Recommandation UIT-T X.1150 (03/2024) Cadre d'assurance de la sécurité pour les services financiers numériques
Résumé
Historique
AVANT-PROPOS
TABLE DES MATIÈRES
1 Domaine d'application
2 Références
3 Définitions
     3.1 Termes définis ailleurs
     3.2 Termes définis dans la présente Recommandation
4 Abréviations et acronymes
5 Conventions
6 Introduction
7 Aperçu de la Recommandation UIT-T X.805
8 Modèles d'entreprise des fournisseurs de services financiers numériques
     8.1 Modèle d'entreprise dirigé par la banque
     8.2 Modèle d'entreprise dirigé par les ORM
     8.3 Modèle MVNO
     8.4 Modèle hybride
9 L'écosystème DFS
     9.1 Éléments d'un écosystème DFS pour USSD, SMS, IVR, STK et NSDT
          9.1.1 Utilisateur/client
          9.1.2 Appareil mobile
          9.1.3 Station de base
          9.1.4 Réseau mobile
          9.1.5 Fournisseur SFN
          9.1.6 Fournisseurs tiers
          9.1.7 Application de services financiers numériques
     9.2 Éléments de l'écosystème SFN basés sur les applications et les portefeuilles numériques
          9.2.1 Appareil mobile
          9.2.2 Commerçants
          9.2.3 Terminaux de point de vente
          9.2.4 Fournisseur de services de jetons (TSP)
          9.2.5 Acquéreur
          9.2.6 Émetteur
          9.2.7 Fournisseur de services de portefeuille (WSP)
          9.2.8 Prestataire de services de paiement (PSP)
10 Menaces pour la sécurité
     10.1 Menaces pour les SFN utilisant USSD, SMS, IVR, STK et NSDT
     10.2 Menaces pour l'écosystème SFN basé sur les applications et les portefeuilles numériques
11 Cadre d'assurance de la sécurité du SFN
12 Processus de gestion des risques de sécurité
     12.1 Vue d'ensemble
     12.2 Établir un contexte
     12.3 Évaluation des risques
          12.3.1 Identification des risques
          12.3.2 Analyse des risques
          12.3.3 Évaluation des risques
13 Évaluation des vulnérabilités, des menaces et des exigences de contrôles d'atténuation dans le cadre de la sécurité du SFN
     13.1 Menace: détournement de compte et de session
     13.2 Menace: attaques contre les informations d'identification
     13.3 Menace: attaques contre les systèmes et les plates-formes
     13.4 Menace: attaques par exploitation de code
     13.5 Menace: utilisation abusive des données
     13.6 Menace: attaques par déni de service (DoS)
     13.7 Menace: attaques d'initiés
     13.8 Menace: attaques de type "Man-in-the-middle" et d'ingénierie sociale
     13.9 Menace: compromission de l'infrastructure SFN
     13.10 Menace: attaques SIM
     13.11 Menace: compromission des services DFS
     13.12 Menace: accès non autorisé aux données SFN
     13.13 Menace: logiciels malveillants
     13.14 Menace: attaques de type "0 day"
     13.15 Menace: dispositifs malveillants
     13.16 Menace: accès non autorisé aux appareils mobiles
     13.17 Menace: divulgation involontaire d'informations personnelles identifiables
14 Gestion des incidents de sécurité SFN
Annexe A  Infrastructure détaillée de l'écosystème SFN et des menaces
A.1 Client – Appareil mobile
A.2 Appareil mobile – Application mobile
A.3 Client – Agent SFN
A.4 Appareil mobile – Station de base
A.5 Appareil mobile – Internet
A.6 Station de base – Station de commutation mobile – Passerelles
A.7 Réseau mobile – Opérateur SFN
A.8 Opérateur SFN – Tiers
Annexe B  Éléments clés et recommandations additionnels pour les travaux futurs
Appendice I  Modèle de bonnes pratiques en matière de sécurité des applications
     I.1 Intégrité des appareils et des applications
     I.3 Authentification de l'utilisateur
     I.4 Traitement sécurisé des données
     I.5 Développement d'applications sécurisées
Bibliographie