Sind Sie bereit für eine Zertifizierung Ihrer NextGenPSD2-Implementierung?
Die überarbeitete Zahlungsverkehrsdiensterichtlinie (PSD2) verpflichtet Banken, autorisierten Drittanbietern den Zugang zu Kundendaten zu ermöglichen. Diese Drittanbieter (TPP) sollen über eine Programmierschnittstelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungsinitiierungs- und Kontoinformationsdienste anzubieten. Die NextGenPSD2-Zertifizierung fördert die Implementierung auf eines einheitlichen Standards.
Die meisten Banken und API-Anbieter in Europa implementieren die XS2A-Schnittstelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmonisierte Lösung zur Implementierung der PSD2 Vorgaben für die XS2A-Schnittstelle.
Die korrekte Implementierung der XS2A-Schnittstelle befreit das Institut von der Implementierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Implementation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfallkatalog, Compliance Best Practices und Testtool-Anforderungen. Das implementierende Institut bewertet seine Arbeit selbst. Damit ist die Implementierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigenbewertung gegenüber der Aufsichtsbehörde (NCA) als ausreichend betrachtet wird.
Warum Sie eine NextGenPSD2-Zertifizierung durchführen sollten?
Die Eigenbewertung der NextGenPSD2-Implementierung bietet bereits ein hohes Maß an Qualität. Unterschiedliche Interpretationen der Spezifikation können jedoch zu Interoperabilitätsproblemen führen. Zwischen Banken und Drittanbietern existiert derzeit kein dokumentiertes Verständnis über die genaue Implementierung der XS2A-Schnittstelle. Damit steigt die Wahrscheinlichkeit, dass die zuständige Aufsichtsbehörde der Banken die Freistellung von der Implementierung einer Fallback-Schnittstellenlösung verweigert.
Aus dem Engagement bei Spezifikation und Implementierung der XS2A-Schnittstelle im Rahmen von NISP verfügt SRC über eine umfangreiche und detaillierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zertifizierung erarbeitet.
Wie läuft der Prozess zur NextGenPSD2-Zertifizierung ab?
Voraussetzung für die NextGenPSD2-Zertifizierung sind der Testfallkatalog, das Implementierungsprofil und die Testspezifikation des implementierenden Instituts. Diese Voraussetzungen nutzt SRC, um ein vollständiges Funktions‑, Sicherheits- und Belastungsaudit der NextGenPSD2-Implementierung durchzuführen.
Audit-Validierung
In der Validierung wird die Implementierung gegen die Anforderungen der Dokumentation geprüft.
Funktionaler Teil
Im Funktionsteil werden die Testspezifikationen ausgeführt und die Ergebnisse überprüft.
Nicht-funktionaler Teil
Im nicht-funktionalen Teil wird die Verfügbarkeit der Implementierung (Stresstest) an relevanten Punkten ermittelt und bewertet.
Security Test
Im Security Test werden Methoden des Penetrationstestens genutzt. Es wird überprüft, ob die Implementierung der XS2A-Schnittstelle Kundendaten und Transaktionen ausreichenden Schutz vor Betrugsversuchen bietet.
Die Zertifizierung wird in einem abschließenden Bericht dokumentiert. Wenn alle Anforderungen mindestens ausreichend erfüllt sind, erhält das Institut ein SRC-Zertifikat. Mit diesem Zertifikat kann die Konformität der implementierten XS2A-Schnittstelle gegenüber Dritten und der Aufsichtsbehörde nachgewiesen werden. Auf Basis der ersten Zertifizierung können zukünftig ggf. Regressionsaudits durchgeführt werden.
SRC-Beratungsleistungen zur Entwicklungsoptimierung oder zur Erstellung der Testspezifikation können zur Vorbereitung der NextGenPSD-Zertifizierung genutzt werden.
Warum SRC?
Als Mitherausgeber des NextGenPSD2 Frameworks und des NISP Testing Frameworks verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbundenen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testumgebungen mit vielen lizenzierten Auditoren für mehrere Funktions- und Sicherheitsbewertungen nach formalen Zertifizierungsschemata. Infolgedessen ist SRC in der Lage, mit überschaubarem Aufwand ein qualitativ hochwertiges Audit durchzuführen.
Sie sind an einer NextGenPSD2 Zertifizierung interessiert? Dann schreiben Sie an info@src-gmbh.de.
Aspects of Common Criteria Certifications – Gastvortrag an der TU Wien
Aspects of Common Criteria Certifications - das ist das Thema des Vortrags, den Experten der SRC-Prüfstelle für Common Criteria an der Technischen Universität Wien halten werden. Der Vortrag findet am 10. Mai 2019 im Rahmen der Vorlesung IT Security in Large IT Infrastructures am Institute of Information Systems Engineering statt.
Common Criteria in der Wissenschaft
Mit Hilfe der Common Criteria for Information Technology Security Evaluation (kurz: CC) lassen sich IT-Produkte nach allgemeinen Kriterien bezüglich ihrer Sicherheit bewerten. Als international anerkannter Standard steht Common Criteria im Interesse der wissenschaftlichen Welt. Zunächst erfolgt eine Evaluation durch eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle. SRC ist als eine solche CC-Prüfstelle anerkannt. Abschließend nimmt das BSI die Zertifizierung vor.
Gastvortrag für die Studierenden
Aus erster Hand berichten die Experten der SRC in ihrem Vortrag über die Aspects of Common Criteria Certifications (Aspekte der Common Criteria Zertifizierungen). Der Vortrag informiert die Studierenden über die grundsätzliche Herangehensweise bei Produktzertifizierungen nach Common Criteria. Beleuchtet werden Infrastrukturen in der Europäischen Union, bei denen auf eine Common Criteria Zertifizierung gesetzt wird. Auch die formale Seite mit den zuständigen Zertifizierungs- und Anerkennungsstellen wird betrachtet. Der Vergleich von Common Criteria mit anderen Konzepten bildet den Abschluss des Vortrags. Dabei finden Zertifizierungen nach Technischen Richtlinien des BSI, der ISO27001 bzw. den Kriterienwerken der Payment Card Industry (PCI) Berücksichtigung.
NextGenPSD2-Zertifizierung | SRC startet Audits für XS2A
Sind Sie bereit für eine Zertifizierung Ihrer NextGenPSD2-Implementierung?
Die überarbeitete Zahlungsverkehrsdiensterichtlinie (PSD2) verpflichtet Banken, autorisierten Drittanbietern den Zugang zu Kundendaten zu ermöglichen. Diese Drittanbieter (TPP) sollen über eine Programmierschnittstelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungsinitiierungs- und Kontoinformationsdienste anzubieten. Die NextGenPSD2-Zertifizierung fördert die Implementierung auf eines einheitlichen Standards.
Die meisten Banken und API-Anbieter in Europa implementieren die XS2A-Schnittstelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmonisierte Lösung zur Implementierung der PSD2 Vorgaben für die XS2A-Schnittstelle.
Die korrekte Implementierung der XS2A-Schnittstelle befreit das Institut von der Implementierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Implementation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfallkatalog, Compliance Best Practices und Testtool-Anforderungen. Das implementierende Institut bewertet seine Arbeit selbst. Damit ist die Implementierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigenbewertung gegenüber der Aufsichtsbehörde (NCA) als ausreichend betrachtet wird.
Warum Sie eine NextGenPSD2-Zertifizierung durchführen sollten?
Die Eigenbewertung der NextGenPSD2-Implementierung bietet bereits ein hohes Maß an Qualität. Unterschiedliche Interpretationen der Spezifikation können jedoch zu Interoperabilitätsproblemen führen. Zwischen Banken und Drittanbietern existiert derzeit kein dokumentiertes Verständnis über die genaue Implementierung der XS2A-Schnittstelle. Damit steigt die Wahrscheinlichkeit, dass die zuständige Aufsichtsbehörde der Banken die Freistellung von der Implementierung einer Fallback-Schnittstellenlösung verweigert.
Aus dem Engagement bei Spezifikation und Implementierung der XS2A-Schnittstelle im Rahmen von NISP verfügt SRC über eine umfangreiche und detaillierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zertifizierung erarbeitet.
Wie läuft der Prozess zur NextGenPSD2-Zertifizierung ab?
Voraussetzung für die NextGenPSD2-Zertifizierung sind der Testfallkatalog, das Implementierungsprofil und die Testspezifikation des implementierenden Instituts. Diese Voraussetzungen nutzt SRC, um ein vollständiges Funktions‑, Sicherheits- und Belastungsaudit der NextGenPSD2-Implementierung durchzuführen.
Audit-Validierung
In der Validierung wird die Implementierung gegen die Anforderungen der Dokumentation geprüft.
Funktionaler Teil
Im Funktionsteil werden die Testspezifikationen ausgeführt und die Ergebnisse überprüft.
Nicht-funktionaler Teil
Im nicht-funktionalen Teil wird die Verfügbarkeit der Implementierung (Stresstest) an relevanten Punkten ermittelt und bewertet.
Security Test
Im Security Test werden Methoden des Penetrationstestens genutzt. Es wird überprüft, ob die Implementierung der XS2A-Schnittstelle Kundendaten und Transaktionen ausreichenden Schutz vor Betrugsversuchen bietet.
Die Zertifizierung wird in einem abschließenden Bericht dokumentiert. Wenn alle Anforderungen mindestens ausreichend erfüllt sind, erhält das Institut ein SRC-Zertifikat. Mit diesem Zertifikat kann die Konformität der implementierten XS2A-Schnittstelle gegenüber Dritten und der Aufsichtsbehörde nachgewiesen werden. Auf Basis der ersten Zertifizierung können zukünftig ggf. Regressionsaudits durchgeführt werden.
SRC-Beratungsleistungen zur Entwicklungsoptimierung oder zur Erstellung der Testspezifikation können zur Vorbereitung der NextGenPSD-Zertifizierung genutzt werden.
Warum SRC?
Als Mitherausgeber des NextGenPSD2 Frameworks und des NISP Testing Frameworks verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbundenen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testumgebungen mit vielen lizenzierten Auditoren für mehrere Funktions- und Sicherheitsbewertungen nach formalen Zertifizierungsschemata. Infolgedessen ist SRC in der Lage, mit überschaubarem Aufwand ein qualitativ hochwertiges Audit durchzuführen.
Sie sind an einer NextGenPSD2 Zertifizierung interessiert? Dann schreiben Sie an info@src-gmbh.de.
CDCVM | SRC als Sicherheitsgutachter für CDCVM-Lösungen zugelassen
Bei jeder Zahlung muss die Identität des Bezahlenden zweifelsfrei sichergestellt sein. Dazu fordern etablierte kartenbasierte Bezahlverfahren den Bezahlenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smartphones implementierte Bezahlsysteme verlagern diese Prüfung vom Terminal des Händlers auf das Smartphone des Bezahlenden. Dabei kommen zunehmend biometrische Verfahren, wie die Prüfung des Fingerabdrucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Technologie.
Die Vereinigung der internationalen Zahlungssysteme EMVCo treibt die Umsetzung von Standards für weltweite Interoperabilität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicherheitsevaluierungsprozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verification Method) – pdf auf Basis ihrer Sicherheitsanforderungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richtlinien für Funktions- und Leistungsverhalten von biometrischen Authentifizierungsverfahren im Zahlungsverkehr fest. So wird eine einheitliche Benutzererfahrung und globale Interoperabilität gefördert.
Mit der langjährigen Anerkennung durch EMVCo, MasterCard und VISA greift SRC auf einen umfangreichen Erfahrungsschatz bei der Sicherheitsbegutachtung von Bezahllösungen zurück. SRC unterstützt selbstverständlich auch den neuen Sicherheitsevaluierungsprozess für CDCVM-Lösungen. Lösungsanbietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begutachtung ihrer mobilen Software-Implementierungen zu nutzen und eine erfolgreiche Zertifizierung bei EMVCo zu durchlaufen.
Zertifikatslehrgang „Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” – 7. bis 10. Mai 2019
Mit dem KWG und der MaRisk verpflichtet der Gesetzgeber Kreditinstitute zur Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaftlichen Erfolg eines Kreditinstituts ist eine sichere und effiziente IT unbedingt erforderlich.
Die neuen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) formulieren konkrete Erwartungen. Unter anderem fordert die Bundesanstalt für Finanzdienstleistungsaufsicht in ihrer Richtlinie die neu einzurichtende Funktion des “Informationssicherheitsbeauftragten”. Dieser steuert den Informationssicherheitsprozess und berichtet direkt an die Geschäftsleitung.
In Kooperation mit dem Bank-Verlag hat SRC bereits vier Zertifikatslehrgänge zum “Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” erfolgreich durchgeführt. Nach der großen Resonanz und der anhaltenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertägigen Zertifikatslehrgang möglich gemacht hat.
Vom 7. bis zum 10. Mai 2019 haben Sie erneut die Möglichkeit sich in den Räumen der Bank-Verlag GmbH in Köln zum “Informationssicherheitsbeauftragten (ISB) für Kreditinstitute” fortbilden zu lassen.
Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Dr. Deniz Ulucay und informieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grundschutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anforderungen. Zudem wird auf die Themen IT-Risiken und ‑Notfallvorsorge sowie Business Continuity Management eingegangen.
Nach bestandener Abschlussprüfung erhalten Sie das Zertifikat „Informationssicherheitsbeauftragte/r für Kreditinstitute“.
Optional haben Sie die Möglichkeit sich am 6. Mai 2019 in Köln das für den Lehrgang erforderliche IT-Grundlagenwissen in einem eintägigen Intensivseminar im Vorfeld der Veranstaltung anzueignen. Hier geht es um Grundlagen, Begriffe, Verschlüsselungs- und IT-Sicherheitstechniken in der Informationstechnik.
Associate QSA – die Ausbildung zum QSA
SRC bietet Mentoring-Programm für zukünftige Sicherheitsgutachter/innen
Die QSA-Zulassung – der bisherige, unstrukturierte Weg zum hochqualifizierten Sicherheitsgutachter
Um Umgebungen, in denen Daten von Zahlkarten entgegengenommen und/oder weiter verarbeitet werden, auf die Einhaltung des Sicherheitsstandards PCI DSS prüfen zu können, ist eine umfangreiche Erfahrung notwendig. Für die Erfüllung der entsprechenden Vorbedingungen für die Zulassung als PCI DSS-Gutachter (Qualified Security Assessor, QSA) – umfassende Berufserfahrung, PCI DSS-spezifische Schulung und Prüfung sowie mindestens zwei weitere Akkreditierungen im Bereich Informationssicherheit und IT-Auditierung – gab es bisher keinen standardisierten Weg.
Associate QSA – der begleitete Weg zum QSA
Mit dem neuen Associate QSA-Programm des Payment Card Industry Security Standards Council (PCI SSC) ist jetzt ein Weg definiert, über den neue Talente mit einem Grundmaß an Berufserfahrung den Weg zur QSA-Zulassung beschreiten können.
Associate QSA werden dabei durch einen erfahrenen QSA als Mentor begleitet. Die Entwicklung und zunehmende Audit-Erfahrung des Associate QSA werden regelmäßig reflektiert und dokumentiert. So wird kontrolliert und sichergestellt, dass die Mitarbeiterin oder der Mitarbeiter bis zum Erlangen der QSA-Anerkennung umfassende Erfahrung in allen relevanten Bereichen bekommt.
SRC bildet aus
Das SRC-Team ist dafür bekannt, Prüfstandards nicht nur als abzuarbeitende Checklisten anzusehen, sondern ihre Anwendung auf komplexe Umgebungen begründet herzuleiten und den Kunden bei der Umsetzung und Interpretation möglichst praxisnah zu unterstützen. Hierfür ist eine umfassende Fachkunde und Erfahrung in Kombination mit einem ständigen Austausch mit anderen Experten notwendig.
SRC begrüßt daher die Definition eines schrittweisen Vorgehens zur Ausbildung und Begleitung von Associate QSA, welches zum Aufbau einer entsprechenden Qualifikation beiträgt. SRC hat sich somit als Associate QSA-Firma registrieren lassen und bereits die erste Mitarbeiterin als Associate QSA zugelassen. So soll auch in Zukunft die Qualität der Audits in den sich ständig verändernden Zahlungsverkehrs-Umgebungen gewährleistet werden.
SRC erhält Akkreditierung für Konformitätsbewertungsstelle (KBS) nach ISO 17065
Im vergangenen Monat hat die Deutsche Akkreditierungsstelle (DAkkS) der SRC Security Research & Consulting GmbH die Akkreditierung für ihre Konfomitätsbewertungsstelle (KBS) nach ISO 17065 erteilt.
Diese Akkreditierung gilt für die Konformitätsbewertung von (qualifizierten) Vertrauensdiensteanbietern, die Vertrauensdienste gemäß den Anforderungen der Verordnung (EU) Nr. 910/2014 (eIDAS) qualifizieren lassen möchten.
Die eIDAS-Verordnung enthält verbindliche europaweit geltende Regelungen in den Bereichen „Elektronische Identifizierung“ und „Elektronische Vertrauensdienste“. Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen.
Als EU-Verordnung ist diese unmittelbar geltendes Recht in allen 28 EU-Mitgliedstaaten sowie im Europäischen Wirtschaftsraum.
Chancen & Risiken im Smart Metering
Beitrag von SRC zum Experten Roundtable zu der Sicherheitsperspektive für Smart Metering
Am 22. August 2018 nahmen Dr. Deniz Ulucay und Dr. Jens Oberender, Senior Consultant bei SRC, am Experten Roundtable in Köln teil. Sie wurde ausgerichtet vom eco – Verband der Internetwirtschaft und beschäftigte sich mit dem Thema „Smart Energie: Nicht ohne mein „Smart Meter?“.
Zusammengekommen waren Vertreter von Unternehmen, die mit der Umsetzung der Energie-Verordnung betraut sind. Lieferanten für Smart Meter Gateways waren ebenso vertreten wie Netzbetreiber und Startups, etwa aus dem Bereich der Visualisierung. In diesem Zusammenhang leistete Dr. Oberender einen Impulsbeitrag. Ausgehend von den Erfahrungen der Prüfstelle bei der Evaluation von Security Modules und Smart Meter Gateways, schildert der Senior Consultant Chancen und Risiken im Smart Metering. Mit einem risikobasierten Ansatz schilderte er die vorangegangenen Aktivitäten der Standardisierer und zu nutzende Unternehmenschancen, aber auch deren Risiken.
Der vollständige Beitrag kann hier als PDF heruntergeladen werden. Für weitere Fragen zu diesem Thema stehen wir Ihnen gerne zur Verfügung.
Smart Energie Experte von SRC bei Roundtable in Köln
Am Mittwoch, den 22. August 2018, findet in Köln ein Experten-Roundtable zum Thema Smart Energie statt. Ausgerichtet vom eco – Verband der Internetwirtschaft, zeichnen sich die Experten-Roundtables vor allem durch hohe Expertise, multidisziplinäre Blickwinkel und hohe Diskussionsintensität aus.
Im August steht die Veranstaltung unter dem Motto „Smart Energie: Nicht ohne mein „Smart Meter?“ und vertieft unter anderem das vorher gegangene Roundtable zu dem Thema „Smart Home“. Bereits seit vielen Jahren wird über das Smart Metering gesprochen, jedoch scheint die eigentliche Entwicklung den damaligen Planungen und Prognosen weit hinterher zu hängen. In der am 22.08.2018 stattfindenden Expertenrunde soll nun über neue Rahmenbedingungen, neue Ansätze und neue Erfolgsfaktoren diskutiert werden.
Dr. Jens Oberender ist Senior Consultant bei SRC. Sein Beitrag behandelt das Themenfeldeld „Sicherheit und Perspektiven des Smart Meters“. Dabei wird er erörtern, ob Smart Meters und ihre Umgebung als sicher betrachtet werden können. Dr. Jens Oberender greift dazu auf seine langjährige Erfahrung aus den Beratungsprojekten rund um die Zertifizierung der Smart Meter Gateways zurück.
SRC baut Kompetenzen in Cloud Security aus
Cloud Computing stellt hohe Anforderungen an die IT-Sicherheit
Cloud Computing ist längst zur Normalität geworden, und immer mehr Unternehmen lagern Teile ihrer Infrastrukturen und Services in die Cloud aus, um flexibler agieren zu können.
Die Herausforderungen an Sicherheit in der Cloud gehen jedoch über herkömmliche IT-Sicherheits-Anforderungen hinaus. So muss beispielsweise technisch gewährleistet sein, dass nur befugte Personen auf die sensitiven Daten zugreifen können. Besondere Sorgfalt muss auf die Absicherung der Cloud-Management-Schnittstelle gelegt werden. Die organisatorisch größte Herausforderung besteht in der Verteilung der Sicherheits-Verantwortlichkeiten auf mehrere Parteien. Genau das muss auch bei der Gestaltung von Verträgen und bei der Erfüllung von Compliance-Vorgaben berücksichtigt werden.
Fehlerhafte Konfiguration von Cloudkonten – Milliarden Daten frei zugänglich im Netz
Wie brisant dieses Thema ist, zeigt auch ein kürzlicher Vorfall. Aufgrund von fehlerhaften Konfigurationen von Amazon Cloud Simple Storage Services (Amazon S3) Speichereinheiten und Webservern landeten etliche vertrauliche Dokumente frei für jeden zugänglich im Netz. Dazu gehörten u. a. Gehaltsabrechnungen, vertrauliche Patentanmeldungen und geheime Baupläne für Produkte im Entwicklungsprozess. Aus dem Bericht der Sicherheitsfirma „Digital Shadows“ geht hervor, dass ca. 1,5 Milliarden Daten im Netz gelandet seien. Gerade die vertraulichen Daten, wie z.B. interne Berichte, Fotos von Warenhäusern oder Rechenzentren oder Auflistungen von Sicherheitslücken in firmeninterner Software, können von Angreifern für Hackerangriffe auf die Firma oder für Diebstähle missbraucht werden.
SRC-Mitarbeiter erwerben Certificate of Cloud Security Knowledge
SRC begleitet seine Kunden bei diesen Herausforderungen mit Kompetenz. Dazu haben mehrere Mitarbeiter das Certificate of Cloud Security Knowledge (CCSK) der Cloud Security Alliance erworben.
Das CCSK ist das erste Zertifikat für Cloud-Sicherheit, das der weltweit führende Cloud-Sicherheits-Anbieter, die Cloud Security Alliance, anbietet. Die Cloud Security Alliance ist eine Non-Profit-Organisation und entwickelt – in Kooperation mit ENISA – den anbieterunabhängigen Standard für Cloud Security. Durch den Erwerb des Zertifikats erlangten die SRC-Mitarbeiter die notwendige Breite und Tiefe an Wissen, um ganzheitliche Cloud-Sicherheitsprogramme zum Schutz sensibler Informationen entsprechend weltweit anerkannter Standards zu implementieren.
SRC hält Vortrag zu JTEMS auf der International Common Criteria Conference in Amsterdam
Vom 30. Oktober bis zum 01. November findet die 17. International Common Criteria Conference in Amsterdam statt. Die International Common Criteria Conference wird mit Unterstützung des Common Criteria Anwenderforums (CCUF) präsentiert. Die CCUF bietet einen Sprach- und Kommunikationskanal zwischen der CC-Community und den Organisationskomitees der Common Criteria, den CCRA-Mitgliedsorganisationen (nationale Programme) und den politischen Entscheidungsträgern.
SRC wird auch in diesem Jahr aktiv an der Konferenz teilnehmen. Im Rahmen eines Vortrags unseres Experten Sven-Martin Hühne mit demTitel “JTEMS – a Payment Scheme Independent Framework for POI Terminal specific Security Evaluations based on Common Criteria” wird das JTEMS Framework vorgestellt und der aktuelle „Stand der Dinge“ erläutert. Der Vortrag behandelt die Vorteile einer auf CC basierenden und Payment Scheme unabhängigen Evaluierungs- und Zertifizierungsvorgehensweise für POI Terminals. Das Framework ist ein gelebtes Beispiel für die aktive Nutzung der CC Methode von interessierten Parteien aus der Privatwirtschaft (Deutsche Kreditwirtschaft und UK Finance bzw. Common.SECC). Dabei wird auch auf die Möglichkeit der Einbettung des JTEMS-Framework in aktuellen Diskussionen der EU Kommission für ein „European Security Certification Scheme“ eingegangen.
In der Panel Diskussion „The Why and How of Using CC in Private Schemes“ werden diese Aspekte aus Sicht von Anwendern aus der europäischen Kreditwirtschaft von Regine Quentmeier im Austausch mit Vertretern anderer Wirtschaftsbereiche erörtert.