SecuRe Pay: Praktische Auswirkungen für den Internet-Zahlungsverkehr

Slides:



Advertisements
Ähnliche Präsentationen
Cadastre for the 21st Century – The German Way
Advertisements

E-Solutions mySchoeller.com for Felix Schoeller Imaging
WS-BPEL 2. 0, BPEL4People, BPEL-J … : Ist BPEL nun praxistauglich
Knowledge Exchange Ein Netzwerk von vier europäischen Förderorganisationen 8th International Bielefeld Conference, Bielefeld, Dr. Sigrun Eckelmann.
Verläßlichkeit im elektronischen Zahlungsverkehr
Cybervote, E-Poll und Conseil de l'Europe – ein Überblick über die bekanntesten europäischen Projekte.
SOMA Service-Oriented Mobile learning Architecture.
Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bütikofer Senior Security Engineer Kryptologie & Security.
Internationale Promovierende Promovieren an der Humboldt-Universität zu Berlin Dr. Uta Hoffmann Humboldt-Universität zu.
Letzter Tag Spaeter Zeitpunkt letzte Lied hoert man weiter.
University Library Open Access - Amerika Haus Berlin Open Access zu wissenschaftlichen Ergebnissen.
E-Commerce / E-Commerce & Tageszeitungen im WWW Julia Urlinger & Ralph Biermann 1. WAS IST E-COMMERCE? 2. REALISIERUNGSBEDINGUNGEN 3. ENTWICKLUNGSPROGNOSEN.
Die Frage des Tages All make-up work due by If you need to make up a quiz. You may do so before school Thursday, or Friday, or after.
| DC-IAP/SVC3 | © Bosch Rexroth Pneumatics GmbH This document, as well as the data, specifications and other information set forth in.
Das integrierte Lösungsportfolio
Centre for Public Administration Research E-Government for European Cities Thomas Prorok
Dariusz Parys Developer Evangelist Microsoft Deutschland GmbH Christian Weyer Solutions Architect thinktecture.
- 1 Förderprogramm eTEN Call Mai bis 10. September 2003.
Beirat Informationsgesellschaft eHealth Dr. Peter Brosch 21. April 2005.
Sicheres Bezahlen am POS und im Web
Guten Tag! Mittwoch den Hausaufgabe für Freitag den IA 1.1 & printout (if not done) Lernbuch: 1.1, sections A, B, I GR 1.1 (software + worksheet)
Von: Frau Sebastian Warum soll ich dein Bundesland besuchen? Reise durch die Bundesländer. Wiederholung Vergangenheitsform. Wiederholung Präpositionen.
Negation is when you dont have or dont do something.
Universität StuttgartInstitut für Wasserbau, Lehrstuhl für Hydrologie und Geohydrologie Copulas (1) András Bárdossy IWS Universität Stuttgart.
Treuhänder-Informationsveranstaltung Marc Wolbeck, BaFin
Introducing our global banking practice
An Approach to standardize a Service Life Cycle Management
Das Projekt “eBZ – Digital City” Johann Gamper Freie Universität Bozen.
GZ der Informatik / Sicherheit 1 GZ der Informatik VIII Kryptografie, Digitale Signaturen, SET Univ.-Ass. DI. Markus Seidl University of Vienna
1 Public libraries’ perspectives in the digital media world Doom or bloom: reinventing the library in the digital age 29th October 2009 Christian Hasiewicz.
Time and Dates. Telling time To ask: What time it is? Wie spät ist es? Wie viel Uhr ist es?
System Center 2012 Automatisierung von IT-Prozessen Sinja Herbertz Education Support Centre Deutschland.
Kontaktstelle GDI-DE des Landes Brandenburg
The Team Traxler Petra Gahleitner Bettina Reindl Egmont.
SiPass standalone.
Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH
Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH.
Roland Vogt Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI GmbH) Verläßlichkeit im elektronischen Zahlungsverkehr IT-Security-ForumIT-Security-Forum.
3rd Review, Vienna, 16th of April 1999 SIT-MOON ESPRIT Project Nr Siemens AG Österreich Robotiker Technische Universität Wien Politecnico di Milano.
Kommunalpolitisches Forum 2. Juni 2015 Berücksichtigung kommunaler Bedarfe und Finanzen in der Gesetzgebung der Europäischen Union: das neue paket zur.
Aktuelle Bilanzierungs- und Prüfungsfragen aus der Facharbeit des IDW
Weiterentwicklung des Audit Risk Model durch das IAASB
1 Konica Minolta IT Solutions Prinzip Partnerschaft MANAGED MONITORING ÜBERWACHJUNG DER SERVERINFRASTRUKTUR UND ANWENDUNGEN DIREKT AUS DER CLOUD.
Deepening Topics QM in Clinical studies.
Chair of Business and Human Resource Education II Prof. Dr. Marc Beutner EU-StORE: Evaluation and Standard Implementation Meeting September 8th - 10th.
Gregor Graf Oracle Portal (Part of the Oracle Application Server 9i) Gregor Graf (2001,2002)
Berliner Elektronenspeicherring-Gesellschaft für Synchrotronstrahlung m.b.H., Albert-Einstein-Straße 15, Berlin frontend control at BESSY R. Fleischhauer.
Versicherungsaufsichtsgesetz 2016
Kapitel 9 Grammar INDEX 1.Formal Sie- Command 2.There Is/There Are 3.Negation: Nicht/Klein.
Technische Universität München Alexander Neidhardt Forschungseinrichtung Satellitengeodäsie 1 Concepts for remote control of VLBI-telescopes: on the way.
© 2014 VMware Inc. All rights reserved. Automatisierung und Verrechnung in einer IoT Cloud am Beispiel von Bosch Private Cloud Costing | Cloud Business.
Monitoring System in the federal state of Saxony-Anhalt, Germany Meeting on monitoring systems , May 2012, Prague Christine Makiol,
Wer kauft schon gerne die Katze im Sack?
Premiere Conferencing GmbH
OAuth 2.0 Ralf Hoffmann 03 / 2017
Software Configuration Manager (f/m)
GwG-konforme Signaturen durch qualifizierten Diensteanbieter nach eIDAS möglich Zusammenfassung Die Identifikation und Legitimierung von Kunden ist ein.
Ralf Wüstling | Security Engineer Energy & Transportation
Telling Time in German Deutsch 1 Part 1.
Du kommst hier nicht rein!
Welcome! Prepare for Day 1! Site Hamburg / Finkenwerder
EU Payments Update TPAC 2018 Lyon, 25 October 2018
The Conversational Past
The Conversational Past
OFFICE 365 FOCUS SESSION SHAREPOINT ONLINE 101:LERNE DIE BASICS 19. März 2018 Höhr-Grenzhausen.
INDICATIVE ROADMAP CO-CREATION OUTREACH TRAINING MID 2020
- moodle – a internet based learning platform
Scope.
Wieviel Energie steckt in der Blockchain
 Präsentation transkript:

SecuRe Pay: Praktische Auswirkungen für den Internet-Zahlungsverkehr PaySys Breakfast-Meeting am 4. April 2014 Dirk Schrade, Deutsche Bundesbank Die Ausführungen geben die persönliche Sichtweise des Vortragenden wieder und müssen nicht notwendigerweise mit der Position der Deutschen Bundesbank übereinstimmen.

Gründe für das SecurePay-Forum Sicherheit im Zahlungsverkehr Dirk Schrade, Deutsche Bundesbank 4. April 2014 Quelle: Rand (National Security Research Division)

Dirk Schrade, Deutsche Bundesbank 4. April 2014 Gründe für das SecurePay-Forum Entwicklung des Betrugs mit Zahlungskarten (1) Quelle: Third Public report on card Fraud, EZB Januar 2014 Dirk Schrade, Deutsche Bundesbank 4. April 2014

Dirk Schrade, Deutsche Bundesbank 4. April 2014 Gründe für das SecurePay-Forum Entwicklung des Betrugs mit Zahlungskarten (2) Quelle: Third Public report on card Fraud, EZB Januar 2014 Dirk Schrade, Deutsche Bundesbank 4. April 2014

Arbeit des Secure Pay Forum Zusammensetzung und Ziel Freiwillige Kooperation Bankenaufseher und Zahlungsverkehrsüberwacher aus ganz Europa Vorsitz und Koordination durch EZB Beobachter von Europäischer Kommission und Europol Ziel Identifizierung wesentlicher Schwachstellen Entwicklung von Empfehlungen als harmonisierte Mindestanforderungen zur Erhöhung der Sicherheit im Massenzahlungsverkehr zur Angleichung des Sicherheitsniveaus innerhalb Europas Generische Formulierung – keine Vorgabe konkreter technischer Lösungen Prinzip des „Comply or explain“ Implementierung Nationaler Rechtsrahmen (Aufsicht, Oversight) Aims: facilitate a level playing field between payment service providers prevent, to the extent possible, regulatory arbitrage foster the exchange of information between relevant authorities Dirk Schrade, Deutsche Bundesbank 4. April 2014

Arbeit des Secure Pay Forum Übersicht über die Arbeiten   Entwicklung Öffentliche Konsultation Finalisierung Veröffentlichung Empfehlungen für die Sicherheit von Internetzahlungen  Empfehlungen für die Sicherheit von Zugangsdiensten zum Zahlungskonto Zahlungsinitiierung, Kontoinformationsdienste Empfehlungen für die Sicherheit von mobilen Zahlungen Proximity / remote NFC/QR-Codes, Apps, SMS… Informationsaustausch über schwerwiegende Sicherheitsvorfälle zwischen europäischen Behörden Dirk Schrade, Deutsche Bundesbank 4. April 2014

Überweisungen im Internet ( Onlinebanking) Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (1) Anwendungsbereich Kartenzahlungen im Internet (einschließlich virtuelle Karten / Datenregistrierung in Wallets) Überweisungen im Internet ( Onlinebanking) Erteilung und Änderung elektronischer Lastschriftmandate Transfer von E-Geld zwischen zwei E-Geld Konten über das Internet Adressaten Zahlungsdiensteanbieter gemäß PSD und Governance Authorities von Zahlungssystemen Online-Händler  indirekt über PSPs und über sog. best practices Umsetzung Bis zum 1. Februar 2015 – in DE mittels Rundschreiben der BaFin und Übernahme in den Eurosystem-Überwachungsrahmen Konkretisierung im Assessment Guide Dirk Schrade, Deutsche Bundesbank 4. April 2014

General control and security environment Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (2) General control and security environment Governance – Implementation and regular review of a formal security policy Thorough risk assessments Incident monitoring and reporting – security incidents and security- related customer complaints; reporting to the management and the competent authorities (major payment security incidents) Risk control and mitigation – multiple layers of security defences Traceability of all transactions General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank 4. April 2014

Before final authorisation: transaction monitoring Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (3) Initial customer identification before access to the service and information about necessary requirements Strong customer authentication for initiation of payments and access to sensitive payment data Enrolment for and provision of authentication tools and/or software delivered to the customer in a secure manner Limits / rules for log-in attempts, session time out and validity of authentication Before final authorisation: transaction monitoring Protection of sensitive payment data when it is stored, processed or transmitted; encourage merchants not to store sensitive data General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank 4. April 2014

Knowledge Ownership Inherence Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (4) Strong authentication Exceptions Payments to trusted beneficiaries* Two accounts – same customer – same PSP* Low risk transactions Low value payments Knowledge password, code, PIN Ownership token, smart card, mobile Inherence fingerprint, iris “Two-out-of-three” Mutually independence One element: non-reusable / not replicable / not being surreptitiously stolen via the internet General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank * Nicht anwendbar bei Kartentransaktionen 4. April 2014

Customer awareness, education, communication Arbeit des Secure Pay Forum Empfehlungen für die Sicherheit von Internetzahlungen (5) Customer awareness, education, communication Customer education and communication – assistance and guidance with regard to the secure use of the internet payment services; reassure customers of the authenticity of the messages received Notifications, setting of limits including options for customers for further risk limitation; alert and customer profile management services Customer access to information on the status of payment initiation and execution General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Dirk Schrade, Deutsche Bundesbank 4. April 2014

Standard Interface (verpflichtend) Arbeit des Secure Pay Forum Sicherheit von Zugangsdiensten zum Zahlungskonto Kontoführender Zahlungsdienstleister Gegenseitige Authentisierung Technische Vereinbarung Standardisierte Protokolle Standard Interface (verpflichtend) „Third Party Provider“ Option a): „Redirection“ Option b): Nutzung eigener Credentials “ Online Banking Interface General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Händler Kontoinhaber Dirk Schrade, Deutsche Bundesbank 4. April 2014

E-commerce bleibt „Wachstumsmarkt“ Auswirkungen der Secure Pay-Forum Arbeiten Folgen für den Internet-Zahlungsverkehr E-commerce bleibt „Wachstumsmarkt“ Steigende Anforderungen an die Sicherheit im e-commerce Trotz Harmonisierung: Keine „one-size / fits-all“-Lösung Wirtschaftlichkeit wird schwieriger Höhere Sicherheit = höhere Kosten Aber auch höheres Verbrauchervertrauen Interchange-Regulierung (nicht Gegenstand des Secure Pay Forum!) Komfortvorteile bei Lösungen mit einfacher Authentisierung Auswirkung auf Zugangsdienste zu Zahlungskonten / SDD im Internet unklar General control and security environment Governance  development of a security policy Risk assessment  by the PSP / scheme Incident monitoring and reporting  to the management and relevant authorities Risk control and mitigation  multiple layers of defense Traceability Specific control and security measures Initial customer identification  before granting access to the service Strong customer authentication  initiation of payment services / access to sensitive data Enrolment for and provision of strong authentication tools and/or software (…) Log-in attempts, session time out, validity of authentication Transaction monitoring  by PSPs / payment schemes Protection of sensitive payment data  storing, processing, transmission Customer awareness, education and communication Customer education and communication Notifications, setting of limits Customer access to information in the status of the payment (…) Quelle: Steinbeis-Hochschule Berlin 2014 Dirk Schrade, Deutsche Bundesbank 4. April 2014

Quellen Recommendations for the Security of Internet Payments, ECB, January 2013 http://www.ecb.int/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalv ersionafterpc201301en.pdf Recommendations for the Security of Mobile Payments (draft for consultation), ECB, November 2013 https://www.ecb.europa.eu/paym/cons/pdf/131120/recommendationsforthesecurityofmobilepa ymentsdraftpc201311en.pdf?7f9004f1cbbec932447c1db2c84fc4e9 Assessment Guide for the Security of Internet Payments, ECB, January 2014 http://www.ecb.europa.eu/pub/pdf/other/assessmentguidesecurityinternetpayments201401en. pdf Public Note on Payment Account Access Services, ECB, March 2014 https://www.ecb.europa.eu/pub/pdf/other/pubnote201403securitypaymentaccountaccessservic esen.pdf Dirk Schrade, Deutsche Bundesbank 4. April 2014

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.