Page 6 - FIGI Digital Financial Services security assurance framework
P. 6

Contents




                           About this report �������������������������������������������������������������������������������������������������������������������3
                           Executive Summary ���������������������������������������������������������������������������������������������������������������6

                           Acronyms  �������������������������������������������������������������������������������������������������������������������������������8

                           1  Introduction ���������������������������������������������������������������������������������������������������������������������9
                           2  ITU-T Recommendation X�805 Overview ������������������������������������������������������������������ 10

                           3   DFS Provider Business Models ����������������������������������������������������������������������������������� 11
                              3.1   Bank led business model .................................................................................................... 11
                              3.2   MNO led business model ................................................................................................... 12
                              3.3   Model with Mobile Virtual Network Operator ............................................................ 12
                              3.4   Hybrid Model .......................................................................................................................... 12
                           4  Elements of DFS ecosystem �����������������������������������������������������������������������������������������13
                              4.1   Elements of a DFS ecosystem using USSD, SMS, IVR, STK and NSDT ............13
                              4.2   Elements of a DFS ecosystem based on applications and digital wallets
                                   (e.g Google Pay, Apple pay, WeChat Pay, Samsung Pay). ....................................15
                           5  Security threats  �������������������������������������������������������������������������������������������������������������18
                              5.1   Threats to DFS using USSD, SMS, IVR, STK and NSDT ..........................................18
                              5.2   Threats to DFS ecosystem based on apps and digital wallets ...........................18

                           6  DFS Security Assurance Framework  ������������������������������������������������������������������������ 20
                           7  Risk assessment methodology ���������������������������������������������������������������������������������� 20
                              7.1  Scope ........................................................................................................................................ 22
                              7.2   Establishing a context ........................................................................................................ 22
                              7.3   Security Assessment ..........................................................................................................23
                              7.4   Risk Identification ................................................................................................................23
                              7.5   Risk Analysis ..........................................................................................................................24
                              7.6   Risk Evaluation......................................................................................................................24
                           8  Assessment of DFS security vulnerabilities, threats and mitigation Measures
                               �����������������������������������������������������������������������������������������������������������������������������������������25
                              8.1   Threat:  Account and Session Hijacking ......................................................................26
                              8.2   Threat: Attacks against credentials .............................................................................. 27
                              8.3   Threat: Attacks against systems and platforms ....................................................... 27
                              8.4  Threat: Code Exploitation Attacks ................................................................................28
                              8.5   Threat: Data Misuse .............................................................................................................28
                              8.6   Threat: Denial of Service Attacks ..................................................................................29
                              8.7   Threat: Insider Attacks .......................................................................................................29
                              8.8   Threat: Man-in-the-middle and social engineering attacks .................................30
                              8.9   Threat: Compromise of DFS Infrastructure ................................................................31
                              8.10  Threat: SIM attacks ..............................................................................................................32
                              8.11  Threat: Compromise of DFS Services ..........................................................................33










            4    Digital Financial Services Security Assurance Framework
   1   2   3   4   5   6   7   8   9   10   11