1 / 33

Sicheres Bezahlen am POS und im Web

Sicheres Bezahlen am POS und im Web. Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete Service Bank AG Wien, 2. Dezember 2009. 1985. Gründung VISA-SERVICE Kreditkarten AG. Historie I. 1988. 100.000 Karteninhaber. 1997.

chapa
Download Presentation

Sicheres Bezahlen am POS und im Web

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete Service Bank AG Wien, 2. Dezember 2009

  2. 1985 Gründung VISA-SERVICE Kreditkarten AG Historie I 1988 100.000 Karteninhaber 1997 Internetauftritt mit eigener Homepage 1999 Sicheres Bezahlen im Internet mit SET Issuing und Acquiring 2000 50.000 Vertragspartner

  3. 2002 Sicheres Bezahlen im Internet mit VbV Historie II 2003 Monatsrechnung per e-Mail 2004 Ausstattung der Karten mit EMV-Chip Umbenennung auf card complete Service Bank AG 2007 Duales Issuing and Acquiring 2009 1,2 Mio. Kunden 100.000 Akzeptanzpartner 6,7 Mrd. Umsatz 60,3 Mio. Transaktionen

  4. SKIMMING POSTWEGVERLUST FÄLSCHUNG VERLUST DIEBSTAHL INTERNET SONSTIGES Missbrauchsarten

  5. Missbrauchsarten 2007

  6. Missbrauchsarten 2008

  7. EMV Sicherheit am POS

  8. 1 Application Selection 2 Initalte Application Processing 3 Read Application Data 4 Offline Data Authentication 5 Processing Restrictions EMV-Flow 6 Cardholder Verification

  9. 7 Terminal Risk Management 8 Terminal Action Analysis 9 Online Processing 10 Issuer Authentication 11 Completion EMV-Flow 12 Script Processing

  10. Offline Data Authentication schützt vor Fälschungen RSA – Technologie (Private / Public Key) Chip Technologie seit 2003 im Einsatz 100 % der card complete Karten Rund 20.000 complete Terminals

  11. Offline Data Authentication Card Schemes als Certificate Authority (CA) Generieren die RSA – Schlüsselpaare Verteilen der Public Keys Signieren der Chip Zertifikate Schlüssellängen 768-2084 bits SDA = Static Data Authentication DDA = Dynamic Data Authentication

  12. Offline Data Authentication SDA Günstig Einfache Implementierung Performant DDA Höchste Sicherheit Benötigt größere CPU-Leistung auf der Karte und am Terminal Eher langsam

  13. Issuer Authentication Kartenschlüssel (im Security Element des Chips) TDES ARQC Card Authentication Phase 1 Transaktionsdaten

  14. Issuer Authentication Kartenschlüssel (sind dem Issuer bekannt) TDES ARPC Issuer Authentication ACQC Phase 2 Prüfergebnis

  15. Issuer Authentication Kartenschlüssel Clearing TDES TC ARPC Phase 3

  16. PCI – Security Standards

  17. PCI – Security Standards

  18. complete Terminals

  19. 3D-S Sicherheit im Web

  20. Unsichere Datenübermittlung Verschlüsselungsverfahren SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren Missbrauch der Kartendaten durch Dritte Gefahren im Web Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate Serverattacken Vermeidung von Datenbanken mit Kartendaten Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden

  21. S E T Softwarebasierte „Geldbörse“ am PC des Karteninhabers Virtuelles Abbild der realen Welt durch Zertifikate Softwarebasierte Händlerlösung Eindeutige Identifizierung aller teilnehmenden Parteien (Karteninhaber, Händler, Payment Gateway, Issuer, Acquirer) Keine Übermittlung von Kartendaten im Klartext Abwicklung des kompletten Zahlungs-vorganges

  22. Zertifizierung Funktionsweise

  23. Transaktionsablauf Funktionsweise

  24. Hohe technische Komplexität Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen SET Nachteile Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs) Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur

  25. Hohe technische Komplexität Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen SET Nachteile EINGESTELLT per 30.09.2002 Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs) Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur

  26. Neue Technologien

  27. Vereinfachte Handhabung Verwendung von standardisierten SSL-Protokollen Vorteile 3D-S Keine Softwareinstallation und keine Zertifizierung notwendig, einmalige und einfache Registrierung des Karteninhabers Eindeutige Identifizierung des Karteninhabers durch Passwort Keine Standortgebundenheit d.h. Einkäufe über andere Internetzugänge möglich Auf Händlerseite einfache Installation einer Softwarekomponente

  28. Missbrauch der Kartendaten durch Dritte Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate VbV gewährleistet Transaktionen ausschließlich durch den rechtmäßigen Karteninhaber durch die Bestätigung der Transaktion mittels Passwort Serverattacken Vermeidung von Datenbanken mit Kartendaten Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden PCI Standard Unsichere Datenübermittlung Verschlüsselungsverfahren SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren VbV verwendet standardisierte SSL Protokolle Gefahren im Web

  29. Ablauf 3D-S Registrierung: 1) Zusendung eines One-Time 3D-S Freischalt-Codes 2) Stammdaten werden in den Access Control Server geladen 3D-S Aktivierung 3) 3D-S Code wird auf Postweg zugestellt 4) Karteninhaber registriert sich mit 3D-S Code im Internet und wählt Passwort sowie persönliche Sicherheitsnachricht aus ...ab diesem Zeitpunkt können Einkäufe mittels 3D-S getätigt werden

  30. Funktionsweise

  31. Funktionsweise

  32. 121.300 94.800 VbV Verbreitung 71.600 44.000 26.500 2008 2005 2006 2007 2004 2008 2005 2006 2007 2004

  33. Danke Für Ihre Aufmerksamkeit!

More Related