PDF | DE - SRC GmbH

Übersicht 

Sicherheit bei 

Internet- 

Kreditkartentransaktionen 

MasterCard SDP / Visa AIS 

Randolf Skerka / Manuel Atug 

SRC Security Research & Consulting GmbH 

Bonn - Wiesbaden 

Vorstellung SRC 

Vorstellung der Programme MasterCard SDP und Visa AIS 

Integrierte Vorgehensweise von SRC 

Komponenten 

Fragebogen 

Security Scan 

Onsite-Audit 

Anforderungen an Scan 

Live-Scan 

Kritische Bewertung: Nutzen und Grenzen 

Onsite-Audit Anforderungen und Vorgehensweise 

Beispiele: 

Remote-Access 

WLANs 

Erfahrungsberichte 

© SRC Security Research & Consulting GmbH 

Seite 2

Firmenprofil SRC 

Über SRC .. 


Gründung: August 2000, 

operativ seit 1.1.2001 

Mitarbeiter: 40 

Firmensitz: Bonn (Zentrale) 

Wiesbaden (Niederlassung) 


Seite 3 

Seite 4

Gesellschafter 


Unser Selbstverständnis 

Ein Thema: 

Unabhängigkeit 

Sichere Systeme 

Kunden- und Projektorientierung 

Hohe Fachkompetenz der Mitarbeiter 

Internationalität 


MABG 

Seite 5 

Seite 6

Themen 

Payment 

Systeme 

und 

Chipkarten 

Common 

Criteria- 

Evaluationen 

SRC Academy 

Elektronische 

Geschäftsprozesse 

und PKI 

Netzwerksicherheit 

(Audit und 

Penetration) 


Problem der Kreditkartenzahlung 

Imageschäden 


BedrohungsundRisikoanalysen/Sicherheitskonzepte 

ZKA- 

Gutachten 

Software- 

Entwicklung 

Kartenmissbrauch 

Credit Card Compromises 

Penalties 

Sinkende Akzeptanz 

Re-Issuing Kosten 

Seite 7 

Seite 9

Ursachen des Kartenmissbrauchs 

Viren 

Trojaner 

Phishing 

Ursachen 

Kunde 

Fake-Seite 

Hacker 

Kreditkartendaten 


Unzureichende Sicherheit in 

Shopsystemen 

Schlechte Programmierung 

Fehlende Datenverschlüsselung 

Payment Gateways 


WebShop 

Unachtsamkeit der Karteninhaber 

Insbesondere Phishing 

Payment Service Provider 

Kreditkartendaten 

AIS / SDP 

Seite 10 

Seite 11

Überblick 

MasterCard Site Data Protection Programme 


SDP Anforderungen 

Self Assessment mittels Questionnaire 

alle electronic commerce-Händler 

alle TPPs, PSPs, DSEs 

1 x im Jahr 

Security Scan/Offsite-Penetration 

TPPs, PSPs, DSEs und electronic commerce-Händler mit 

eGDV < $ 50.000 und #Transaktionen pro Monat < 1000 

1 x im Jahr 

Security Scan/Offsite-Penetration 

TPPs, PSPs, DSEs und electronic commerce-Händler mit 

eGDV > $ 50.000 oder #Transaktionen pro Monat > 1000 

4 x im Jahr 


Seite 12 

Seite 13

AIS Anforderungen 

Self-Assessment Questionnaire, Level 1 

alle electronic commerce-Händler, 1 x pro Jahr 

für Händler bis zu 5000 TpM (Transaktionen pro Monat) 

ist das Programm abgeschlossen 

Security Scan/Vulnerability Testing, Level 2 

für electronic commerce-Händler mit 5000 bis 15.000 TpM oder 

mehr als 15.000 TpM und Risk Score „low“ oder „medium“ 

1 x pro Jahr 

Onsite Audit, Level 3 

für alle PSPs verbindlich 

für Händler mit mehr als 15000 TpM und Risk Score „high“ 

Wiederholung: alle 2 Jahre 

Übersicht SDP/AIS 

High risk 

Large 

Merchant/ 

PSP/DSE 

Large 

Merchant 

Small 

Merchant 

„Visa only“ 

eGDV > 50.000 $ 

oder 

#TpM > 1000, 

PSP/DSE 

eGDV > 50.000 $ 

oder 

#TpM > 1000 

eGDV 15.000 und 

Risikobewertung 

„low/med“) 

(5.000 - 15000 TpM) 

oder 

(#TpM > 15.000 und 

Risikobewertung 

„low/med“) 

#TpM < 5000 


Self-Assessment + 

Security Scan 

(4 x pro Jahr) + 

Onsite Audit 

(alle 2 Jahre) 


Security Scan 

(4 x pro Jahr) 


Security Scan 

(1 x pro Jahr) 

Self-Assessment 

Seite 14 

Seite 15

SRC Services 

Bereitstellung des Questionnaires (DE/EN) mit automatisierter 

Auswertung und Bestimmung des Risk Exposures (für Visa) 

Unterstützung der Händler/MSPs/PSPs/DSEs 

per Telefon/E-Mail/FAQ bei technischen Rückfragen 

Vorbereitung und Durchführung der Penetrationstests und 

Auswertung/Qualitätssicherung durch Spezialisten 

Durchführung der Onsite Audits (für Visa) 

Option für PSPs und Händler: Beratung und Unterstützung der 

Händler/MSPs/PSPs/DSEs bei Aufbau einer nachweisbar 

sicheren electronic commerce Umgebung 

Beispiel 

Jahr Monat 

2004 

2005 

2006 

Januar 

Händler „klein“ 1 

Self-Assessment, 

Security Scan 


Aktivität 

Händler „groß“ mit „high risk“ 

Händler „groß“ 


Security Scan 



Security Scan, 

On-Site Audit 

April Security Scan Security Scan 

Juli Security Scan Security Scan 

Oktober Security Scan Security Scan 

Januar 


Security Scan 


Security Scan 


Security Scan 

April Security Scan Security Scan 

Juli Security Scan Security Scan 

Oktober Security Scan Security Scan 

Januar 


Security Scan 


Security Scan 

1 : Kleine Händler, für die die Umsetzung verpflichtend ist gemäß MasterCard 


Security Scan, 

On-Site Audit 

Seite 16 

Seite 17

Self-Assessment 

Nutzung des SRC Online-Questionnaires 

Automatische Auswertung bei SRC mit Ergebnis 

Risk Exposure 

Fragen zu verschiedenen Kategorien 

Sicherheitsmanagement 

Zugriffskontrolle 

Anwendungs- und Systementwicklung 

Netzwerksicherheit 

Physikalische Sicherheit 

Kosten: 

€ 75,- inkl. ½ Stunde Beratung 

Security Scan 


Anforderungen an den Scan 

Möglichst genaue Ergebnisse 

Keine Beeinflussung der Zielsysteme 

Tip an die Kunden 

Systeme aktuell halten! 


Seite 18 

Seite 19

Security Scan 

Aufwand: 

Aufwand Scan: ca. 1 Tag (bis zu 3 IP-Adressen) 

Aufwand Report: ca. 1 Tag 

Erfolg nicht garantiert !! 

SRC unterstützt bei Erreichung der 

Compliance 

Kosten: 

Ca. € 1.825,- (1 x im Jahr) bzw. 

Ca. € 5.000,- (4 x im Jahr) 

inkl. 1,5 bzw. 2 Stunden Beratung 

Onsite Audit 


Anforderungen an das OnSite-Audit 

Gewinnung eines Gesamteindrucks 

Überprüfung des ISMS des Kunden 

Sicherheitspolitik 

Eskalationswege 

Sorgfältiger Umgang mit Kartendaten 

z.B. Datenvernichtung 

Vertrauenswürdigkeit der Mitarbeiter 

Einstellungsprozess 

polizeiliche Führungszeugnisse 


Seite 20 

Seite 21

Onsite Audit 

Aufwand: 

ca. 2 Tage vor Ort 

ca. 2 Tage Zusammenfassung und Bericht 

SRC unterstützt bei Aufbau eines ISMS 

SRC unterstützt bei Erreichung der 

Compliance 

Kosten 

Ca. € 5.000,- für 2 Jahre 


Erfahrungen mit AIS/SDP 

Anzahl aller Kunden: 823 

Davon Anzahl Händler: 765 

Davon Anzahl PSPs: 43 

Anzahl Kunden AIS Compliant: 54 

Anzahl Kunden SDP Compliant: 24 

Anzahl Kunden AIS NICHT Compliant: 176 

Anzahl Kunden SDP NICHT Compliant: 200 

Anzahl Kunden die kein AIS brauchen: 591 

Anzahl Kunden die kein SDP brauchen: 597 

Anzahl der Fragebögen, die beantwortet werden müssten: 235 

Anzahl Security Scans (1x), die durchgeführt werden müssten: 149 

Anzahl Security Scans (4x), die durchgeführt werden müssten: 78 

Anzahl Onsite Audits, die durchgeführt werden müssten: 43 


Seite 22 

Seite 23

Nutzen von SRC 

SRC ist ein sehr erfahrener Partner für 

Zahlungsverkehr 

IT-Sicherheit 

SRC ist akkreditiert: 

VISA Account Information Security Assessor 

MasterCard Security Vendor für SDP 

Bundesamt für Sicherheit in der Informationstechnik (BSI) 

Gutachter für Common Criteria (ISO 15408) 

2 lizenzierte IT-Grundschutzauditoren 

ZKA für Sicherheitsuntersuchungen im Zahlungsverkehr 

MasterCard CAST Zulassung für Chipkarten-Sicherheit 

Nutzen von SRC 


Full Service Provider, d.h. 

ein Ansprechpartner für 

Acquirer 

MSPs/PSPs/DSEs 

Merchants 

MasterCard International 

Visa International 


Seite 24 

Seite 25

Kontakt 

SRC 

Security Research & Consulting GmbH 

Graurheindorfer Str. 149a 

53117 Bonn 

Tel. +49-(0)228-2806-0 

Fax: +49-(0)228-2806-199 

E-mail: info@src-gmbh.de 

WWW: www.src-gmbh.de 


Seite 26

PDF | DE - SRC GmbH

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?