Sicurezza


Per sicurezza si intende
: "la condizione di ciò che è sicuro, di ciò che consente di prevenire o attenuare rischi". Tale definizione è ovviamente applicabile anche in ambito informatico; la sicurezza informatica si compone quindi di due attività distinte ma strettamente correlate, cioè la prevenzione del danno (ad esempio il controllo delle procedure di autenticazione) e il contenimento del danno (ad esempio la cifratura dei dati sensibili).


Più in dettaglio, per sicurezza di un sistema informatico intendiamo
la sua capacità di resistere ad un eventuale tentativo (detto "attacco") di carpire le informazioni sensibili ivi mantenute o veicolate, permettendo quindi la salvaguardia delle principali proprietà di cui devono godere le informazioni la cui sicurezza debba essere garantita.



Tali proprietà includono:

  • Affidabilità: le informazioni devono essere sempre accessibili o comunque disponibili agli utenti.
  • Integrità: le informazioni devono essere protette dal rischio di una loro corruzione.
  • Riservatezza: le informazioni devono essere accessibili solo dagli utenti autorizzati.
  • Autenticità: la certezza sulla sorgente, la destinazione e il contenuto di un'informazione scambiata fra due utenti.
  • Non ripudio: la certezza che mittente e destinatario non possano negare di aver trasmesso/ricevuto i dati.


L’esperienza delle risorse operanti nella TFP consulting riguarda soprattutto l’applicazione dei concetti sopra riportati in ambito bancario. In particolar modo nei terminali di pagamento che necessitano il soddisfacimento degli stringenti requisiti di sicurezza indicati nella normativa
ISO 9564–1 e che indicano la necessità di gestire il terminale come un TSRM (Tamper resistant security module) ovvero un oggetto in possesso dei seguenti attributi:

  • Tamper-evident: qualsiasi tentativo di attacco fisico deve risultare visibile.
  • Tamper-resistant: il terminale deve offrire protezione passiva a un attacco fisico (impendendo l'accesso ad aree sensibili.
  • Tamper-responsive: il terminale deve poter rispondere al tentativo di attacco (ad esempio cancellando le informazioni sensibili).


Alle suddette tematiche sia affiancano tutte quelle procedure che rendono sicure le fasi di inizializzazione dei terminali di pagamento, quali l’identificazione di aree (secure room) all’interno delle quali vige un rigido controllo degli accessi e delle operatività consentite; l’utilizzo di particolari metodologie per il controllo e la registrazione degli accessi di personale autorizzato all’interno di tali aree; la verifica delle operatività necessarie alle fasi di inizializzazione dei terminali (keys injection)

Infine, offriamo consulenza avanzata su problematiche inerenti requisiti hardware di carattere fisico ed elettrico, algoritmi di crittografia di tipo simmetrico (TDES, DUKPT, AES 128 Bit) ed asimmetrico (RSA, DSA, Diffie-Hellman); algoritmi di hashing (SHA-1, MD5 ecc.); consulenza specialistica sullo standard PCI-PED.