Center for it-sikkerhed

Vi har på Alexandra Instituttet netop gennemført en sikkerhedsanalyse af MSPay’s kerneprodukt, et unikt system der tillader hurtig og sikker online-betaling særligt velegnet til betaling via mobiltelefoner og lignende.

Forløbet har involveret en grundig analyse af systemets arkitektur, protokoller og kode. Sideløbende med analysen har vi holdt en række møder med MSPay med det formål at give os et overblik og sikre, at vores forståelse af systemet og de sikkerhedskrav, der stilles tilsystemet, har stemt overens med MSPays krav.

Resultatet af analysen har været udarbejdelsen af en rapport til MSPay. Indholdet af rapporten har været

1. En detaljeret beskrivelse afsystemets arkitektur og protokoller. Beskrivelsen fungerer som grundlag for den sikkerhedsanalyse, der følger i rapporten.
2. En sikkerhedsanalyse af systemets arkitektur og kryptografiske protokoller.
3. En sikkerhedsanalyse af systemets implementering. Udover en sikkerhedsmæssig evaluering af  koden, som dog i MSPays tilfælde ikke har været produktionskode, indebærer denne del af analysen også en bekræftelse af, at systemets implementering faktisk stemmer overens med de beskrevne protokoller fra punkt 2.
4. Forslag til forbedringer af sikkerheden. Specifikke anbefalinger i forhold til arkitekturen og implementeringen. Men også mere generelle forslag, der i højere grad tjener til inspiration i forbindelse med styrkelse af både udviklingsproces og produkt.

For MSPay har rapporten værdi på flere måder. Den tjener både som dokumentation af systemet og, hvilket nok er særlig relevant i forhold til eventuelle 3. parter, som en uafhængig evaluering af systemets sikkerhed. For MSPay har evalueringen resulteret i Alexandra Instituttets blåstempling af sikkerheden i systemet.

Der er lukket for kommentarer.