it-expertentag sicheres bezahlen am pos und im web aktuelle sicherheitsstandards von visa und...
TRANSCRIPT
![Page 1: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/1.jpg)
IT-Expertentag
Sicheres Bezahlen am POS und im Web
Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete
Christian Grausam, card complete Service Bank AG
Wien, 2. Dezember 2009
![Page 2: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/2.jpg)
His
tori
eH
isto
rie
I IGründung VISA-SERVICE Kreditkarten AG
100.000 Karteninhaber
Internetauftritt mit eigener Homepage
Sicheres Bezahlen im Internet mit SET
50.000 Vertragspartner
Issuing und Acquiring
![Page 3: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/3.jpg)
His
tori
e I
IH
isto
rie I
ISicheres Bezahlen im Internet mit VbV
Monatsrechnung per e-Mail
Ausstattung der Karten mit EMV-Chip
Umbenennung auf card complete Service Bank AG
1,2 Mio. Kunden
Duales Issuing and Acquiring
100.000 Akzeptanzpartner60,3 Mio. Transaktionen6,7 Mrd. Umsatz
![Page 4: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/4.jpg)
Mis
sb
rau
ch
sart
en
Mis
sb
rau
ch
sart
en
SKIMMING
FÄLSCHUNG
POSTWEGVERLUST
DIEBSTAHLVERLUSTINTERNET
SONSTIGES
![Page 5: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/5.jpg)
Mis
sb
rau
ch
sart
en
200
7M
issb
rau
ch
sart
en
200
71% 5% 0,3%
44%
11%
39%
Skimming/Fälschung Diebstahl Internet
Postwegverlust Verlust Sonstiges
![Page 6: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/6.jpg)
Mis
sb
rau
ch
sart
en
200
8M
issb
rau
ch
sart
en
200
8
8%
40%0%4%
46%
2%
Skimming/Fälschung Diebstahl Internet
Postwegverlust Verlust Sonstiges
![Page 7: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/7.jpg)
EMVSicherheit am POS
![Page 8: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/8.jpg)
1
2
3
4
5
6
Application Selection
Initalte Application Processing
Offline Data Authentication
Processing Restrictions
Cardholder Verification
Read Application Data
EM
V-F
low
EM
V-F
low
![Page 9: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/9.jpg)
7
8
9
10
11
12
Terminal Risk Management
Terminal Action Analysis
Online Processing
Issuer Authentication
Completion
Script Processing
EM
V-F
low
EM
V-F
low
![Page 10: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/10.jpg)
Offline Data Offline Data AuthenticationAuthentication
schützt vor Fälschungen
RSA – Technologie (Private / Public Key)
Chip Technologie seit 2003 im Einsatz
100 % der card complete Karten
Rund 20.000 complete Terminals
![Page 11: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/11.jpg)
Offline Data Offline Data AuthenticationAuthenticationCard Schemes als Certificate Authority
(CA)Generieren die RSA – SchlüsselpaareVerteilen der Public KeysSignieren der Chip ZertifikateSchlüssellängen 768-2084 bits
SDA = Static Data AuthenticationDDA = Dynamic Data Authentication
![Page 12: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/12.jpg)
Offline Data Offline Data AuthenticationAuthenticationSDASDA
GünstigEinfache ImplementierungPerformant
DDADDAHöchste SicherheitBenötigt größere CPU-Leistung auf der Karte und am TerminalEher langsam
![Page 13: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/13.jpg)
Issuer AuthenticationIssuer Authentication
TDES ARQC Card Authentication
Transaktionsdaten
Kartenschlüssel (im Security Element des Chips)
Ph
ase 1
Ph
ase 1
![Page 14: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/14.jpg)
TDES ARPC Issuer Authentication
Prüfergebnis
Kartenschlüssel (sind dem Issuer bekannt)
ACQC
Issuer AuthenticationIssuer AuthenticationP
hase 2
Ph
ase 2
![Page 15: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/15.jpg)
TDES TC Clearing
Kartenschlüssel
ARPC
Issuer AuthenticationIssuer AuthenticationP
hase 3
Ph
ase 3
![Page 16: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/16.jpg)
PCI – Security StandardsPCI – Security Standards
![Page 17: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/17.jpg)
PCI – Security StandardsPCI – Security Standards
![Page 18: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/18.jpg)
complete Terminalscomplete Terminals
![Page 19: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/19.jpg)
3D-SSicherheit im Web
![Page 20: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/20.jpg)
Gefa
hre
n im
Web
Gefa
hre
n im
Web
Verschlüsselungsverfahren
Unsichere Datenübermittlung
SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren
Missbrauch der Kartendaten durch Dritte Authentifizierung
SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate
Serverattacken
Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden
Vermeidung von Datenbanken mit Kartendaten
![Page 21: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/21.jpg)
S E
TS
E T
Softwarebasierte „Geldbörse“ am PC des Karteninhabers
Virtuelles Abbild der realen Welt durch Zertifikate
Eindeutige Identifizierung aller teilnehmenden Parteien (Karteninhaber, Händler, Payment Gateway, Issuer, Acquirer)Keine Übermittlung von Kartendaten im Klartext
Abwicklung des kompletten Zahlungs-vorganges
Softwarebasierte Händlerlösung
![Page 22: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/22.jpg)
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
eZertifizierung
![Page 23: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/23.jpg)
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
eTransaktionsablauf
![Page 24: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/24.jpg)
SET N
ach
teile
SET N
ach
teile
Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur
Hohe technische Komplexität
Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen
Neues Zertifikat bei jeder Prolongation notwendig
Begrenzte Nutzung für Karteninhaber (3 PCs)
![Page 25: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/25.jpg)
SET N
ach
teile
SET N
ach
teile
Kompatibilitätsprobleme mit auf Karteninhaber- und Vertragspartnerseite bestehender Infrastruktur
Hohe technische Komplexität
Sowohl Händler als auch Karteninhaber müssen Software installieren und über gültiges SET-Zertifikat verfügen
Neues Zertifikat bei jeder Prolongation notwendig
Begrenzte Nutzung für Karteninhaber (3 PCs)
![Page 26: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/26.jpg)
Neue TechnologienNeue Technologien
3D-Secure
Verified by VISA MasterCard SecureCode
Maestro SecureCode
![Page 27: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/27.jpg)
Vort
eile 3
D-S
Vort
eile 3
D-S
Auf Händlerseite einfache Installation einer Softwarekomponente
Vereinfachte Handhabung
Verwendung von standardisierten SSL-Protokollen
Keine Softwareinstallation und keine Zertifizierung notwendig, einmalige und einfache Registrierung des Karteninhabers
Eindeutige Identifizierung des Karteninhabers durch Passwort
Keine Standortgebundenheit d.h. Einkäufe über andere Internetzugänge möglich
![Page 28: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/28.jpg)
Gefa
hre
n im
Web
Gefa
hre
n im
Web
Verschlüsselungsverfahren
Unsichere Datenübermittlung
SET verwendet zur Datenübermittlung eine Kombination aus symmetrischen und asymmetrischen Schlüsselpaaren
VbV verwendet standardisierte SSL Protokolle
Missbrauch der Kartendaten durch Dritte Authentifizierung
SET authentifiziert den Karteninhaber mithilfe eindeutiger Zertifikate
VbV gewährleistet Transaktionen ausschließlich durch den rechtmäßigen Karteninhaber durch die Bestätigung der Transaktion mittels Passwort
Serverattacken
Im SET Zahlungsverkehr erhält der Händler keine Kartendaten des Kunden
Vermeidung von Datenbanken mit Kartendaten
PCI Standard
![Page 29: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/29.jpg)
3D
-S A
kti
vie
run
g3
D-S
Akti
vie
run
g
1) Zusendung eines One-Time 3D-S Freischalt-Codes
Ablauf 3D-S Registrierung:
3) 3D-S Code wird auf Postweg zugestellt
4) Karteninhaber registriert sich mit 3D-S Code im Internet und wählt Passwort sowie persönliche Sicherheitsnachricht aus
...ab diesem Zeitpunkt können Einkäufe mittels 3D-S getätigt werden
2) Stammdaten werden in den Access Control Server geladen
![Page 30: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/30.jpg)
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
e
![Page 31: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/31.jpg)
Fu
nkti
on
sw
eis
eFu
nkti
on
sw
eis
e
![Page 32: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/32.jpg)
26.500
44.000
71.600
94.800
121.300
Vb
V V
erb
reit
un
gV
bV
Verb
reit
un
g
![Page 33: IT-Expertentag Sicheres Bezahlen am POS und im Web Aktuelle Sicherheitsstandards von Visa und MasterCard bei card complete Christian Grausam, card complete](https://reader035.vdocuments.mx/reader035/viewer/2022081504/55204d7649795902118cab1a/html5/thumbnails/33.jpg)
DankeFür Ihre Aufmerksamkeit!