IT-Expertentag

Sicheres Bezahlen am POS und im Web

Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete

Christian Grausam, card complete Service Bank AG

Wien, 2. Dezember 2009

His

tori

eH

isto

rie

I IGründung VISA-SERVICE Kreditkarten AG

100.000 Karteninhaber

Internetauftritt mit eigener Homepage

Sicheres Bezahlen im Internet mit SET

50.000 Vertragspartner

Issuing und Acquiring

His

tori

e I

IH

isto

rie I

ISicheres Bezahlen im Internet mit VbV

Monatsrechnung per e-Mail

Ausstattung der Karten mit EMV-Chip

Umbenennung auf card complete Service Bank AG

1,2 Mio. Kunden

Duales Issuing and Acquiring

100.000 Akzeptanzpartner60,3 Mio. Transaktionen6,7 Mrd. Umsatz

Mis

sb

rau

ch

sart

en

Mis

sb

rau

ch

sart

en

SKIMMING

FÄLSCHUNG

POSTWEGVERLUST

DIEBSTAHLVERLUSTINTERNET

SONSTIGES

Mis

sb

rau

ch

sart

en

200

7M

issb

rau

ch

sart

en

200

71% 5% 0,3%

44%

11%

39%

Skimming/Fälschung Diebstahl Internet

Postwegverlust Verlust Sonstiges

Mis

sb

rau

ch

sart

en

200

8M

issb

rau

ch

sart

en

200

8

8%

40%0%4%

46%

2%

Skimming/Fälschung Diebstahl Internet

Postwegverlust Verlust Sonstiges

EMVSicherheit am POS

1

2

3

4

5

6

Application Selection

Initalte Application Processing

Offline Data Authentication

Processing Restrictions

Cardholder Verification

Read Application Data

EM

V-F

low

EM

V-F

low

7

8

9

10

11

12

Terminal Risk Management

Terminal Action Analysis

Online Processing

Issuer Authentication

Completion

Script Processing

EM

V-F

low

EM

V-F

low

Offline Data Offline Data AuthenticationAuthentication

schützt vor Fälschungen

RSA – Technologie (Private / Public Key)

Chip Technologie seit 2003 im Einsatz

100 % der card complete Karten

Rund 20.000 complete Terminals

Offline Data Offline Data AuthenticationAuthenticationCard Schemes als Certificate Authority

(CA)Generieren die RSA – SchlüsselpaareVerteilen der Public KeysSignieren der Chip ZertifikateSchlüssellängen 768-2084 bits

SDA = Static Data AuthenticationDDA = Dynamic Data Authentication

Offline Data Offline Data AuthenticationAuthenticationSDASDA

GünstigEinfache ImplementierungPerformant

DDADDAHöchste SicherheitBenötigt größere CPU-Leistung auf der Karte und am TerminalEher langsam

Issuer AuthenticationIssuer Authentication

TDES ARQC Card Authentication

Transaktionsdaten

Kartenschlüssel (im Security Element des Chips)

Ph

ase 1

Ph

ase 1

TDES ARPC Issuer Authentication

Prüfergebnis

Kartenschlüssel (sind dem Issuer bekannt)

ACQC

Issuer AuthenticationIssuer AuthenticationP

hase 2

Ph

ase 2

TDES TC Clearing

Kartenschlüssel

ARPC

Issuer AuthenticationIssuer AuthenticationP

hase 3

Ph

ase 3

PCI – Security StandardsPCI – Security Standards

PCI – Security StandardsPCI – Security Standards

complete Terminalscomplete Terminals

3D-SSicherheit im Web

Gefa

hre

n im

Web

Gefa

hre

n im

Web

Verschlüsselungsverfahren

Unsichere Datenübermittlung

SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren

Missbrauch der Kartendaten durch Dritte Authentifizierung

SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate

Serverattacken

Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden

Vermeidung von Datenbanken mit Kartendaten

S E

TS

E T

Softwarebasierte „Geldbörse“ am PC des Karteninhabers

Virtuelles Abbild der realen Welt durch Zertifikate

Eindeutige Identifizierung aller teilnehmenden Parteien (Karteninhaber, Händler, Payment Gateway, Issuer, Acquirer)Keine Übermittlung von Kartendaten im Klartext

Abwicklung des kompletten Zahlungs-vorganges

Softwarebasierte Händlerlösung

Fu

nkti

on

sw

eis

eFu

nkti

on

sw

eis

eZertifizierung

Fu

nkti

on

sw

eis

eFu

nkti

on

sw

eis

eTransaktionsablauf

SET N

ach

teile

SET N

ach

teile

Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur

Hohe technische Komplexität

Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen

Neues Zertifikat bei jeder Prolongation notwendig

Begrenzte Nutzung für Karteninhaber (3 PCs)

SET N

ach

teile

SET N

ach

teile

Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur

Hohe technische Komplexität

Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen

Neues Zertifikat bei jeder Prolongation notwendig

Begrenzte Nutzung für Karteninhaber (3 PCs)

Neue TechnologienNeue Technologien

3D-Secure

Verified by VISA MasterCard SecureCode

Maestro SecureCode

Vort

eile 3

D-S

Vort

eile 3

D-S

Auf Händlerseite einfache Installation einer Softwarekomponente

Vereinfachte Handhabung

Verwendung von standardisierten SSL-Protokollen

Keine Softwareinstallation und keine Zertifizierung notwendig, einmalige und einfache Registrierung des Karteninhabers

Eindeutige Identifizierung des Karteninhabers durch Passwort

Keine Standortgebundenheit d.h. Einkäufe über andere Internetzugänge möglich

Gefa

hre

n im

Web

Gefa

hre

n im

Web

Verschlüsselungsverfahren

Unsichere Datenübermittlung

SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren

VbV verwendet standardisierte SSL Protokolle

Missbrauch der Kartendaten durch Dritte Authentifizierung

SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate

VbV gewährleistet Transaktionen ausschließlich durch den rechtmäßigen Karteninhaber durch die Bestätigung der Transaktion mittels Passwort

Serverattacken

Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden

Vermeidung von Datenbanken mit Kartendaten

PCI Standard

3D

-S A

kti

vie

run

g3

D-S

Akti

vie

run

g

1) Zusendung eines One-Time 3D-S Freischalt-Codes

Ablauf 3D-S Registrierung:

3) 3D-S Code wird auf Postweg zugestellt

4) Karteninhaber registriert sich mit 3D-S Code im Internet und wählt Passwort sowie persönliche Sicherheitsnachricht aus

...ab diesem Zeitpunkt können Einkäufe mittels 3D-S getätigt werden

2) Stammdaten werden in den Access Control Server geladen

Fu

nkti

on

sw

eis

eFu

nkti

on

sw

eis

e

Fu

nkti

on

sw

eis

eFu

nkti

on

sw

eis

e

26.500

44.000

71.600

94.800

121.300

Vb

V V

erb

reit

un

gV

bV

Verb

reit

un

g

DankeFür Ihre Aufmerksamkeit!