PDF | DE - SRC GmbH
PDF | DE - SRC GmbH
PDF | DE - SRC GmbH
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Übersicht<br />
Sicherheit bei<br />
Internet-<br />
Kreditkartentransaktionen<br />
MasterCard SDP / Visa AIS<br />
Randolf Skerka / Manuel Atug<br />
<strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Bonn - Wiesbaden<br />
Vorstellung <strong>SRC</strong><br />
Vorstellung der Programme MasterCard SDP und Visa AIS<br />
Integrierte Vorgehensweise von <strong>SRC</strong><br />
Komponenten<br />
Fragebogen<br />
Security Scan<br />
Onsite-Audit<br />
Anforderungen an Scan<br />
Live-Scan<br />
Kritische Bewertung: Nutzen und Grenzen<br />
Onsite-Audit Anforderungen und Vorgehensweise<br />
Beispiele:<br />
Remote-Access<br />
WLANs<br />
Erfahrungsberichte<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 2
Firmenprofil <strong>SRC</strong><br />
Über <strong>SRC</strong> ..<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Gründung: August 2000,<br />
operativ seit 1.1.2001<br />
Mitarbeiter: 40<br />
Firmensitz: Bonn (Zentrale)<br />
Wiesbaden (Niederlassung)<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 3<br />
Seite 4
Gesellschafter<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Unser Selbstverständnis<br />
Ein Thema:<br />
Unabhängigkeit<br />
Sichere Systeme<br />
Kunden- und Projektorientierung<br />
Hohe Fachkompetenz der Mitarbeiter<br />
Internationalität<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
MABG<br />
Seite 5<br />
Seite 6
Themen<br />
Payment<br />
Systeme<br />
und<br />
Chipkarten<br />
Common<br />
Criteria-<br />
Evaluationen<br />
<strong>SRC</strong> Academy<br />
Elektronische<br />
Geschäftsprozesse<br />
und PKI<br />
Netzwerksicherheit<br />
(Audit und<br />
Penetration)<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Problem der Kreditkartenzahlung<br />
Imageschäden<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
BedrohungsundRisikoanalysen/Sicherheitskonzepte<br />
ZKA-<br />
Gutachten<br />
Software-<br />
Entwicklung<br />
Kartenmissbrauch<br />
Credit Card Compromises<br />
Penalties<br />
Sinkende Akzeptanz<br />
Re-Issuing Kosten<br />
Seite 7<br />
Seite 9
Ursachen des Kartenmissbrauchs<br />
Viren<br />
Trojaner<br />
Phishing<br />
Ursachen<br />
Kunde<br />
Fake-Seite<br />
Hacker<br />
Kreditkartendaten<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Unzureichende Sicherheit in<br />
Shopsystemen<br />
Schlechte Programmierung<br />
Fehlende Datenverschlüsselung<br />
Payment Gateways<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
WebShop<br />
Unachtsamkeit der Karteninhaber<br />
Insbesondere Phishing<br />
Payment Service Provider<br />
Kreditkartendaten<br />
AIS / SDP<br />
Seite 10<br />
Seite 11
Überblick<br />
MasterCard Site Data Protection Programme<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
SDP Anforderungen<br />
Self Assessment mittels Questionnaire<br />
alle electronic commerce-Händler<br />
alle TPPs, PSPs, DSEs<br />
1 x im Jahr<br />
Security Scan/Offsite-Penetration<br />
TPPs, PSPs, DSEs und electronic commerce-Händler mit<br />
eGDV < $ 50.000 und #Transaktionen pro Monat < 1000<br />
1 x im Jahr<br />
Security Scan/Offsite-Penetration<br />
TPPs, PSPs, DSEs und electronic commerce-Händler mit<br />
eGDV > $ 50.000 oder #Transaktionen pro Monat > 1000<br />
4 x im Jahr<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 12<br />
Seite 13
AIS Anforderungen<br />
Self-Assessment Questionnaire, Level 1<br />
alle electronic commerce-Händler, 1 x pro Jahr<br />
für Händler bis zu 5000 TpM (Transaktionen pro Monat)<br />
ist das Programm abgeschlossen<br />
Security Scan/Vulnerability Testing, Level 2<br />
für electronic commerce-Händler mit 5000 bis 15.000 TpM oder<br />
mehr als 15.000 TpM und Risk Score „low“ oder „medium“<br />
1 x pro Jahr<br />
Onsite Audit, Level 3<br />
für alle PSPs verbindlich<br />
für Händler mit mehr als 15000 TpM und Risk Score „high“<br />
Wiederholung: alle 2 Jahre<br />
Übersicht SDP/AIS<br />
High risk<br />
Large<br />
Merchant/<br />
PSP/DSE<br />
Large<br />
Merchant<br />
Small<br />
Merchant<br />
„Visa only“<br />
eGDV > 50.000 $<br />
oder<br />
#TpM > 1000,<br />
PSP/DSE<br />
eGDV > 50.000 $<br />
oder<br />
#TpM > 1000<br />
eGDV 15.000 und<br />
Risikobewertung<br />
„low/med“)<br />
(5.000 - 15000 TpM)<br />
oder<br />
(#TpM > 15.000 und<br />
Risikobewertung<br />
„low/med“)<br />
#TpM < 5000<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Self-Assessment +<br />
Security Scan<br />
(4 x pro Jahr) +<br />
Onsite Audit<br />
(alle 2 Jahre)<br />
Self-Assessment +<br />
Security Scan<br />
(4 x pro Jahr)<br />
Self-Assessment +<br />
Security Scan<br />
(1 x pro Jahr)<br />
Self-Assessment<br />
Seite 14<br />
Seite 15
<strong>SRC</strong> Services<br />
Bereitstellung des Questionnaires (<strong>DE</strong>/EN) mit automatisierter<br />
Auswertung und Bestimmung des Risk Exposures (für Visa)<br />
Unterstützung der Händler/MSPs/PSPs/DSEs<br />
per Telefon/E-Mail/FAQ bei technischen Rückfragen<br />
Vorbereitung und Durchführung der Penetrationstests und<br />
Auswertung/Qualitätssicherung durch Spezialisten<br />
Durchführung der Onsite Audits (für Visa)<br />
Option für PSPs und Händler: Beratung und Unterstützung der<br />
Händler/MSPs/PSPs/DSEs bei Aufbau einer nachweisbar<br />
sicheren electronic commerce Umgebung<br />
Beispiel<br />
Jahr Monat<br />
2004<br />
2005<br />
2006<br />
Januar<br />
Händler „klein“ 1<br />
Self-Assessment,<br />
Security Scan<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Aktivität<br />
Händler „groß“ mit „high risk“<br />
Händler „groß“<br />
Self-Assessment,<br />
Security Scan<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Self-Assessment,<br />
Security Scan,<br />
On-Site Audit<br />
April Security Scan Security Scan<br />
Juli Security Scan Security Scan<br />
Oktober Security Scan Security Scan<br />
Januar<br />
Self-Assessment,<br />
Security Scan<br />
Self-Assessment,<br />
Security Scan<br />
Self-Assessment,<br />
Security Scan<br />
April Security Scan Security Scan<br />
Juli Security Scan Security Scan<br />
Oktober Security Scan Security Scan<br />
Januar<br />
Self-Assessment,<br />
Security Scan<br />
Self-Assessment,<br />
Security Scan<br />
1 : Kleine Händler, für die die Umsetzung verpflichtend ist gemäß MasterCard<br />
Self-Assessment,<br />
Security Scan,<br />
On-Site Audit<br />
Seite 16<br />
Seite 17
Self-Assessment<br />
Nutzung des <strong>SRC</strong> Online-Questionnaires<br />
Automatische Auswertung bei <strong>SRC</strong> mit Ergebnis<br />
Risk Exposure<br />
Fragen zu verschiedenen Kategorien<br />
Sicherheitsmanagement<br />
Zugriffskontrolle<br />
Anwendungs- und Systementwicklung<br />
Netzwerksicherheit<br />
Physikalische Sicherheit<br />
Kosten:<br />
€ 75,- inkl. ½ Stunde Beratung<br />
Security Scan<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Anforderungen an den Scan<br />
Möglichst genaue Ergebnisse<br />
Keine Beeinflussung der Zielsysteme<br />
Tip an die Kunden<br />
Systeme aktuell halten!<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 18<br />
Seite 19
Security Scan<br />
Aufwand:<br />
Aufwand Scan: ca. 1 Tag (bis zu 3 IP-Adressen)<br />
Aufwand Report: ca. 1 Tag<br />
Erfolg nicht garantiert !!<br />
<strong>SRC</strong> unterstützt bei Erreichung der<br />
Compliance<br />
Kosten:<br />
Ca. € 1.825,- (1 x im Jahr) bzw.<br />
Ca. € 5.000,- (4 x im Jahr)<br />
inkl. 1,5 bzw. 2 Stunden Beratung<br />
Onsite Audit<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Anforderungen an das OnSite-Audit<br />
Gewinnung eines Gesamteindrucks<br />
Überprüfung des ISMS des Kunden<br />
Sicherheitspolitik<br />
Eskalationswege<br />
Sorgfältiger Umgang mit Kartendaten<br />
z.B. Datenvernichtung<br />
Vertrauenswürdigkeit der Mitarbeiter<br />
Einstellungsprozess<br />
polizeiliche Führungszeugnisse<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 20<br />
Seite 21
Onsite Audit<br />
Aufwand:<br />
ca. 2 Tage vor Ort<br />
ca. 2 Tage Zusammenfassung und Bericht<br />
<strong>SRC</strong> unterstützt bei Aufbau eines ISMS<br />
<strong>SRC</strong> unterstützt bei Erreichung der<br />
Compliance<br />
Kosten<br />
Ca. € 5.000,- für 2 Jahre<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Erfahrungen mit AIS/SDP<br />
Anzahl aller Kunden: 823<br />
Davon Anzahl Händler: 765<br />
Davon Anzahl PSPs: 43<br />
Anzahl Kunden AIS Compliant: 54<br />
Anzahl Kunden SDP Compliant: 24<br />
Anzahl Kunden AIS NICHT Compliant: 176<br />
Anzahl Kunden SDP NICHT Compliant: 200<br />
Anzahl Kunden die kein AIS brauchen: 591<br />
Anzahl Kunden die kein SDP brauchen: 597<br />
Anzahl der Fragebögen, die beantwortet werden müssten: 235<br />
Anzahl Security Scans (1x), die durchgeführt werden müssten: 149<br />
Anzahl Security Scans (4x), die durchgeführt werden müssten: 78<br />
Anzahl Onsite Audits, die durchgeführt werden müssten: 43<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 22<br />
Seite 23
Nutzen von <strong>SRC</strong><br />
<strong>SRC</strong> ist ein sehr erfahrener Partner für<br />
Zahlungsverkehr<br />
IT-Sicherheit<br />
<strong>SRC</strong> ist akkreditiert:<br />
VISA Account Information Security Assessor<br />
MasterCard Security Vendor für SDP<br />
Bundesamt für Sicherheit in der Informationstechnik (BSI)<br />
Gutachter für Common Criteria (ISO 15408)<br />
2 lizenzierte IT-Grundschutzauditoren<br />
ZKA für Sicherheitsuntersuchungen im Zahlungsverkehr<br />
MasterCard CAST Zulassung für Chipkarten-Sicherheit<br />
Nutzen von <strong>SRC</strong><br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Full Service Provider, d.h.<br />
ein Ansprechpartner für<br />
Acquirer<br />
MSPs/PSPs/DSEs<br />
Merchants<br />
MasterCard International<br />
Visa International<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 24<br />
Seite 25
Kontakt<br />
<strong>SRC</strong><br />
Security Research & Consulting <strong>GmbH</strong><br />
Graurheindorfer Str. 149a<br />
53117 Bonn<br />
Tel. +49-(0)228-2806-0<br />
Fax: +49-(0)228-2806-199<br />
E-mail: info@src-gmbh.de<br />
WWW: www.src-gmbh.de<br />
© <strong>SRC</strong> Security Research & Consulting <strong>GmbH</strong><br />
Seite 26