Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicheres Bezahlen am POS und im Web

Veröffentlicht von:Tederich Dull Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicheres Bezahlen am POS und im Web"—  Präsentation transkript:

1 Sicheres Bezahlen am POS und im Web
Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete Service Bank AG Wien, 2. Dezember 2009

2 1985 Gründung VISA-SERVICE Kreditkarten AG Historie I 1988 Karteninhaber 1997 Internetauftritt mit eigener Homepage 1999 Sicheres Bezahlen im Internet mit SET Issuing und Acquiring 2000 Vertragspartner

3 2002 Sicheres Bezahlen im Internet mit VbV Historie II 2003 Monatsrechnung per 2004 Ausstattung der Karten mit EMV-Chip Umbenennung auf card complete Service Bank AG 2007 Duales Issuing and Acquiring 2009 1,2 Mio. Kunden Akzeptanzpartner 6,7 Mrd. Umsatz 60,3 Mio. Transaktionen

4 Missbrauchsarten SKIMMING VERLUST INTERNET DIEBSTAHL FÄLSCHUNG
POSTWEGVERLUST INTERNET VERLUST DIEBSTAHL Missbrauchsarten FÄLSCHUNG SONSTIGES

5 Missbrauchsarten 2007

6 Missbrauchsarten 2008

7 EMV Sicherheit am POS

8 EMV-Flow Application Selection Initalte Application Processing
1 Application Selection 2 Initalte Application Processing 3 Read Application Data 4 Offline Data Authentication 5 EMV-Flow Processing Restrictions 6 Cardholder Verification

9 EMV-Flow Terminal Risk Management Terminal Action Analysis
7 Terminal Risk Management 8 Terminal Action Analysis 9 Online Processing 10 Issuer Authentication 11 EMV-Flow Completion 12 Script Processing

10 Offline Data Authentication
schützt vor Fälschungen RSA – Technologie (Private / Public Key) Chip Technologie seit 2003 im Einsatz 100 % der card complete Karten Rund complete Terminals

11 Offline Data Authentication
Card Schemes als Certificate Authority (CA) Generieren die RSA – Schlüsselpaare Verteilen der Public Keys Signieren der Chip Zertifikate Schlüssellängen bits SDA = Static Data Authentication DDA = Dynamic Data Authentication

12 Offline Data Authentication
SDA DDA Günstig Einfache Implementierung Performant Höchste Sicherheit Benötigt größere CPU-Leistung auf der Karte und am Terminal Eher langsam

13 Issuer Authentication
Kartenschlüssel (im Security Element des Chips) TDES ARQC Card Authentication Phase 1 Transaktionsdaten

14 Issuer Authentication
Kartenschlüssel (sind dem Issuer bekannt) TDES ARPC Issuer Authentication ACQC Phase 2 Prüfergebnis

15 Issuer Authentication
Kartenschlüssel TDES TC Clearing ARPC Phase 3

16 PCI – Security Standards

17 PCI – Security Standards

18 complete Terminals

19 3D-S Sicherheit im Web

20 Gefahren im Web Unsichere Datenübermittlung
Verschlüsselungsverfahren SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren Missbrauch der Kartendaten durch Dritte Gefahren im Web Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate Serverattacken Vermeidung von Datenbanken mit Kartendaten Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden

21 S E T Softwarebasierte „Geldbörse“ am PC des Karteninhabers
Virtuelles Abbild der realen Welt durch Zertifikate Softwarebasierte Händlerlösung Eindeutige Identifizierung aller teilnehmenden Parteien (Karteninhaber, Händler, Payment Gateway, Issuer, Acquirer) Keine Übermittlung von Kartendaten im Klartext Abwicklung des kompletten Zahlungs-vorganges

22 Zertifizierung Funktionsweise

23 Transaktionsablauf Funktionsweise

24 SET Nachteile Hohe technische Komplexität
Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen SET Nachteile Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs) Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur

25 SET Nachteile EINGESTELLT per 30.09.2002 Hohe technische Komplexität
Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen SET Nachteile EINGESTELLT per Neues Zertifikat bei jeder Prolongation notwendig Begrenzte Nutzung für Karteninhaber (3 PCs) Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur

26 Neue Technologien

27 Vorteile 3D-S Vereinfachte Handhabung
Verwendung von standardisierten SSL-Protokollen Vorteile 3D-S Keine Softwareinstallation und keine Zertifizierung notwendig, einmalige und einfache Registrierung des Karteninhabers Eindeutige Identifizierung des Karteninhabers durch Passwort Keine Standortgebundenheit d.h. Einkäufe über andere Internetzugänge möglich Auf Händlerseite einfache Installation einer Softwarekomponente

28 Gefahren im Web Unsichere Datenübermittlung
Verschlüsselungsverfahren SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren VbV verwendet standardisierte SSL Protokolle Missbrauch der Kartendaten durch Dritte Authentifizierung SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate VbV gewährleistet Transaktionen ausschließlich durch den rechtmäßigen Karteninhaber durch die Bestätigung der Transaktion mittels Passwort Gefahren im Web Serverattacken Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden Vermeidung von Datenbanken mit Kartendaten PCI Standard

29 3D-S Aktivierung Ablauf 3D-S Registrierung:
1) Zusendung eines One-Time 3D-S Freischalt-Codes 2) Stammdaten werden in den Access Control Server geladen 3D-S Aktivierung 3) 3D-S Code wird auf Postweg zugestellt 4) Karteninhaber registriert sich mit 3D-S Code im Internet und wählt Passwort sowie persönliche Sicherheitsnachricht aus ...ab diesem Zeitpunkt können Einkäufe mittels 3D-S getätigt werden

30 Funktionsweise

31 Funktionsweise

32 94.800 VbV Verbreitung 71.600 44.000 26.500 2004 2005 2006 2007 2008 2004 2005 2006 2007 2008

33 Für Ihre Aufmerksamkeit!
Danke Für Ihre Aufmerksamkeit!

Herunterladen ppt "Sicheres Bezahlen am POS und im Web"

Ähnliche Präsentationen

Warum WordPress Sicherung?

Warum WordPress Sicherung?
Software Assurance Erweiterte Software Assurance Services

Software Assurance Erweiterte Software Assurance Services
- IT-Intelligence for your Business -

- IT-Intelligence for your Business -
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Thin Clients und SmartCards an der HU

Thin Clients und SmartCards an der HU
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Agenda Einleitung und Überblick Der Konsument

Agenda Einleitung und Überblick Der Konsument
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
ASP - Software zum Mieten

ASP - Software zum Mieten
Das Bremer Electronic Government Projekt Bremen Online Services

Das Bremer Electronic Government Projekt Bremen Online Services
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla

Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
E-Payment System E-Payment System Eigenschaften eines e-payment

E-Payment System E-Payment System Eigenschaften eines e-payment
Grundlagen der Kryptologie

Grundlagen der Kryptologie
Die Magische Wand Der Zahlungsverkehr Der Zahlungsverkehr

Die Magische Wand Der Zahlungsverkehr Der Zahlungsverkehr
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme
Die Zukunft der Kreditkarte im Netz

Die Zukunft der Kreditkarte im Netz
Virtual Private Networks

Virtual Private Networks
© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

Ähnliche Präsentationen

Google-Anzeigen