Jesteśmy firmą konsultingową, specjalizującą się w usługach SAP, outsourcingu IT i rozwoju oprogramowania. Wspieramy biznes naszych klientów. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP, światowego lidera w zakresie transformacji środowisk SAP

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

TAG Systems: Testy penetracyjne dla branży personalizacji kart płatniczych

Symulacja ataku hakerskiego

Udostępnij
W branży kart płatniczych kwestie bezpieczeństwa systemów informatycznych mają kluczowe znaczenie. Z uwagi na dane wrażliwe, które są w nich przetwarzane, muszą spełniać wymogi określone w dedykowanych dla nich normach. Zapewnienie wymaganego poziomu bezpieczeństwa gwarantują regularnie przeprowadzane testy penetracyjne w ramach zgodności z normami PCI Card Production.

TAG Systems oferując kompleksowe usługi w zakresie produkcji i dostawy kart oraz ich personalizacji, ma dostęp do szczególnie wrażliwych danych, takich jak: dane osobowe, numery kart płatniczych oraz dane autoryzacyjne w postaci kodów PIN. Powoduje to konieczność zapewnienia wysokiego poziomu bezpieczeństwa. Sposobem jego weryfikacji są przede wszystkim regularne testy penetracyjne. Wymóg ten jest zdefiniowany w punkcie 5.8 standardu PCI Card Production – Logical Security Requirements. Zgodnie z nim konieczne jest przeprowadzenie wewnętrznych i zewnętrznych testów penetracyjnych co najmniej raz w roku oraz po każdej poważnej zmianie w infrastrukturze. Testy muszą obejmować wszystkie komponenty sieci personalizacyjnej wraz z systemami operacyjnymi. Dodatkowo w warstwie aplikacyjnej należy zweryfikować występowanie m.in. następujących podatności:

  • wstrzyknięcie danych (np. SQL injection),
  • przepełnienie bufora (ang. Buffer overflow),
  • niewłaściwe zabezpieczenia kryptograficzne,
  • nieprawidłowa obsługa błędów.

PCI Card Production

Wszystkie firmy i systemy związane z produkcją, personalizacją i dystrybucją kart kredytowych, wraz z przetwarzaniem i wysyłaniem informacji uwierzytelniających (np. kodów PIN) są zobowiązane do przestrzegania wytycznych opisanych w standardzie PCI Card Production. Norma ta jest podzielona na sekcje dotyczące bezpieczeństwa na poziomie fizycznym (ang. Physical Security Requirements) oraz logicznym (ang. Logical Security Requirements). Zastosowanie się do wymogów opisanych w ww. dokumentach jest warunkiem koniecznym do uzyskania certyfikacji PCI.

Rola SNP

Optymalną metodą weryfikacji bezpieczeństwa systemu okazał się zaproponowany przez SNP, etyczny haking – usługa polegająca na szczegółowym, metodycznym przetestowaniu sieci i systemów pod kątem występowania błędów i podatności. W praktyce jest to symulacja rzeczywistego ataku na infrastrukturę, przeprowadzonego z Internetu lub z sieci wewnętrznej przez nielojalnego pracownika. Dzięki wysokim kompetencjom konsultantów SNP oraz wykorzystanym specjalistycznym narzędziom, taka praktyczna próba przełamania zabezpieczeń systemu pozwoliła na kompleksową weryfikację poziomu bezpieczeństwa infrastruktury firmy TAG Systems.

Przebieg testów

Testy penetracyjne zrealizowano zgodnie z następującymi metodykami:

  • National Institute of Standards and Technology Special Publication (NIST SP 800-115)
  • Offensive Security
  • OWASP TOP 10 (ang. Open Web Application Security Project)

Konsultanci SNP od lat kształcą się w obszarze bezpieczeństwa, zdobywając uznane w środowisku IT certyfikaty. Połączenie ich wiedzy i doświadczenia wraz ze specjalistycznym oprogramowaniem oraz  zastosowaniem uznanych w świecie profesjonalnych metodyk przeprowadzania testów penetracyjnych gwarantuje weryfikację zabezpieczeń na wysokim poziomie.

Trzy etapy testów

W pierwszym etapie przeprowadzono zdalny test penetracyjny punktu styku badanego środowiska z Internetem. Prace przeprowadzono w scenariuszu czarnej skrzynki (ang. black box) bez jakiejkolwiek wiedzy o systemie. Pracę rozpoczęto od fazy rozpoznania i enumeracji. Następnie systemy zostały przeskanowane za pomocą skanerów podatności. Każda z odnalezionych podatności została w kolejnym kroku zweryfikowana, tak, aby odrzucić wyniki fałszywie pozytywne. W przypadku gdy dla danej podatności był dostępny exploit podejmowano próbę jego wykorzystania w celu zaatakowania badanej infrastruktury.

W drugim etapie lokalnie zweryfikowano poziom zabezpieczeń sieci wewnętrznej HSA (ang. High Security Area). Na tym etapie konsultantowi udostępniono plan sieci oraz informacje o adresach i rolach krytycznych systemów. W tym scenariuszu dodatkowo zweryfikowano separację pomiędzy poszczególnymi VLAN’ami sieci wewnętrznej.

W trzecim etapie zbadano poziom bezpieczeństwa aplikacji i baz danych wykorzystywanych w procesie personalizacji kart płatniczych. Aplikacje zawierające interfejs użytkownika zostały poddane dodatkowym testom badającym możliwość uzyskania bezpośredniego dostępu do przetwarzanych danych. Zweryfikowano również poziom zabezpieczeń stosowanych do ochrony przetwarzanych danych.

W czasie testów konsultant był w stałym kontakcie z administratorami i na bieżąco zgłaszał odnalezione krytyczne podatności w badanych systemach.

Podsumowanie

Testy zostały podsumowane obszernym raportem dokumentującym przebieg prac oraz zawierającym informacje o odnalezionych podatnościach wraz z rekomendacjami dotyczącymi ich usunięcia. Zawarto tam również informacje pozwalające na utwardzenie konfiguracji badanych urządzeń i systemów. W załącznikach znalazły się raporty z wynikami prac specjalistycznego oprogramowania – skanerów podatności.

Bezpieczeństwo systemów przede wszystkim
W naszej branży testy penetracyjne to nieodzowna praktyka. Nasze systemu muszą być bezpieczne, dlatego regularnie przeprowadzamy testy bezpieczeństwa. SNP Poland, dokonując symulacji ataku hackerskiego, sprawdziło kompleksowo zabezpieczenia naszej firmy, przedstawiając nam końcowy raport, który posłużył nam do jeszcze lepszego zabezpieczenia naszych systemów.
Jacek Nowacki, Dyrektor Zarządzający, Tag Systems

Pentesty w SNP
SNP realizuje usługi związanie z dziedziną szeroko pojętego bezpieczeństwa IT, w tym testy penetracyjne. Nasz zespół certyfikowanych konsultantów ds. zabezpieczeń jest w stanie przyjąć rolę grupy hakerów (pentesterów) i sprawdzić zabezpieczenia firmy, przeprowadzając pentesty według zakresu i scenariusza uzgodnionego z klientem. Wykonujemy również audyty konfiguracji pod kątem ustawień bezpieczeństwa, hardeningu, dobrych praktyk i innych wytycznych oraz metodologii.
Pracujemy według własnej metodologii przeprowadzania testów penetracyjnych oraz audytów konfiguracji bezpieczeństwa, opartej na:
– doświadczeniach SNP i kilkudziesięciu projektach z zakresu bezpieczeństwa IT,
– technikach przygotowanych przez renomowane organizacje zajmujące się bezpieczeństwem systemów IT (m.in. OSSTMM, EC-Council, OWASP,COBIT).

 

TAG Systems oferuje kompleksowe usługi w zakresie produkcji i dostawy kart, personalizacji kart (wraz z usługami dodatkowymi) oraz usługi w zakresie przygotowania dedykowanych aplikacji opartych na mikroprocesorze (np. aplikacje identyfikacyjne i lojalnościowe, bilety elektroniczne, a także PKI). Wytwórnia kart jest wyposażona w najnowsze urządzenia do produkcji kart działające w bardzo bezpiecznym środowisku. Roczne zdolności produkcyjne przekraczają 80 milionów kart. Produkcja kart odbywa się w Andorze, natomiast biura personalizacyjne umieszczone są w Hiszpanii, Kolumbii oraz Polsce. TAG Systems posiada również biura w Rosji i Norwegii.

Zobacz to case study w innym języku

Ta sama treść jest dostępna w serwisie w innym języku:

Zobacz case study - angielski

Udostępnij

Polecane rozwiązania

Case studies

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00

0.5715 seconds.