View
115
Download
0
Category
Preview:
Citation preview
IT-Expertentag
Sicheres Bezahlen am POS und im Web
Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete
Christian Grausam, card complete Service Bank AG
Wien, 2. Dezember 2009
His
tori
eH
isto
rie
I IGründung VISA-SERVICE Kreditkarten AG
100.000 Karteninhaber
Internetauftritt mit eigener Homepage
Sicheres Bezahlen im Internet mit SET
50.000 Vertragspartner
Issuing und Acquiring
His
tori
e I
IH
isto
rie I
ISicheres Bezahlen im Internet mit VbV
Monatsrechnung per e-Mail
Ausstattung der Karten mit EMV-Chip
Umbenennung auf card complete Service Bank AG
1,2 Mio. Kunden
Duales Issuing and Acquiring
100.000 Akzeptanzpartner60,3 Mio. Transaktionen6,7 Mrd. Umsatz
Mis
sb
rau
ch
sart
en
Mis
sb
rau
ch
sart
en
SKIMMING
FÄLSCHUNG
POSTWEGVERLUST
DIEBSTAHLVERLUSTINTERNET
SONSTIGES
Mis
sb
rau
ch
sart
en
200
7M
issb
rau
ch
sart
en
200
71% 5% 0,3%
44%
11%
39%
Skimming/Fälschung Diebstahl Internet
Postwegverlust Verlust Sonstiges
Mis
sb
rau
ch
sart
en
200
8M
issb
rau
ch
sart
en
200
8
8%
40%0%4%
46%
2%
Skimming/Fälschung Diebstahl Internet
Postwegverlust Verlust Sonstiges
EMVSicherheit am POS
1
2
3
4
5
6
Application Selection
Initalte Application Processing
Offline Data Authentication
Processing Restrictions
Cardholder Verification
Read Application Data
EM
V-F
low
EM
V-F
low
7
8
9
10
11
12
Terminal Risk Management
Terminal Action Analysis
Online Processing
Issuer Authentication
Completion
Script Processing
EM
V-F
low
EM
V-F
low
Offline Data Offline Data AuthenticationAuthentication
schützt vor Fälschungen
RSA – Technologie (Private / Public Key)
Chip Technologie seit 2003 im Einsatz
100 % der card complete Karten
Rund 20.000 complete Terminals
Offline Data Offline Data AuthenticationAuthenticationCard Schemes als Certificate Authority
(CA)Generieren die RSA – SchlüsselpaareVerteilen der Public KeysSignieren der Chip ZertifikateSchlüssellängen 768-2084 bits
SDA = Static Data AuthenticationDDA = Dynamic Data Authentication
Offline Data Offline Data AuthenticationAuthenticationSDASDA
GünstigEinfache ImplementierungPerformant
DDADDAHöchste SicherheitBenötigt größere CPU-Leistung auf der Karte und am TerminalEher langsam
Issuer AuthenticationIssuer Authentication
TDES ARQC Card Authentication
Transaktionsdaten
Kartenschlüssel (im Security Element des Chips)
Ph
ase 1
Ph
ase 1
TDES ARPC Issuer Authentication
Prüfergebnis
Kartenschlüssel (sind dem Issuer bekannt)
ACQC
Issuer AuthenticationIssuer AuthenticationP
hase 2
Ph
ase 2
TDES TC Clearing
Kartenschlüssel
ARPC
Issuer AuthenticationIssuer AuthenticationP
hase 3
Ph
ase 3
PCI – Security StandardsPCI – Security Standards
PCI – Security StandardsPCI – Security Standards
complete Terminalscomplete Terminals
3D-SSicherheit im Web
Gefa
hre
n im
Web
Gefa
hre
n im
Web
Verschlüsselungsverfahren
Unsichere Datenübermittlung
SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren
Missbrauch der Kartendaten durch Dritte Authentifizierung
SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate
Serverattacken
Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden
Vermeidung von Datenbanken mit Kartendaten
S E
TS
E T
Softwarebasierte „Geldbörse“ am PC des Karteninhabers
Virtuelles Abbild der realen Welt durch Zertifikate
Eindeutige Identifizierung aller teilnehmenden Parteien (Karteninhaber, Händler, Payment Gateway, Issuer, Acquirer)Keine Übermittlung von Kartendaten im Klartext
Abwicklung des kompletten Zahlungs-vorganges
Softwarebasierte Händlerlösung
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
eZertifizierung
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
eTransaktionsablauf
SET N
ach
teile
SET N
ach
teile
Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur
Hohe technische Komplexität
Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen
Neues Zertifikat bei jeder Prolongation notwendig
Begrenzte Nutzung für Karteninhaber (3 PCs)
SET N
ach
teile
SET N
ach
teile
Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur
Hohe technische Komplexität
Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen
Neues Zertifikat bei jeder Prolongation notwendig
Begrenzte Nutzung für Karteninhaber (3 PCs)
Neue TechnologienNeue Technologien
3D-Secure
Verified by VISA MasterCard SecureCode
Maestro SecureCode
Vort
eile 3
D-S
Vort
eile 3
D-S
Auf Händlerseite einfache Installation einer Softwarekomponente
Vereinfachte Handhabung
Verwendung von standardisierten SSL-Protokollen
Keine Softwareinstallation und keine Zertifizierung notwendig, einmalige und einfache Registrierung des Karteninhabers
Eindeutige Identifizierung des Karteninhabers durch Passwort
Keine Standortgebundenheit d.h. Einkäufe über andere Internetzugänge möglich
Gefa
hre
n im
Web
Gefa
hre
n im
Web
Verschlüsselungsverfahren
Unsichere Datenübermittlung
SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren
VbV verwendet standardisierte SSL Protokolle
Missbrauch der Kartendaten durch Dritte Authentifizierung
SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate
VbV gewährleistet Transaktionen ausschließlich durch den rechtmäßigen Karteninhaber durch die Bestätigung der Transaktion mittels Passwort
Serverattacken
Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden
Vermeidung von Datenbanken mit Kartendaten
PCI Standard
3D
-S A
kti
vie
run
g3
D-S
Akti
vie
run
g
1) Zusendung eines One-Time 3D-S Freischalt-Codes
Ablauf 3D-S Registrierung:
3) 3D-S Code wird auf Postweg zugestellt
4) Karteninhaber registriert sich mit 3D-S Code im Internet und wählt Passwort sowie persönliche Sicherheitsnachricht aus
...ab diesem Zeitpunkt können Einkäufe mittels 3D-S getätigt werden
2) Stammdaten werden in den Access Control Server geladen
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
e
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
e
26.500
44.000
71.600
94.800
121.300
Vb
V V
erb
reit
un
gV
bV
Verb
reit
un
g
DankeFür Ihre Aufmerksamkeit!
Recommended