Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete.

Ähnliche Präsentationen


Präsentation zum Thema: "IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete."—  Präsentation transkript:

1 IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete Service Bank AG Wien, 2. Dezember 2009

2 Historie I Gründung VISA-SERVICE Kreditkarten AG Karteninhaber Internetauftritt mit eigener Homepage Sicheres Bezahlen im Internet mit SET Vertragspartner Issuing und Acquiring

3 Historie II Sicheres Bezahlen im Internet mit VbV Monatsrechnung per Ausstattung der Karten mit EMV-Chip Umbenennung auf card complete Service Bank AG 1,2 Mio. Kunden Duales Issuing and Acquiring Akzeptanzpartner 60,3 Mio. Transaktionen6,7 Mrd. Umsatz

4 Missbrauchsarten SKIMMING FÄLSCHUNG POSTWEGVERLUST DIEBSTAHL VERLUST INTERNET SONSTIGES

5 Missbrauchsarten 2007

6 Missbrauchsarten 2008

7 EMV Sicherheit am POS

8 Application Selection Initalte Application Processing Offline Data Authentication Processing Restrictions Cardholder Verification Read Application Data EMV-Flow

9 Terminal Risk Management Terminal Action Analysis Online Processing Issuer Authentication Completion Script Processing EMV-Flow

10 Offline Data Authentication schützt vor Fälschungen RSA – Technologie (Private / Public Key) Chip Technologie seit 2003 im Einsatz 100 % der card complete Karten Rund complete Terminals

11 Offline Data Authentication Card Schemes als Certificate Authority (CA) Generieren die RSA – Schlüsselpaare Verteilen der Public Keys Signieren der Chip Zertifikate Schlüssellängen bits SDA = Static Data Authentication DDA = Dynamic Data Authentication

12 Offline Data Authentication SDA Günstig Einfache Implementierung Performant DDA Höchste Sicherheit Benötigt größere CPU- Leistung auf der Karte und am Terminal Eher langsam

13 Issuer Authentication TDES ARQC Card Authentication Transaktionsdaten Kartenschl ü ssel (im Security Element des Chips) Phase 1

14 TDES ARPC Issuer Authentication Pr ü fergebnis Kartenschl ü ssel (sind dem Issuer bekannt) ACQC Issuer Authentication Phase 2

15 TDES TC Clearing Kartenschl ü ssel ARPC Issuer Authentication Phase 3

16 PCI – Security Standards

17

18 complete Terminals

19 3D-S Sicherheit im Web

20 Gefahren im Web Verschlüsselungsverfahren Unsichere Datenübermittlung SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren Missbrauch der Kartendaten durch Dritte Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate Serverattacken Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden Vermeidung von Datenbanken mit Kartendaten

21 S E T Softwarebasierte Geldbörse am PC des Karteninhabers Virtuelles Abbild der realen Welt durch Zertifikate Eindeutige Identifizierung aller teilnehmenden Parteien (Karteninhaber, Händler, Payment Gateway, Issuer, Acquirer) Keine Übermittlung von Kartendaten im Klartext Abwicklung des kompletten Zahlungs- vorganges Softwarebasierte Händlerlösung

22 Funktionsweise Zertifizierung

23 Funktionsweise Transaktionsablauf

24 SET Nachteile Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur Hohe technische Komplexität Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs)

25 SET Nachteile Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur Hohe technische Komplexität Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs)

26 Neue Technologien 3D-Secure Verified by VISAMasterCard SecureCode Maestro SecureCode

27 Vorteile 3D-S Auf Händlerseite einfache Installation einer Softwarekomponente Vereinfachte Handhabung Verwendung von standardisierten SSL-Protokollen Keine Softwareinstallation und keine Zertifizierung notwendig, einmalige und einfache Registrierung des Karteninhabers Eindeutige Identifizierung des Karteninhabers durch Passwort Keine Standortgebundenheit d.h. Einkäufe über andere Internetzugänge möglich

28 Gefahren im Web Verschlüsselungsverfahren Unsichere Datenübermittlung SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren VbV verwendet standardisierte SSL Protokolle Missbrauch der Kartendaten durch Dritte Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate VbV gewährleistet Transaktionen ausschließlich durch den rechtmäßigen Karteninhaber durch die Bestätigung der Transaktion mittels Passwort Serverattacken Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden Vermeidung von Datenbanken mit Kartendaten PCI Standard

29 3D-S Aktivierung 1) Zusendung eines One-Time 3D-S Freischalt-Codes Ablauf 3D-S Registrierung: 3) 3D-S Code wird auf Postweg zugestellt 4) Karteninhaber registriert sich mit 3D-S Code im Internet und wählt Passwort sowie persönliche Sicherheitsnachricht aus...ab diesem Zeitpunkt können Einkäufe mittels 3D-S getätigt werden 2) Stammdaten werden in den Access Control Server geladen

30 Funktionsweise

31 Funktionsweise

32 VbV Verbreitung

33 Danke Für Ihre Aufmerksamkeit!


Herunterladen ppt "IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete."

Ähnliche Präsentationen


Google-Anzeigen