Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

SecuRe Pay: Praktische Auswirkungen für den Internet-Zahlungsverkehr

Veröffentlicht von:Liesl Nesler Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "SecuRe Pay: Praktische Auswirkungen für den Internet-Zahlungsverkehr"—  Präsentation transkript:

1 SecuRe Pay: Praktische Auswirkungen für den Internet-Zahlungsverkehr
PaySys Breakfast-Meeting am 4. April 2014 Dirk Schrade, Deutsche Bundesbank Die Ausführungen geben die persönliche Sichtweise des Vortragenden wieder und müssen nicht notwendigerweise mit der Position der Deutschen Bundesbank übereinstimmen.

2 Gründe für das SecurePay-Forum Sicherheit im Zahlungsverkehr
Dirk Schrade, Deutsche Bundesbank 4. April 2014 Quelle: Rand (National Security Research Division)

3 Dirk Schrade, Deutsche Bundesbank 4. April 2014
Gründe für das SecurePay-Forum Entwicklung des Betrugs mit Zahlungskarten (1) Quelle: Third Public report on card Fraud, EZB Januar 2014 Dirk Schrade, Deutsche Bundesbank 4. April 2014

4 Dirk Schrade, Deutsche Bundesbank 4. April 2014
Gründe für das SecurePay-Forum Entwicklung des Betrugs mit Zahlungskarten (2) Quelle: Third Public report on card Fraud, EZB Januar 2014 Dirk Schrade, Deutsche Bundesbank 4. April 2014

5 Arbeit des Secure Pay Forum Zusammensetzung und Ziel
Freiwillige Kooperation Bankenaufseher und Zahlungsverkehrsüberwacher aus ganz Europa Vorsitz und Koordination durch EZB Beobachter von Europäischer Kommission und Europol Ziel Identifizierung wesentlicher Schwachstellen Entwicklung von Empfehlungen als harmonisierte Mindestanforderungen zur Erhöhung der Sicherheit im Massenzahlungsverkehr zur Angleichung des Sicherheitsniveaus innerhalb Europas Generische Formulierung – keine Vorgabe konkreter technischer Lösungen Prinzip des „Comply or explain“ Implementierung Nationaler Rechtsrahmen (Aufsicht, Oversight) Aims: facilitate a level playing field between payment service providers prevent, to the extent possible, regulatory arbitrage foster the exchange of information between relevant authorities Dirk Schrade, Deutsche Bundesbank 4. April 2014

6 Arbeit des Secure Pay Forum Übersicht über die Arbeiten
Entwicklung Öffentliche Konsultation Finalisierung Veröffentlichung Empfehlungen für die Sicherheit von Internetzahlungen Empfehlungen für die Sicherheit von Zugangsdiensten zum Zahlungskonto Zahlungsinitiierung, Kontoinformationsdienste Empfehlungen für die Sicherheit von mobilen Zahlungen Proximity / remote NFC/QR-Codes, Apps, SMS… Informationsaustausch über schwerwiegende Sicherheitsvorfälle zwischen europäischen Behörden Dirk Schrade, Deutsche Bundesbank 4. April 2014

7 Überweisungen im Internet ( Onlinebanking)
Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (1) Anwendungsbereich Kartenzahlungen im Internet (einschließlich virtuelle Karten / Datenregistrierung in Wallets) Überweisungen im Internet ( Onlinebanking) Erteilung und Änderung elektronischer Lastschriftmandate Transfer von E-Geld zwischen zwei E-Geld Konten über das Internet Adressaten Zahlungsdiensteanbieter gemäß PSD und Governance Authorities von Zahlungssystemen Online-Händler  indirekt über PSPs und über sog. best practices Umsetzung Bis zum 1. Februar 2015 – in DE mittels Rundschreiben der BaFin und Übernahme in den Eurosystem-Überwachungsrahmen Konkretisierung im Assessment Guide Dirk Schrade, Deutsche Bundesbank 4. April 2014

8 General control and security environment
Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (2) General control and security environment Governance – Implementation and regular review of a formal security policy Thorough risk assessments Incident monitoring and reporting – security incidents and security- related customer complaints; reporting to the management and the competent authorities (major payment security incidents) Risk control and mitigation – multiple layers of security defences Traceability of all transactions General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank 4. April 2014

9 Before final authorisation: transaction monitoring
Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (3) Initial customer identification before access to the service and information about necessary requirements Strong customer authentication for initiation of payments and access to sensitive payment data Enrolment for and provision of authentication tools and/or software delivered to the customer in a secure manner Limits / rules for log-in attempts, session time out and validity of authentication Before final authorisation: transaction monitoring Protection of sensitive payment data when it is stored, processed or transmitted; encourage merchants not to store sensitive data General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank 4. April 2014

10 Knowledge Ownership Inherence
Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (4) Strong authentication Exceptions Payments to trusted beneficiaries* Two accounts – same customer – same PSP* Low risk transactions Low value payments Knowledge password, code, PIN Ownership token, smart card, mobile Inherence fingerprint, iris “Two-out-of-three” Mutually independence One element: non-reusable / not replicable / not being surreptitiously stolen via the internet General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank * Nicht anwendbar bei Kartentransaktionen 4. April 2014

11 Customer awareness, education, communication
Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (5) Customer awareness, education, communication Customer education and communication – assistance and guidance with regard to the secure use of the internet payment services; reassure customers of the authenticity of the messages received Notifications, setting of limits including options for customers for further risk limitation; alert and customer profile management services Customer access to information on the status of payment initiation and execution General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank 4. April 2014

12 Standard Interface (verpflichtend)
Arbeit des Secure Pay Forum Sicherheit von Zugangsdiensten zum Zahlungskonto Kontoführender Zahlungsdienstleister Gegenseitige Authentisierung Technische Vereinbarung Standardisierte Protokolle Standard Interface (verpflichtend) „Third Party Provider“ Option a): „Redirection“ Option b): Nutzung eigener Credentials “ Online Banking Interface General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Händler Kontoinhaber Dirk Schrade, Deutsche Bundesbank 4. April 2014

13 E-commerce bleibt „Wachstumsmarkt“
Auswirkungen der Secure Pay-Forum Arbeiten Folgen für den Internet-Zahlungsverkehr E-commerce bleibt „Wachstumsmarkt“ Steigende Anforderungen an die Sicherheit im e-commerce Trotz Harmonisierung: Keine „one-size / fits-all“-Lösung Wirtschaftlichkeit wird schwieriger Höhere Sicherheit = höhere Kosten Aber auch höheres Verbrauchervertrauen Interchange-Regulierung (nicht Gegenstand des Secure Pay Forum!) Komfortvorteile bei Lösungen mit einfacher Authentisierung Auswirkung auf Zugangsdienste zu Zahlungskonten / SDD im Internet unklar General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Quelle: Steinbeis-Hochschule Berlin 2014 Dirk Schrade, Deutsche Bundesbank 4. April 2014

14 Quellen Recommendations for the Security of Internet Payments, ECB, January ersionafterpc201301en.pdf Recommendations for the Security of Mobile Payments (draft for consultation), ECB, November 2013 ymentsdraftpc201311en.pdf?7f9004f1cbbec932447c1db2c84fc4e9 Assessment Guide for the Security of Internet Payments, ECB, January 2014 pdf Public Note on Payment Account Access Services, ECB, March 2014 esen.pdf Dirk Schrade, Deutsche Bundesbank 4. April 2014

Herunterladen ppt "SecuRe Pay: Praktische Auswirkungen für den Internet-Zahlungsverkehr"

Ähnliche Präsentationen

Cadastre for the 21st Century – The German Way

Cadastre for the 21st Century – The German Way
E-Solutions mySchoeller.com for Felix Schoeller Imaging

E-Solutions mySchoeller.com for Felix Schoeller Imaging
WS-BPEL 2. 0, BPEL4People, BPEL-J … : Ist BPEL nun praxistauglich

WS-BPEL 2. 0, BPEL4People, BPEL-J … : Ist BPEL nun praxistauglich
Knowledge Exchange Ein Netzwerk von vier europäischen Förderorganisationen 8th International Bielefeld Conference, Bielefeld, 7.-9.2.2006 Dr. Sigrun Eckelmann.

Knowledge Exchange Ein Netzwerk von vier europäischen Förderorganisationen 8th International Bielefeld Conference, Bielefeld, Dr. Sigrun Eckelmann.
Verläßlichkeit im elektronischen Zahlungsverkehr

Verläßlichkeit im elektronischen Zahlungsverkehr
Cybervote, E-Poll und Conseil de l'Europe – ein Überblick über die bekanntesten europäischen Projekte.

Cybervote, E-Poll und Conseil de l'Europe – ein Überblick über die bekanntesten europäischen Projekte.
SOMA Service-Oriented Mobile learning Architecture.

SOMA Service-Oriented Mobile learning Architecture.
Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bütikofer Senior Security Engineer Kryptologie & Security.

Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bütikofer Senior Security Engineer Kryptologie & Security.
Internationale Promovierende Promovieren an der Humboldt-Universität zu Berlin 05.11.2009 Dr. Uta Hoffmann Humboldt-Universität zu.

Internationale Promovierende Promovieren an der Humboldt-Universität zu Berlin Dr. Uta Hoffmann Humboldt-Universität zu.
Letzter Tag Spaeter Zeitpunkt letzte Lied hoert man weiter.

Letzter Tag Spaeter Zeitpunkt letzte Lied hoert man weiter.
University Library Open Access - Amerika Haus Berlin - 2005 Open Access zu wissenschaftlichen Ergebnissen.

University Library Open Access - Amerika Haus Berlin Open Access zu wissenschaftlichen Ergebnissen.
E-Commerce / E-Commerce & Tageszeitungen im WWW Julia Urlinger & Ralph Biermann 1. WAS IST E-COMMERCE? 2. REALISIERUNGSBEDINGUNGEN 3. ENTWICKLUNGSPROGNOSEN.

E-Commerce / E-Commerce & Tageszeitungen im WWW Julia Urlinger & Ralph Biermann 1. WAS IST E-COMMERCE? 2. REALISIERUNGSBEDINGUNGEN 3. ENTWICKLUNGSPROGNOSEN.
Die Frage des Tages 15.1.14 1.All make-up work due by 17.1.14. If you need to make up a quiz. You may do so before school Thursday, or Friday, or after.

Die Frage des Tages All make-up work due by If you need to make up a quiz. You may do so before school Thursday, or Friday, or after.
11.11.2013 | DC-IAP/SVC3 | © Bosch Rexroth Pneumatics GmbH 2013. This document, as well as the data, specifications and other information set forth in.

| DC-IAP/SVC3 | © Bosch Rexroth Pneumatics GmbH This document, as well as the data, specifications and other information set forth in.
Das integrierte Lösungsportfolio

Das integrierte Lösungsportfolio
Centre for Public Administration Research E-Government for European Cities Thomas Prorok

Centre for Public Administration Research E-Government for European Cities Thomas Prorok
Dariusz Parys Developer Evangelist Microsoft Deutschland GmbH Christian Weyer Solutions Architect thinktecture.

Dariusz Parys Developer Evangelist Microsoft Deutschland GmbH Christian Weyer Solutions Architect thinktecture.
- 1 Förderprogramm eTEN Call 2003 20. Mai bis 10. September 2003.

- 1 Förderprogramm eTEN Call Mai bis 10. September 2003.
Beirat Informationsgesellschaft eHealth Dr. Peter Brosch 21. April 2005.

Beirat Informationsgesellschaft eHealth Dr. Peter Brosch 21. April 2005.
Sicheres Bezahlen am POS und im Web

Sicheres Bezahlen am POS und im Web

Ähnliche Präsentationen

Google-Anzeigen