Jäppinen Lappeenrannan Teknillinen yliopisto PROSTEK-yhteistyöfoorumi 18.4.2013 18.4.2013 Pekka Jäppinen Turvallisuus on yhtä vahva kuin sen heikoin

Lisätiedot

Ulkoiset mediakortit Käyttöopas

Ulkoiset mediakortit Käyttöopas Ulkoiset mediakortit Käyttöopas Copyright 2010 Hewlett-Packard Development Company, L.P. Java on Sun Microsystems, Inc:n tavaramerkki Yhdysvalloissa. SD-logo on omistajansa tavaramerkki. Tuotetta koskeva

Lisätiedot

Nordea Debit Nordea Electron

Nordea Debit Nordea Electron Nordea Pankki Suomi Oyj HKO232 11.13 Nordea Debit Nordea Electron Kortinhaltijan opas Debit- ja Electron -korteilla Nordea asioit kotimaassa, ulkomailla ja internetissä. Jos sinulla on kysyttävää kortistasi,

Lisätiedot

Option GlobeSurfer III pikakäyttöopas

Option GlobeSurfer III pikakäyttöopas Option GlobeSurfer III pikakäyttöopas Laitteen ensimmäinen käyttöönotto 1. Aseta SIM-kortti laitteen pohjaan pyötätuen takana olevaan SIM-korttipaikkaan 2. Aseta mukana tullut ethernetkaapeli tietokoneen

Lisätiedot

TILASTOTIETOJA PANKKIEN MAKSU- JÄRJESTELMISTÄ SUOMESSA 2002-2013 12.5.2014

TILASTOTIETOJA PANKKIEN MAKSU- JÄRJESTELMISTÄ SUOMESSA 2002-2013 12.5.2014 TILASTOTIETOJA PANKKIEN MAKSU- JÄRJESTELMISTÄ SUOMESSA 2002-2013 12.5.2014 1 TILASTOTIETOJA PANKKIEN MAKSUJÄRJESTELMISTÄ SUOMESSA 2002-2013 MAKSUJENVÄLITYS 1 Maksutapahtumat pankeissa 2 Shekkimaksut 3

Lisätiedot

Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa:

Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa: Ismo Grönvall/Timo/TUTA 0353064 Tehtävä 5: Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa: Ihmiset viettävät huomattavan osan (>90 %) ajasta sisätiloissa. Sisäilmaston laatu on tästä syystä

Lisätiedot

sertifikaattiratkaisu Apitamopki

sertifikaattiratkaisu Apitamopki Ilmoitin.fi - tunnistamisen sertifikaattiratkaisu Apitamopki Web Services -rajapinnan muutokset Verohallinnon ja ohjelmistotalojen yhteistyöpäivä 23.5.2019 Esityksen sisällöstä Muutama sana varmenteista

Lisätiedot

XEROXIN TURVATIEDOTE XRX05-008 Versio 1.0 Muutettu viimeksi: 10/08/05

XEROXIN TURVATIEDOTE XRX05-008 Versio 1.0 Muutettu viimeksi: 10/08/05 XEROXIN TURVATIEDOTE XRX05-008 Xerox MicroServer -web-palvelimessa on haavoittuvuuksia, jotka saattavat mahdollistaa järjestelmän luvattoman käytön. Seuraavassa on ohjeet alla lueteltujen laitteiden tietojen

Lisätiedot

Verkkopalkan palvelukuvaus

Verkkopalkan palvelukuvaus 27.1.2012 1 (6) Verkkopalkan palvelukuvaus 27.1.2012 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Verkkopalkka-palvelun toiminta palkanmaksajalle... 3 3 Verkkopalkan käyttöönotto... 4 4 Verkkopalkka-palvelun

Lisätiedot

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com SecGo Sähköinen allekirjoitus ja sen käyttö Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com Turvallinen Sähköinen Tiedonkulku Tunnistetut käyttäjät tietojärjestelmiin Pääsyoikeudet

Lisätiedot

T-110.5690 Yritysturvallisuuden seminaari

T-110.5690 Yritysturvallisuuden seminaari T-110.5690 Yritysturvallisuuden seminaari 28.9.2005 Mikko Hopeakivi Ross Anderson: Security Engineering Security Engineering: A Guide to Building Dependable Distributed Systems Ross Anderson Cambridgen

Lisätiedot

Päivi Heikkinen 8.1.2016. Julkinen

Päivi Heikkinen 8.1.2016. Julkinen Muistio 1 (5) Käteistä kaupan kassalta - yleinen palvelukuvaus 1 Käteisen saatavuus Suomessa 2 Käteistä kaupan kassalta Käteisen jakelukanavista merkittävin on Otto.-automaattiverkko, jonka kautta jaetaan

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai

Lisätiedot