Sind Sie bereit für eine Zertifizierung Ihrer NextGenPSD2-Implementierung?
Die überarbeitete Zahlungsverkehrsdiensterichtlinie (PSD2) verpflichtet Banken, autorisierten Drittanbietern den Zugang zu Kundendaten zu ermöglichen. Diese Drittanbieter (TPP) sollen über eine Programmierschnittstelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungsinitiierungs- und Kontoinformationsdienste anzubieten. Die NextGenPSD2-Zertifizierung fördert die Implementierung auf eines einheitlichen Standards.
Die meisten Banken und API-Anbieter in Europa implementieren die XS2A-Schnittstelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmonisierte Lösung zur Implementierung der PSD2 Vorgaben für die XS2A-Schnittstelle.
Die korrekte Implementierung der XS2A-Schnittstelle befreit das Institut von der Implementierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Implementation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfallkatalog, Compliance Best Practices und Testtool-Anforderungen. Das implementierende Institut bewertet seine Arbeit selbst. Damit ist die Implementierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigenbewertung gegenüber der Aufsichtsbehörde (NCA) als ausreichend betrachtet wird.
Warum Sie eine NextGenPSD2-Zertifizierung durchführen sollten?
Die Eigenbewertung der NextGenPSD2-Implementierung bietet bereits ein hohes Maß an Qualität. Unterschiedliche Interpretationen der Spezifikation können jedoch zu Interoperabilitätsproblemen führen. Zwischen Banken und Drittanbietern existiert derzeit kein dokumentiertes Verständnis über die genaue Implementierung der XS2A-Schnittstelle. Damit steigt die Wahrscheinlichkeit, dass die zuständige Aufsichtsbehörde der Banken die Freistellung von der Implementierung einer Fallback-Schnittstellenlösung verweigert.
Aus dem Engagement bei Spezifikation und Implementierung der XS2A-Schnittstelle im Rahmen von NISP verfügt SRC über eine umfangreiche und detaillierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zertifizierung erarbeitet.
Wie läuft der Prozess zur NextGenPSD2-Zertifizierung ab?
Voraussetzung für die NextGenPSD2-Zertifizierung sind der Testfallkatalog, das Implementierungsprofil und die Testspezifikation des implementierenden Instituts. Diese Voraussetzungen nutzt SRC, um ein vollständiges Funktions‑, Sicherheits- und Belastungsaudit der NextGenPSD2-Implementierung durchzuführen.
Audit-Validierung
In der Validierung wird die Implementierung gegen die Anforderungen der Dokumentation geprüft.
Funktionaler Teil
Im Funktionsteil werden die Testspezifikationen ausgeführt und die Ergebnisse überprüft.
Nicht-funktionaler Teil
Im nicht-funktionalen Teil wird die Verfügbarkeit der Implementierung (Stresstest) an relevanten Punkten ermittelt und bewertet.
Security Test
Im Security Test werden Methoden des Penetrationstestens genutzt. Es wird überprüft, ob die Implementierung der XS2A-Schnittstelle Kundendaten und Transaktionen ausreichenden Schutz vor Betrugsversuchen bietet.
Die Zertifizierung wird in einem abschließenden Bericht dokumentiert. Wenn alle Anforderungen mindestens ausreichend erfüllt sind, erhält das Institut ein SRC-Zertifikat. Mit diesem Zertifikat kann die Konformität der implementierten XS2A-Schnittstelle gegenüber Dritten und der Aufsichtsbehörde nachgewiesen werden. Auf Basis der ersten Zertifizierung können zukünftig ggf. Regressionsaudits durchgeführt werden.
SRC-Beratungsleistungen zur Entwicklungsoptimierung oder zur Erstellung der Testspezifikation können zur Vorbereitung der NextGenPSD-Zertifizierung genutzt werden.
Warum SRC?
Als Mitherausgeber des NextGenPSD2 Frameworks und des NISP Testing Frameworks verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbundenen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testumgebungen mit vielen lizenzierten Auditoren für mehrere Funktions- und Sicherheitsbewertungen nach formalen Zertifizierungsschemata. Infolgedessen ist SRC in der Lage, mit überschaubarem Aufwand ein qualitativ hochwertiges Audit durchzuführen.
Sie sind an einer NextGenPSD2 Zertifizierung interessiert? Dann schreiben Sie an info@src-gmbh.de.
NextGenPSD2-Zertifizierung | SRC startet Audits für XS2A
Sind Sie bereit für eine Zertifizierung Ihrer NextGenPSD2-Implementierung?
Die überarbeitete Zahlungsverkehrsdiensterichtlinie (PSD2) verpflichtet Banken, autorisierten Drittanbietern den Zugang zu Kundendaten zu ermöglichen. Diese Drittanbieter (TPP) sollen über eine Programmierschnittstelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungsinitiierungs- und Kontoinformationsdienste anzubieten. Die NextGenPSD2-Zertifizierung fördert die Implementierung auf eines einheitlichen Standards.
Die meisten Banken und API-Anbieter in Europa implementieren die XS2A-Schnittstelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmonisierte Lösung zur Implementierung der PSD2 Vorgaben für die XS2A-Schnittstelle.
Die korrekte Implementierung der XS2A-Schnittstelle befreit das Institut von der Implementierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Implementation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfallkatalog, Compliance Best Practices und Testtool-Anforderungen. Das implementierende Institut bewertet seine Arbeit selbst. Damit ist die Implementierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigenbewertung gegenüber der Aufsichtsbehörde (NCA) als ausreichend betrachtet wird.
Warum Sie eine NextGenPSD2-Zertifizierung durchführen sollten?
Die Eigenbewertung der NextGenPSD2-Implementierung bietet bereits ein hohes Maß an Qualität. Unterschiedliche Interpretationen der Spezifikation können jedoch zu Interoperabilitätsproblemen führen. Zwischen Banken und Drittanbietern existiert derzeit kein dokumentiertes Verständnis über die genaue Implementierung der XS2A-Schnittstelle. Damit steigt die Wahrscheinlichkeit, dass die zuständige Aufsichtsbehörde der Banken die Freistellung von der Implementierung einer Fallback-Schnittstellenlösung verweigert.
Aus dem Engagement bei Spezifikation und Implementierung der XS2A-Schnittstelle im Rahmen von NISP verfügt SRC über eine umfangreiche und detaillierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zertifizierung erarbeitet.
Wie läuft der Prozess zur NextGenPSD2-Zertifizierung ab?
Voraussetzung für die NextGenPSD2-Zertifizierung sind der Testfallkatalog, das Implementierungsprofil und die Testspezifikation des implementierenden Instituts. Diese Voraussetzungen nutzt SRC, um ein vollständiges Funktions‑, Sicherheits- und Belastungsaudit der NextGenPSD2-Implementierung durchzuführen.
Audit-Validierung
In der Validierung wird die Implementierung gegen die Anforderungen der Dokumentation geprüft.
Funktionaler Teil
Im Funktionsteil werden die Testspezifikationen ausgeführt und die Ergebnisse überprüft.
Nicht-funktionaler Teil
Im nicht-funktionalen Teil wird die Verfügbarkeit der Implementierung (Stresstest) an relevanten Punkten ermittelt und bewertet.
Security Test
Im Security Test werden Methoden des Penetrationstestens genutzt. Es wird überprüft, ob die Implementierung der XS2A-Schnittstelle Kundendaten und Transaktionen ausreichenden Schutz vor Betrugsversuchen bietet.
Die Zertifizierung wird in einem abschließenden Bericht dokumentiert. Wenn alle Anforderungen mindestens ausreichend erfüllt sind, erhält das Institut ein SRC-Zertifikat. Mit diesem Zertifikat kann die Konformität der implementierten XS2A-Schnittstelle gegenüber Dritten und der Aufsichtsbehörde nachgewiesen werden. Auf Basis der ersten Zertifizierung können zukünftig ggf. Regressionsaudits durchgeführt werden.
SRC-Beratungsleistungen zur Entwicklungsoptimierung oder zur Erstellung der Testspezifikation können zur Vorbereitung der NextGenPSD-Zertifizierung genutzt werden.
Warum SRC?
Als Mitherausgeber des NextGenPSD2 Frameworks und des NISP Testing Frameworks verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbundenen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testumgebungen mit vielen lizenzierten Auditoren für mehrere Funktions- und Sicherheitsbewertungen nach formalen Zertifizierungsschemata. Infolgedessen ist SRC in der Lage, mit überschaubarem Aufwand ein qualitativ hochwertiges Audit durchzuführen.
Sie sind an einer NextGenPSD2 Zertifizierung interessiert? Dann schreiben Sie an info@src-gmbh.de.
CDCVM | SRC als Sicherheitsgutachter für CDCVM-Lösungen zugelassen
Bei jeder Zahlung muss die Identität des Bezahlenden zweifelsfrei sichergestellt sein. Dazu fordern etablierte kartenbasierte Bezahlverfahren den Bezahlenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smartphones implementierte Bezahlsysteme verlagern diese Prüfung vom Terminal des Händlers auf das Smartphone des Bezahlenden. Dabei kommen zunehmend biometrische Verfahren, wie die Prüfung des Fingerabdrucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Technologie.
Die Vereinigung der internationalen Zahlungssysteme EMVCo treibt die Umsetzung von Standards für weltweite Interoperabilität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicherheitsevaluierungsprozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verification Method) – pdf auf Basis ihrer Sicherheitsanforderungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richtlinien für Funktions- und Leistungsverhalten von biometrischen Authentifizierungsverfahren im Zahlungsverkehr fest. So wird eine einheitliche Benutzererfahrung und globale Interoperabilität gefördert.
Mit der langjährigen Anerkennung durch EMVCo, MasterCard und VISA greift SRC auf einen umfangreichen Erfahrungsschatz bei der Sicherheitsbegutachtung von Bezahllösungen zurück. SRC unterstützt selbstverständlich auch den neuen Sicherheitsevaluierungsprozess für CDCVM-Lösungen. Lösungsanbietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begutachtung ihrer mobilen Software-Implementierungen zu nutzen und eine erfolgreiche Zertifizierung bei EMVCo zu durchlaufen.
Zertifikatslehrgang „Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” – 7. bis 10. Mai 2019
Mit dem KWG und der MaRisk verpflichtet der Gesetzgeber Kreditinstitute zur Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaftlichen Erfolg eines Kreditinstituts ist eine sichere und effiziente IT unbedingt erforderlich.
Die neuen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) formulieren konkrete Erwartungen. Unter anderem fordert die Bundesanstalt für Finanzdienstleistungsaufsicht in ihrer Richtlinie die neu einzurichtende Funktion des “Informationssicherheitsbeauftragten”. Dieser steuert den Informationssicherheitsprozess und berichtet direkt an die Geschäftsleitung.
In Kooperation mit dem Bank-Verlag hat SRC bereits vier Zertifikatslehrgänge zum “Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” erfolgreich durchgeführt. Nach der großen Resonanz und der anhaltenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertägigen Zertifikatslehrgang möglich gemacht hat.
Vom 7. bis zum 10. Mai 2019 haben Sie erneut die Möglichkeit sich in den Räumen der Bank-Verlag GmbH in Köln zum “Informationssicherheitsbeauftragten (ISB) für Kreditinstitute” fortbilden zu lassen.
Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Dr. Deniz Ulucay und informieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grundschutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anforderungen. Zudem wird auf die Themen IT-Risiken und ‑Notfallvorsorge sowie Business Continuity Management eingegangen.
Nach bestandener Abschlussprüfung erhalten Sie das Zertifikat „Informationssicherheitsbeauftragte/r für Kreditinstitute“.
Optional haben Sie die Möglichkeit sich am 6. Mai 2019 in Köln das für den Lehrgang erforderliche IT-Grundlagenwissen in einem eintägigen Intensivseminar im Vorfeld der Veranstaltung anzueignen. Hier geht es um Grundlagen, Begriffe, Verschlüsselungs- und IT-Sicherheitstechniken in der Informationstechnik.
Associate QSA – die Ausbildung zum QSA
SRC bietet Mentoring-Programm für zukünftige Sicherheitsgutachter/innen
Die QSA-Zulassung – der bisherige, unstrukturierte Weg zum hochqualifizierten Sicherheitsgutachter
Um Umgebungen, in denen Daten von Zahlkarten entgegengenommen und/oder weiter verarbeitet werden, auf die Einhaltung des Sicherheitsstandards PCI DSS prüfen zu können, ist eine umfangreiche Erfahrung notwendig. Für die Erfüllung der entsprechenden Vorbedingungen für die Zulassung als PCI DSS-Gutachter (Qualified Security Assessor, QSA) – umfassende Berufserfahrung, PCI DSS-spezifische Schulung und Prüfung sowie mindestens zwei weitere Akkreditierungen im Bereich Informationssicherheit und IT-Auditierung – gab es bisher keinen standardisierten Weg.
Associate QSA – der begleitete Weg zum QSA
Mit dem neuen Associate QSA-Programm des Payment Card Industry Security Standards Council (PCI SSC) ist jetzt ein Weg definiert, über den neue Talente mit einem Grundmaß an Berufserfahrung den Weg zur QSA-Zulassung beschreiten können.
Associate QSA werden dabei durch einen erfahrenen QSA als Mentor begleitet. Die Entwicklung und zunehmende Audit-Erfahrung des Associate QSA werden regelmäßig reflektiert und dokumentiert. So wird kontrolliert und sichergestellt, dass die Mitarbeiterin oder der Mitarbeiter bis zum Erlangen der QSA-Anerkennung umfassende Erfahrung in allen relevanten Bereichen bekommt.
SRC bildet aus
Das SRC-Team ist dafür bekannt, Prüfstandards nicht nur als abzuarbeitende Checklisten anzusehen, sondern ihre Anwendung auf komplexe Umgebungen begründet herzuleiten und den Kunden bei der Umsetzung und Interpretation möglichst praxisnah zu unterstützen. Hierfür ist eine umfassende Fachkunde und Erfahrung in Kombination mit einem ständigen Austausch mit anderen Experten notwendig.
SRC begrüßt daher die Definition eines schrittweisen Vorgehens zur Ausbildung und Begleitung von Associate QSA, welches zum Aufbau einer entsprechenden Qualifikation beiträgt. SRC hat sich somit als Associate QSA-Firma registrieren lassen und bereits die erste Mitarbeiterin als Associate QSA zugelassen. So soll auch in Zukunft die Qualität der Audits in den sich ständig verändernden Zahlungsverkehrs-Umgebungen gewährleistet werden.
SRC erhält Akkreditierung für Konformitätsbewertungsstelle (KBS) nach ISO 17065
Im vergangenen Monat hat die Deutsche Akkreditierungsstelle (DAkkS) der SRC Security Research & Consulting GmbH die Akkreditierung für ihre Konfomitätsbewertungsstelle (KBS) nach ISO 17065 erteilt.
Diese Akkreditierung gilt für die Konformitätsbewertung von (qualifizierten) Vertrauensdiensteanbietern, die Vertrauensdienste gemäß den Anforderungen der Verordnung (EU) Nr. 910/2014 (eIDAS) qualifizieren lassen möchten.
Die eIDAS-Verordnung enthält verbindliche europaweit geltende Regelungen in den Bereichen „Elektronische Identifizierung“ und „Elektronische Vertrauensdienste“. Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen.
Als EU-Verordnung ist diese unmittelbar geltendes Recht in allen 28 EU-Mitgliedstaaten sowie im Europäischen Wirtschaftsraum.
Chancen & Risiken im Smart Metering
Beitrag von SRC zum Experten Roundtable zu der Sicherheitsperspektive für Smart Metering
Am 22. August 2018 nahmen Dr. Deniz Ulucay und Dr. Jens Oberender, Senior Consultant bei SRC, am Experten Roundtable in Köln teil. Sie wurde ausgerichtet vom eco – Verband der Internetwirtschaft und beschäftigte sich mit dem Thema „Smart Energie: Nicht ohne mein „Smart Meter?“.
Zusammengekommen waren Vertreter von Unternehmen, die mit der Umsetzung der Energie-Verordnung betraut sind. Lieferanten für Smart Meter Gateways waren ebenso vertreten wie Netzbetreiber und Startups, etwa aus dem Bereich der Visualisierung. In diesem Zusammenhang leistete Dr. Oberender einen Impulsbeitrag. Ausgehend von den Erfahrungen der Prüfstelle bei der Evaluation von Security Modules und Smart Meter Gateways, schildert der Senior Consultant Chancen und Risiken im Smart Metering. Mit einem risikobasierten Ansatz schilderte er die vorangegangenen Aktivitäten der Standardisierer und zu nutzende Unternehmenschancen, aber auch deren Risiken.
Der vollständige Beitrag kann hier als PDF heruntergeladen werden. Für weitere Fragen zu diesem Thema stehen wir Ihnen gerne zur Verfügung.
Smart Energie Experte von SRC bei Roundtable in Köln
Am Mittwoch, den 22. August 2018, findet in Köln ein Experten-Roundtable zum Thema Smart Energie statt. Ausgerichtet vom eco – Verband der Internetwirtschaft, zeichnen sich die Experten-Roundtables vor allem durch hohe Expertise, multidisziplinäre Blickwinkel und hohe Diskussionsintensität aus.
Im August steht die Veranstaltung unter dem Motto „Smart Energie: Nicht ohne mein „Smart Meter?“ und vertieft unter anderem das vorher gegangene Roundtable zu dem Thema „Smart Home“. Bereits seit vielen Jahren wird über das Smart Metering gesprochen, jedoch scheint die eigentliche Entwicklung den damaligen Planungen und Prognosen weit hinterher zu hängen. In der am 22.08.2018 stattfindenden Expertenrunde soll nun über neue Rahmenbedingungen, neue Ansätze und neue Erfolgsfaktoren diskutiert werden.
Dr. Jens Oberender ist Senior Consultant bei SRC. Sein Beitrag behandelt das Themenfeldeld „Sicherheit und Perspektiven des Smart Meters“. Dabei wird er erörtern, ob Smart Meters und ihre Umgebung als sicher betrachtet werden können. Dr. Jens Oberender greift dazu auf seine langjährige Erfahrung aus den Beratungsprojekten rund um die Zertifizierung der Smart Meter Gateways zurück.
SRC baut Kompetenzen in Cloud Security aus
Cloud Computing stellt hohe Anforderungen an die IT-Sicherheit
Cloud Computing ist längst zur Normalität geworden, und immer mehr Unternehmen lagern Teile ihrer Infrastrukturen und Services in die Cloud aus, um flexibler agieren zu können.
Die Herausforderungen an Sicherheit in der Cloud gehen jedoch über herkömmliche IT-Sicherheits-Anforderungen hinaus. So muss beispielsweise technisch gewährleistet sein, dass nur befugte Personen auf die sensitiven Daten zugreifen können. Besondere Sorgfalt muss auf die Absicherung der Cloud-Management-Schnittstelle gelegt werden. Die organisatorisch größte Herausforderung besteht in der Verteilung der Sicherheits-Verantwortlichkeiten auf mehrere Parteien. Genau das muss auch bei der Gestaltung von Verträgen und bei der Erfüllung von Compliance-Vorgaben berücksichtigt werden.
Fehlerhafte Konfiguration von Cloudkonten – Milliarden Daten frei zugänglich im Netz
Wie brisant dieses Thema ist, zeigt auch ein kürzlicher Vorfall. Aufgrund von fehlerhaften Konfigurationen von Amazon Cloud Simple Storage Services (Amazon S3) Speichereinheiten und Webservern landeten etliche vertrauliche Dokumente frei für jeden zugänglich im Netz. Dazu gehörten u. a. Gehaltsabrechnungen, vertrauliche Patentanmeldungen und geheime Baupläne für Produkte im Entwicklungsprozess. Aus dem Bericht der Sicherheitsfirma „Digital Shadows“ geht hervor, dass ca. 1,5 Milliarden Daten im Netz gelandet seien. Gerade die vertraulichen Daten, wie z.B. interne Berichte, Fotos von Warenhäusern oder Rechenzentren oder Auflistungen von Sicherheitslücken in firmeninterner Software, können von Angreifern für Hackerangriffe auf die Firma oder für Diebstähle missbraucht werden.
SRC-Mitarbeiter erwerben Certificate of Cloud Security Knowledge
SRC begleitet seine Kunden bei diesen Herausforderungen mit Kompetenz. Dazu haben mehrere Mitarbeiter das Certificate of Cloud Security Knowledge (CCSK) der Cloud Security Alliance erworben.
Das CCSK ist das erste Zertifikat für Cloud-Sicherheit, das der weltweit führende Cloud-Sicherheits-Anbieter, die Cloud Security Alliance, anbietet. Die Cloud Security Alliance ist eine Non-Profit-Organisation und entwickelt – in Kooperation mit ENISA – den anbieterunabhängigen Standard für Cloud Security. Durch den Erwerb des Zertifikats erlangten die SRC-Mitarbeiter die notwendige Breite und Tiefe an Wissen, um ganzheitliche Cloud-Sicherheitsprogramme zum Schutz sensibler Informationen entsprechend weltweit anerkannter Standards zu implementieren.
SRC hält Vortrag zu JTEMS auf der International Common Criteria Conference in Amsterdam
Vom 30. Oktober bis zum 01. November findet die 17. International Common Criteria Conference in Amsterdam statt. Die International Common Criteria Conference wird mit Unterstützung des Common Criteria Anwenderforums (CCUF) präsentiert. Die CCUF bietet einen Sprach- und Kommunikationskanal zwischen der CC-Community und den Organisationskomitees der Common Criteria, den CCRA-Mitgliedsorganisationen (nationale Programme) und den politischen Entscheidungsträgern.
SRC wird auch in diesem Jahr aktiv an der Konferenz teilnehmen. Im Rahmen eines Vortrags unseres Experten Sven-Martin Hühne mit demTitel “JTEMS – a Payment Scheme Independent Framework for POI Terminal specific Security Evaluations based on Common Criteria” wird das JTEMS Framework vorgestellt und der aktuelle „Stand der Dinge“ erläutert. Der Vortrag behandelt die Vorteile einer auf CC basierenden und Payment Scheme unabhängigen Evaluierungs- und Zertifizierungsvorgehensweise für POI Terminals. Das Framework ist ein gelebtes Beispiel für die aktive Nutzung der CC Methode von interessierten Parteien aus der Privatwirtschaft (Deutsche Kreditwirtschaft und UK Finance bzw. Common.SECC). Dabei wird auch auf die Möglichkeit der Einbettung des JTEMS-Framework in aktuellen Diskussionen der EU Kommission für ein „European Security Certification Scheme“ eingegangen.
In der Panel Diskussion „The Why and How of Using CC in Private Schemes“ werden diese Aspekte aus Sicht von Anwendern aus der europäischen Kreditwirtschaft von Regine Quentmeier im Austausch mit Vertretern anderer Wirtschaftsbereiche erörtert.
SRC liefert Studierenden Einblick in spannende Projekte im Rahmen der CSCUBS 2018
Die 5th Computer Science Conference for University of Bonn Students im Rückblick
Die CSCUBS 2018 fand am 16. Mai in den Räumlichkeiten der Universität Bonn statt.Organisiert wurde die Veranstaltung von Doktoranden und MSc-Studenten und hatte zum Ziel, die Forschung in der Informatik und den wissenschaftlichen Austausch unter den Studierenden zu fördern. Die Beteiligung von Forschern und Praktikern wurde ebenfalls gefördert. Die Studierenden hatten zudem die Möglichkeit eigene Beiträge einzureichen, die neue Forschungs- oder Entwicklungsarbeiten im Zusammenhang mit der Informatik beschreiben. Dazu gehörten auch Universitätsprojekte, Dissertationen und Ergebnisse anderer Berufs- oder Freizeitaktivitäten. Darüber hinaus hielten, abgesehen von den Sponsorfirmen, auch die Studenten selbst Vorträge.
SRC Mitarbeiter liefert Studierenden Einblick in spannende Projekte
Auch Max Hettrich von SRC berichtete in einem Vortrag über die Tätigkeitsfelder der Firma. Der Fokus lag dabei auf dem Thema „Payment Evolving“. Dabei geht es darum, die „Girocard ins Handy zu bringen“. Interessant ist dabei vor allem, wie die Sicherheitsevaluierung für die Zahlungskarten bisher aussieht und welche neuen Herausforderungen sich nun in Zukunft fürs mobile Bezahlen ergeben. So wird bei der Sicherheitsevaluierung von Smartphone-basierten Lösungen Reverse Engineeing der verwendeten Applikationen eine zentrale Rolle spielen. Dabei versetzt sich der Prüfer in die Rolle eines Angreifes, und versucht, Wege zu finden um die Zahlungsapplikation zu kompromittieren. Dies ist ein zentraler Baustein um die Wirksamkeit der implementierten Schutzmechanismen bewerten zu können. Wo in der Vergangenheit vor allem die Prüfstelle der SRC die Sicherheit von Zahlungskarten evaluiert hat, wird in Zukunft auch die Abteilung für Penetration Testing ihre Expertise bei der Bewertung von mobilen Lösungen einbringen.
Darüber hinaus beinhaltete der Vortrag auch allgemeinere Themen, wie z.B. die Tätigkeitsfelder und Arbeitsatmosphäre der SRC. Aus dem Kerngeschäft der Zahlungskarten entstanden über die vielen Jahre, die SRC bereits besteht, auch eine Vielzahl weitere Geschäftsfelder. Es wurde außerdem darauf eingegangen, was SRC als Arbeitgeber besonders macht und welche Qualitäten SRC liefert.
Fazit und Eindrücke aus Sicht der SRC
„Der hohe Anteil internationaler Studierender, die aktive Beteiligung an der Veranstaltung und die durchgängig eigenständige Organisation der CSCUBS beeindruckten uns nachhaltig“, so Jochen Schumacher von SRC. Das BSI, BC Technologies und SRC begleiteten die CSCUBS 2018 mit Vorträgen. Besonders freute uns, dass der Praxis-Beitrag von SRC Stoff für eine ergiebige Diskussion lieferte. Die Sicherheit des modernen Zahlungsverkehrs ist ein Thema, dass auch die Studierenden bewegt. Das belegten die vielen gehaltvollen Gespräche im Plenum und der persönliche Austausch am eigens eingerichteten Stand von SRC. Die CSCUBS 2018 war eine überaus gelungene und informative Veranstaltung. SRC freut sich auf die Neuauflage 2019.
Bildquelle: https://twitter.com/CSCUBS_Bonn