Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete Service Bank AG Wien, 2. Dezember 2009
1985 Gründung VISA-SERVICE Kreditkarten AG Historie I 1988 100.000 Karteninhaber 1997 Internetauftritt mit eigener Homepage 1999 Sicheres Bezahlen im Internet mit SET Issuing und Acquiring 2000 50.000 Vertragspartner
2002 Sicheres Bezahlen im Internet mit VbV Historie II 2003 Monatsrechnung per e-Mail 2004 Ausstattung der Karten mit EMV-Chip Umbenennung auf card complete Service Bank AG 2007 Duales Issuing and Acquiring 2009 1,2 Mio. Kunden 100.000 Akzeptanzpartner 6,7 Mrd. Umsatz 60,3 Mio. Transaktionen
Missbrauchsarten SKIMMING VERLUST INTERNET DIEBSTAHL FÄLSCHUNG POSTWEGVERLUST INTERNET VERLUST DIEBSTAHL Missbrauchsarten FÄLSCHUNG SONSTIGES
Missbrauchsarten 2007
Missbrauchsarten 2008
EMV Sicherheit am POS
EMV-Flow Application Selection Initalte Application Processing 1 Application Selection 2 Initalte Application Processing 3 Read Application Data 4 Offline Data Authentication 5 EMV-Flow Processing Restrictions 6 Cardholder Verification
EMV-Flow Terminal Risk Management Terminal Action Analysis 7 Terminal Risk Management 8 Terminal Action Analysis 9 Online Processing 10 Issuer Authentication 11 EMV-Flow Completion 12 Script Processing
Offline Data Authentication schützt vor Fälschungen RSA – Technologie (Private / Public Key) Chip Technologie seit 2003 im Einsatz 100 % der card complete Karten Rund 20.000 complete Terminals
Offline Data Authentication Card Schemes als Certificate Authority (CA) Generieren die RSA – Schlüsselpaare Verteilen der Public Keys Signieren der Chip Zertifikate Schlüssellängen 768-2084 bits SDA = Static Data Authentication DDA = Dynamic Data Authentication
Offline Data Authentication SDA DDA Günstig Einfache Implementierung Performant Höchste Sicherheit Benötigt größere CPU-Leistung auf der Karte und am Terminal Eher langsam
Issuer Authentication Kartenschlüssel (im Security Element des Chips) TDES ARQC Card Authentication Phase 1 Transaktionsdaten
Issuer Authentication Kartenschlüssel (sind dem Issuer bekannt) TDES ARPC Issuer Authentication ACQC Phase 2 Prüfergebnis
Issuer Authentication Kartenschlüssel TDES TC Clearing ARPC Phase 3
PCI – Security Standards
PCI – Security Standards
complete Terminals
3D-S Sicherheit im Web
Gefahren im Web Unsichere Datenübermittlung Verschlüsselungsverfahren SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren Missbrauch der Kartendaten durch Dritte Gefahren im Web Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate Serverattacken Vermeidung von Datenbanken mit Kartendaten Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden
S E T Softwarebasierte „Geldbörse“ am PC des Karteninhabers Virtuelles Abbild der realen Welt durch Zertifikate Softwarebasierte Händlerlösung Eindeutige Identifizierung aller teilnehmenden Parteien (Karteninhaber, Händler, Payment Gateway, Issuer, Acquirer) Keine Übermittlung von Kartendaten im Klartext Abwicklung des kompletten Zahlungs-vorganges
Zertifizierung Funktionsweise
Transaktionsablauf Funktionsweise
SET Nachteile Hohe technische Komplexität Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen SET Nachteile Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs) Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur
SET Nachteile EINGESTELLT per 30.09.2002 Hohe technische Komplexität Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen SET Nachteile EINGESTELLT per 30.09.2002 Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs) Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur
Neue Technologien
Vorteile 3D-S Vereinfachte Handhabung Verwendung von standardisierten SSL-Protokollen Vorteile 3D-S Keine Softwareinstallation und keine Zertifizierung notwendig, einmalige und einfache Registrierung des Karteninhabers Eindeutige Identifizierung des Karteninhabers durch Passwort Keine Standortgebundenheit d.h. Einkäufe über andere Internetzugänge möglich Auf Händlerseite einfache Installation einer Softwarekomponente
Gefahren im Web Unsichere Datenübermittlung Verschlüsselungsverfahren SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren VbV verwendet standardisierte SSL Protokolle Missbrauch der Kartendaten durch Dritte Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate VbV gewährleistet Transaktionen ausschließlich durch den rechtmäßigen Karteninhaber durch die Bestätigung der Transaktion mittels Passwort Gefahren im Web Serverattacken Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden Vermeidung von Datenbanken mit Kartendaten PCI Standard
3D-S Aktivierung Ablauf 3D-S Registrierung: 1) Zusendung eines One-Time 3D-S Freischalt-Codes 2) Stammdaten werden in den Access Control Server geladen 3D-S Aktivierung 3) 3D-S Code wird auf Postweg zugestellt 4) Karteninhaber registriert sich mit 3D-S Code im Internet und wählt Passwort sowie persönliche Sicherheitsnachricht aus ...ab diesem Zeitpunkt können Einkäufe mittels 3D-S getätigt werden
Funktionsweise
Funktionsweise
121.300 94.800 VbV Verbreitung 71.600 44.000 26.500 2004 2005 2006 2007 2008 2004 2005 2006 2007 2008
Für Ihre Aufmerksamkeit! Danke Für Ihre Aufmerksamkeit!