PDF | DE - SRC GmbH

Transcrição

PDF | DE - SRC GmbH

Sicherheit bei
InternetKreditkartentransaktionen
MasterCard SDP / Visa AIS
Randolf Skerka / Manuel Atug
SRC Security Research & Consulting GmbH
Bonn - Wiesbaden
Übersicht
Vorstellung SRC
Vorstellung der Programme MasterCard SDP und Visa AIS
Integrierte Vorgehensweise von SRC
Komponenten
!
Fragebogen
!
Security Scan
!
Onsite-Audit
Anforderungen an Scan
Live-Scan
Kritische Bewertung: Nutzen und Grenzen
Onsite-Audit Anforderungen und Vorgehensweise
Beispiele:
!
Remote-Access
!
WLANs
Erfahrungsberichte
© SRC Security Research & Consulting GmbH
Seite 2
Über SRC ..
Seite 3
Firmenprofil SRC
Gründung:
August 2000,
operativ seit 1.1.2001
Mitarbeiter:
40
Firmensitz:
Bonn (Zentrale)
Wiesbaden (Niederlassung)
Seite 4
Gesellschafter
MABG
Seite 5
Unser Selbstverständnis
Ein Thema:
Sichere Systeme
Unabhängigkeit
Kunden- und Projektorientierung
Hohe Fachkompetenz der Mitarbeiter
Internationalität
Seite 6
Themen
Payment
Systeme
und
Chipkarten
Bedrohungsund Risikoanalysen/
Sicherheitskonzepte
Elektronische
Geschäftsprozesse
und PKI
Common
CriteriaEvaluationen
SRC Academy
ZKAGutachten
Netzwerksicherheit
(Audit und
Penetration)
SoftwareEntwicklung
Seite 7
Problem der Kreditkartenzahlung
Sinkende Akzeptanz
Imageschäden
Kartenmissbrauch
Credit Card Compromises
Penalties
Re-Issuing Kosten
Seite 9
Ursachen des Kartenmissbrauchs
Payment Service Provider
Hacker
Kreditkartendaten
Viren
Trojaner
Kreditkartendaten
WebShop
Kunde
AIS / SDP
Phishing
Fake-Seite
Seite 10
Ursachen
Unzureichende Sicherheit in
!
Shopsystemen
Schlechte Programmierung
Fehlende Datenverschlüsselung
!
Payment Gateways
!
Unachtsamkeit der Karteninhaber
Insbesondere Phishing
Seite 11
Überblick
MasterCard Site Data Protection Programme
Seite 12
SDP Anforderungen
Self Assessment mittels Questionnaire
!
alle electronic commerce-Händler
!
alle TPPs, PSPs, DSEs
!
1 x im Jahr
Security Scan/Offsite-Penetration
!
TPPs, PSPs, DSEs und electronic commerce-Händler mit
eGDV < $ 50.000 und #Transaktionen pro Monat < 1000
!
1 x im Jahr
Security Scan/Offsite-Penetration
!
TPPs, PSPs, DSEs und electronic commerce-Händler mit
eGDV > $ 50.000 oder #Transaktionen pro Monat > 1000
!
4 x im Jahr
Seite 13
AIS Anforderungen
Self-Assessment Questionnaire, Level 1
!
alle electronic commerce-Händler, 1 x pro Jahr
!
für Händler bis zu 5000 TpM (Transaktionen pro Monat)
ist das Programm abgeschlossen
Security Scan/Vulnerability Testing, Level 2
!
für electronic commerce-Händler mit 5000 bis 15.000 TpM oder
mehr als 15.000 TpM und Risk Score „low“ oder „medium“
!
1 x pro Jahr
Onsite Audit, Level 3
!
für alle PSPs verbindlich
!
für Händler mit mehr als 15000 TpM und Risk Score „high“
!
Wiederholung: alle 2 Jahre
Seite 14
Übersicht SDP/AIS
High risk
Large
Merchant/
PSP/DSE
eGDV > 50.000 $
oder
#TpM > 1000,
PSP/DSE
> 15.000 TpM und
Risikobewertung „high“,
PSP/DSE
Self-Assessment +
Security Scan
(4 x pro Jahr) +
Onsite Audit
(alle 2 Jahre)
Large
Merchant
eGDV > 50.000 $
oder
#TpM > 1000
(5.000 - 15000 TpM)
oder
(#TpM > 15.000 und
Risikobewertung
„low/med“)
Self-Assessment +
Security Scan
(4 x pro Jahr)
Small
Merchant
eGDV <= 50.000 $
und
#TpM <= 1000
(5.000 - 15000 TpM)
oder
(#TpM > 15.000 und
Risikobewertung
„low/med“)
Self-Assessment +
Security Scan
(1 x pro Jahr)
#TpM < 5000
Self-Assessment
„Visa only“
eGDV: e-commerce Umsatz pro Monat
TpM: Transaktionen pro Monat
Seite 15
SRC Services
Bereitstellung des Questionnaires (DE/EN) mit automatisierter
Auswertung und Bestimmung des Risk Exposures (für Visa)
Unterstützung der Händler/MSPs/PSPs/DSEs
per Telefon/E-Mail/FAQ bei technischen Rückfragen
Vorbereitung und Durchführung der Penetrationstests und
Auswertung/Qualitätssicherung durch Spezialisten
Durchführung der Onsite Audits (für Visa)
Option für PSPs und Händler: Beratung und Unterstützung der
Händler/MSPs/PSPs/DSEs bei Aufbau einer nachweisbar
sicheren electronic commerce Umgebung
Seite 16
Beispiel
Aktivität
Händler „groß“ mit „high risk“
Jahr
Monat
Händler „groß“
Händler „klein“ 1
Self-Assessment,
Security Scan
Self-Assessment,
Security Scan,
On-Site Audit
April
Security Scan
Security Scan
Juli
Security Scan
Security Scan
Oktober
Security Scan
Security Scan
Self-Assessment,
Security Scan
Self-Assessment,
Security Scan
Security Scan
Security Scan
Juli
Security Scan
Security Scan
Oktober
Security Scan
Security Scan
Self-Assessment,
Security Scan
Self-Assessment,
Security Scan,
On-Site Audit
2004
Januar
2006
2005
Januar
1:
Self-Assessment,
Security Scan
Self-Assessment,
Security Scan
April
Januar
Self-Assessment,
Security Scan
Kleine Händler, für die die Umsetzung verpflichtend ist gemäß MasterCard
Seite 17
Self-Assessment
Nutzung des SRC Online-Questionnaires
Automatische Auswertung bei SRC mit Ergebnis
Risk Exposure
Fragen zu verschiedenen Kategorien
!
Sicherheitsmanagement
!
Zugriffskontrolle
!
Anwendungs- und Systementwicklung
!
Netzwerksicherheit
!
Physikalische Sicherheit
Kosten:
!
€ 75,- inkl. ½ Stunde Beratung
Seite 18
Security Scan
Anforderungen an den Scan
!
Möglichst genaue Ergebnisse
!
Keine Beeinflussung der Zielsysteme
Tip an die Kunden
!
Systeme aktuell halten!
Seite 19
Security Scan
Aufwand:
!
Aufwand Scan: ca. 1 Tag (bis zu 3 IP-Adressen)
!
Aufwand Report: ca. 1 Tag
Erfolg nicht garantiert !!
SRC unterstützt bei Erreichung der
Compliance
Kosten:
!
Ca. € 1.825,- (1 x im Jahr) bzw.
!
Ca. € 5.000,- (4 x im Jahr)
!
inkl. 1,5 bzw. 2 Stunden Beratung
Seite 20
Onsite Audit
Anforderungen an das OnSite-Audit
!
Gewinnung eines Gesamteindrucks
!
Überprüfung des ISMS des Kunden
Sicherheitspolitik
Eskalationswege
!
Sorgfältiger Umgang mit Kartendaten
z.B. Datenvernichtung
!
Vertrauenswürdigkeit der Mitarbeiter
Einstellungsprozess
polizeiliche Führungszeugnisse
Seite 21
Onsite Audit
Aufwand:
!
ca. 2 Tage vor Ort
!
ca. 2 Tage Zusammenfassung und Bericht
SRC unterstützt bei Aufbau eines ISMS
SRC unterstützt bei Erreichung der
Compliance
Kosten
!
Ca. € 5.000,- für 2 Jahre
Seite 22
Erfahrungen mit AIS/SDP
Anzahl aller Kunden:
823
Davon Anzahl Händler:
765
Davon Anzahl PSPs:
43
Anzahl Kunden AIS Compliant:
54
Anzahl Kunden SDP Compliant:
24
Anzahl Kunden AIS NICHT Compliant:
176
Anzahl Kunden SDP NICHT Compliant:
200
Anzahl Kunden die kein AIS brauchen:
591
Anzahl Kunden die kein SDP brauchen:
597
Anzahl der Fragebögen, die beantwortet werden müssten:
235
Anzahl Security Scans (1x), die durchgeführt werden müssten: 149
Anzahl Security Scans (4x), die durchgeführt werden müssten: 78
Anzahl Onsite Audits, die durchgeführt werden müssten:
43
Seite 23
Nutzen von SRC
SRC ist ein sehr erfahrener Partner für
!
Zahlungsverkehr
!
IT-Sicherheit
SRC ist akkreditiert:
!
VISA Account Information Security Assessor
!
MasterCard Security Vendor für SDP
!
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Gutachter für Common Criteria (ISO 15408)
2 lizenzierte IT-Grundschutzauditoren
!
ZKA für Sicherheitsuntersuchungen im Zahlungsverkehr
!
MasterCard CAST Zulassung für Chipkarten-Sicherheit
Seite 24
Nutzen von SRC
Full Service Provider, d.h.
ein Ansprechpartner für
!
Acquirer
!
MSPs/PSPs/DSEs
!
Merchants
!
MasterCard International
!
Visa International
Seite 25
Kontakt
SRC
Security Research & Consulting GmbH
Graurheindorfer Str. 149a
53117 Bonn
Tel.
Fax:
E-mail:
WWW:
+49-(0)228-2806-0
+49-(0)228-2806-199
[email protected]
www.src-gmbh.de
Seite 26

PDF | DE - SRC GmbH

Transcrição

Documentos relacionados

list of abbreviations - German Historical Institute Washington DC

Im Fokus: Expertenwissen zu

vorabinformation

HTML Cheat Sheet

Schauen Sie sich hier die komplette Stellenbeschreibung als PDF an

Consulting

Hacking, Cracking, Cyberwar – müssen wir wirklich reagieren?

Internet-Security-Pakete – 1/2013 - AV-Test

wintipps 09/2009 - luck

Winterbroschüre 2016/2017

Datenblatt herunterladen - Honeywell Safety Products