News Archive - Seite 8 von 11 - SRC Security Research & Consulting GmbH

SRC auf der ICPS 2019 im Dialog mit Studierenden der Physik

SRC auf der ICPS 2019 Jobfair

Auf der ICPS 2019 in Köln treffen sich Studierende der Physik zum 34. Mal. Die am Dienstag, den 13. August 2019, stattfindende „Jobfair“ bietet dazu den Rahmen.

SRC nutzt die ICPS 2019, um Physikern und Physikerinnen Einblicke in und den Austausch über die vielfältigen Themenfelder der IT-Sicherheit zu ermöglichen. Die SRC-Experten erläutern die Herausforderungen der Technologiebegutachtung an Beispielen, wie mobile Bezahlmethoden, künstliche Intelligenz und ähnlichen Themengebieten. Dazu ist eine ausgeprägter Instinkt für potenzielle Fehlerquellen in komplexen Umfeldern, die Kompetenz zur Findung von Lösungen und der Wille zu deren Umsetzung erforderlich. Vor allem Studierende mit physikalischem Hintergrund bringen diese wertvollen Eigenschaften mit. Wie aus diesen Eigenschaften eine Karriere entstehen kann, darüber berichtete bereits Dr. Max Hettrich im Interview „Vom Quantenphysiker zum Sicherheitsanalysten bei SRC“.

Von Studierenden für Studierende

Die ICPS findet in jedem Jahr eine neue Heimat. So haben mehr als 500 Studierende und Promovierende der Physik aus über 50 Nationen nicht nur die Möglichkeit zum fachlichen Austausch; sie lernen auch Kultur und Mentalität des jeweiligen Gastgeberlandes kennen. Die ICPS wird durch die jeweiligen Studierendenvereinigungen des gastgebenden Landes ausgerichtet. In diesem Jahr hat das Organisationsteam aus Mitgliedern der jungen Deutschen Physikalischen Gesellschaft, des Instituts für Theoretische Physik der Universität zu Köln und der Bonn-Cologne Graduate School of Physics and Astronomy ein Programm vorbereitet, das sich über 8 Tage erstreckt.

Matthias Dahlmanns ist Projektkoordinator der ICPS 2019 und gleichzeitig Werkstudent bei SRC. „Die Organisation der ICPS 2019 zu koordinieren, ist eine tolle Erfahrung. Die Teilnahme von SRC freut mich persönlich besonders!“ sagt Matthias Dahlmanns. Auch Dr. Benjamin Botermann, Senior Consultant Test & Qualitätssicherung, freut sich auf den Austausch mit den vielen interessierten Physikstudierenden: „Ich bin sehr gespannt auf die ICPS Jobfair. Als Physiker finde ich mich in der Arbeit bei SRC absolut wieder. Ich freue mich auf den Austausch mit den angehenden Physikerinnen und Physikern. Im persönlichen Gespräch spreche ich gern über die vielfältigen Tätigkeitsfelder der SRC und stelle mich den zahlreichen und detaillierten Fragen.“

Wie sicher ist die IT in unseren Krankenhäusern?

Digitalisierung stellt Krankenhäuser in puncto IT-Sicherheit vor Herausforderungen

Cloud Computing, vernetzte Kommunikation, virtuelles Teamwork – Die Digitalisierung bietet für das Krankenhaus und andere Gesundheitseinrichtungen enorme Potenziale zur Optimierung. Die Auswirkungen für die Rentabilität der medizinischen Einrichtungen und für die Versorgung der Patienten sind nachhaltig positiv. Wäre da nicht das Thema IT-Sicherheit. Wie gut geschützt sind die Netzwerke im Gesundheitswesen? Können sensible Daten bei der Übertragung oder im Zuge von Kollaboration verloren gehen? Oder schlimmer noch: abgefangen werden? Kann die IT Sicherheit in Krankenhäusern mit dem Tempo der Digitalisierung Schritt halten?

Schutz sensibler Patienteninformationen ist geboten

Sinniert man über die sensibelsten Daten einer Gesellschaft, dann gehören Patienteninformationen mit Sicherheit dazu. Das Schutzbedürfnis ist folglich besonders hoch. Das hat mittlerweile auch der Gesetzgeber erkannt und dazu eine eindeutige Gesetzeslage geschaffen. Spätestens damit wird die IT-Sicherheit im Gesundheitswesen zu einem Spielfeld der Haftungsrisiken und Schadenersatzansprüche. Daher ist IT-Sicherheit in Krankenhäusern oberstes Gebot. Dass absolute Sicherheit kaum zu erzielen ist, mussten einige Krankenhäuser bereits schmerzlich feststellen. Insbesondere die Attacke mit der Ransomware „Wannacry“ im Jahr 2017 beeinträchtigte die Krankenhaus-IT weltweit enorm. Untersuchungen mussten verschoben werden, Operationen abgesagt werden und auch der finanzielle Schaden war immens.

Die elektronische Patientenakte, Telemedizin und sektorenübergreifende Informationslogistik machen es überaus anspruchsvoll Daten sicher zu verwalten. IT-Sicherheit ist aber nicht mehr nur eine technische Frage. Sie betrifft auch die Sensibilisierung der Mitarbeiter, den verschärften Datenschutz und die wachsenden Anforderungen des Gesetzgebers. Beispiele sind die Medizinprodukteverordnung (MDR) und die Prüfungen nach § 8a des BSI-Gesetzes.

SRC Experte Dr. Deniz Ulucay im Fachgespräch mit dem KU Gesundheitsmanagement Magazin

Im Interview mit Birgit Sander, Redakteurin des Magazins KU Gesundheitsmanagement, gibt Dr. Deniz Ulucay, SRC-Experte für IT-Sicherheit im Gesundheitswesen, detaillierte Einblicke in potenzielle Gefährdungsszenarien und adäquate Abwehrstrategien. Der Titel des Beitrags fragt: „Wie sicher ist die IT in unseren Krankenhäusern?“. Dieser kann hier abgerufen werden.

IT-Sicherheitskongress 2019 – Arne Schönbohm begrüßt SRC

Der IT-Sicherheitskongress 2019 bot SRC wieder die Plattform für Dialoge mit Herstellern, Partnern und Vertretern von Behörden. Das Motto der Veranstaltung : „IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung“. Die Themen so vielfältig, wie die Besucher: Künstliche Intelligenz und ihre Anwendungsgebiete, Common Criteria-Zertifizierungen von Micro-Kernel Betriebssystemen und berufliche Perspektiven für Naturwissenschaftler und Informatiker bei SRC. Am Stand wurden nahezu alle SRC-Dienstleistungen nachgefragt, egal ob Penetrationstests, Beratung und Zertifizierung von Informationssicherheitsmanagenemtsystemen oder die Unterstützung von Produktherstellern bei Evaluierungen nach Common Criteria.

Rege diskutiert wurde Sandro Amendola Vortrag auf dem IT-Sicherheitskongress 2019. Der Titel: „Gesetzlichen Sicherheitsanforderungen bei Zahlverfahren für die Kundenauthentifizierung mittels mobiler Endgeräte“. Das hohe Tempo der Innovation auf der einen und die sich parallel entwickelnden regulatorischen Anforderungen auf der anderen Seite bieten kontinuierlichen Stoff für Gespräche und Ausblicke auf zukünftige Trends.

Auch der Gastgeber des IT-Sicherheitskongress 2019, das Bundesamt für Sicherheit in der Informationstechnik (BSI) (siehe Foto), machte an unserem Stand halt. Thilo Pannen ist für das Business Development bei SRC verantwortlich. „Wir bei SRC freuen uns, dass wir das BSI seit vielen Jahren mit einer Bandbreite an Experten unterstützen zu können“ sagte Thilo Pannen zur Begrüßung. Das ausführliche Gespräch mit dem BSI-Präsidenten Arne Schönbohm berührte alle Punkte der umfangreichen Kooperation mit dem BSI. Sei es die Erstellung von Studien, die Unterstützung bei den vielfältigen BSI-Projekten oder die Arbeit von SRC als vom BSI anerkannte Prüfstelle. In seiner Funktion als Prüfstelle begutachtet SRC nicht nur nach Common Criteria. Auch die Anforderungen zu den Technischen Domänen „Smartcards and similar Devices“ und „Hardware Devices with Security Boxes“ werden von SRC erfüllt.
Eine derart umfangreiche und komplexe Zusammenarbeit in einem so dynamischen Umfeld erfordert die stetige Anpassung der Prozesse. „Wenn wir beim BSI zur weiteren guten Zusammenarbeit beitragen können, lassen Sie es mich wissen.“ sagte der BSI-Präsident zum Abschluss seines Besuchs auf dem Stand von SRC.

SRC leistet Beitrag zum Deutschen IT-Sicherheitskongress 2019

IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung

Unter diesem Motto steht der diesjährige Deutsche IT-Sicherheitskongress, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre ausrichtet. Der Kongress findet vom 21. bis 23. Mai 2019 in der Stadthalle Bonn – Bad Godesberg statt. Das Ziel des diesjährigen Kongresses ist es, das Thema IT-Sicherheit aus unterschiedlichen Blickwinkeln zu beleuchten, Lösungsansätze vorzustellen und weiterzuentwickeln.

SRC ist beim Deutschen IT-Sicherheitskongress

Als vom BSI anerkannte Prüfstelle für Evaluierungen nach den Common Criteria (CC) und diversen anderen Technischen Richtlinien ist SRC auch 2019 mit einem Stand auf dem Deutschen IT-Sicherheitskongress vertreten. Damit bieten wir den Experten von Kunden, Partnern und denen des BSI erneut den seit vielen Jahren etablierten Anlaufpunkt auf dem Deutschen IT-Sicherheitskongress. Dieses Konzept hat sich seit Jahren bewährt. Das stabile persönliche Netzwerk zwischen den Beteiligten bietet die optimale Plattform zum Transfer der komplexen technischen und regulatorischen Aspekte.

SRC-Experte Sandro Amendola spricht über Compliance, mobile Zahlverfahren und Kundenauthentifizierung

Der Siegeszug mobiler Zahlverfahren dürfte nicht mehr aufzuhalten sein. Um die Sicherheit dieser Verfahren und die erforderliche Kundenauthentifizierung hat sich auch der Gesetzgeber intensiv Gedanken gemacht. Über „Gesetzliche Sicherheitsanforderungen bei Zahlverfahren für die Kundenauthentifizierung mittels mobiler Endgeräte“ spricht Sandro Amendola am Donnerstag, den 23. Mai 2019 um 11:00 Uhr im großen Saal.

SRC bei Tagung der Deutschen Physikalischen Gesellschaft

Die Tagung der Deutschen Physikalischen Gesellschaft e.V. (DPG) wurde vom 2. bis zum 5. April 2019 in Regensburg abgehalten. Diese Plattform nutzten verschiedene Unternehmen, um den Teilnehmenden ihre Arbeitsgebiete und Karrieremöglichkeiten vorzustellen.

SRC wurde durch Dr. Benjamin Botermann und Jochen Schumacher vertreten. Die beide gaben den vielen interessierten Studierenden aus dem In- und Ausland bereitwillig Auskunft über die vielfältigen Karrieremöglichkeiten bei SRC. Der Vortrag „Vom Labor zur sicheren Transaktion – Vom Physiker zum SRC-Experten“ von Benjamin Botermann ermöglichte detailliertere Einblicke in einzelne Themenfelder. Mit gespanntem Interesse folgten die angehenden Physikerinnen und Physiker den vielfältigen Karrieremöglichkeiten in der Informationssicherheit. Das Interesse der Studierenden schlug sich dann in den zahlreichen Gesprächen nieder, die nachfolgend am Infostand von SRC geführt wurden.

Tagung der Deutschen Physikalischen Gesellschaft

„Bargeldloser Zahlungsverkehr ist für viele ein unbekanntes Terrain, obwohl es jeder beinahe täglich nutzt“, stellte Jochen Schumacher fest. Umso mehr an Bedeutung gewinnt die Möglichkeit für Studierende, sich im Rahmen der Tagung der Deutschen Physikalischen Gesellschaft über die spannenden Themenfelder einer Informationssicherheitsfirma und ihrer komplexen Tätigkeitsgebiete informieren zu können.

Unsere Themen & Lösungen finden Sie auf unserer Website. Sie interessieren sich für eine Karriere bei SRC? Hier gelangen Sie zu unseren aktuellen Stellenangeboten.

BarCamp „Informationssicherheitsmanagement in Kreditinstituten“ – 19. September 2019

In Kooperation mit der SRC Security Research & Consulting GmbH richtet die Bank-Verlag GmbH ein BarCamp zum Thema „Informationssicherheitsmanagement in Kreditinstituten“ aus. Die Veranstaltung findet am 19. September 2019 in den Räumen des Bank-Verlags in Köln statt.

Mit den „Bankaufsichtlichen Anforderungen an die IT“ (kurz BAIT) hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auch die neue Funktion des Informationssicherheitsbeauftragten definiert. Dieser steuert den Informationssicherheitsprozess und berichtet direkt an die Geschäftsleitung. Wie diese Theorie in der Praxis aussieht, wird am 19. September im BarCamp „Informationssicherheitsmanagement in Kreditinstituten“ näher beleuchtet.

Das BarCamp-Prinzip

Ein BarCamp ist eine offene Tagung mit praxisnahen Workshops. Die Workshops dienen dem inhaltichen Austausch und der Diskussion unter den Teilnehmenden. Dabei werden die Inhalte und der Ablauf von den Teilnehmenden zu Beginn selbst entwickelt und im weiteren Verlauf gestaltet. Feste Redner oder vordefinierte Abläufe sind in einem BarCamp nicht zu finden. Stattdessen setzt dieses Prinzip auf den (moderierten) Erfahrungsaustausch.

BarCamp „Informationssicherheitsmanagement in Kreditinstituten“

Das BarCamp „Informationssicherheitsmanagement in Kreditinstituten“gibt Informationssicherheitsbeauftragten sowie allen Verantwortlichen im Informations- und IT-Sicherheitsmanagement von Kreditinstituten die Gelegenheit, sich zu Themen wie z.B. BAIT-Prüfungen, Dienstleistersteuerung oder Risikomanagement auszutauschen. Darüber hinaus können Kontakte geknüpft und Fachkunde ausgebaut werden. Die Pausen können für individuelle Gespräche genutzt werden. Am Ende der Veranstaltung sorgt ein „Get-together“ für einen vertiefenden Austausch unter den Teilnehmenden.

Referenten der SRC

Gleich vier Experten aus verschiedenen Bereichen der SRC werden ihr Wissen und ihre Expertise im Rahmen des Barcamps mit den Teilnehmenden teilen.

Sandro Amendola, stellvertretender Prüfstellenleiter bei der SRC, verantwortet das Thema „IT-Compliance in der Kreditwirtschaft“. Darüber hinaus entwickelt er, unter anderem im Auftrag der Deutschen Kreditwirtschaft, Sicherheitskonzepte und Sicherheitsanforderungen für Zahlungsverkehrsverfahren.

Jochen Schumacher ist bei SRC für den Bereich Kommunikation verantwortlich. Er konzentriert sich auf das Produktmanagement, die technische und redaktionelle Betreuung des Webauftritts sowie die Planung, Durchführung und Moderation von Veranstaltungen.

Florian Schumann ist Leiter der IT bei SRC. Darüber hinaus ist er Berater für Informationssicherheit und qualifizierter Prüfer gem. § 8 (a) BSIG für kritische Infrastrukturen.

Dr. Deniz Ulucay ist bei SRC als Berater für Informationssicherheit tätig. Seine Schwerpunkte liegen im Aufbau von ISMSen, insbesondere bei Betreibern von kritischen Infrastrukturen. Außerdem ist er für die Erstellung sowie Umsetzung von Sicherheitskonzepten verantwortlich.

Anmeldung & Ablauf

Weitere Informationen zur Anmeldung und zum Ablauf des BarCamps zum Thema „Informationssicherheitsmanagement in Kreditinstituten“ können diesem Flyer entnommen werden und auf der Webseite des Bank-Verlags gefunden werden. ~~Hier~~ können Sie sich für die Veranstaltung direkt online anmelden und die für Sie wichtigen und interessanten Themen einbringen und so Ablauf und Ergebnis des BarCamps „Informationssicherheitsmanagement in Kreditinstituten“ mitbestimmen.

Für weitere Fragen steht Ihnen Frau van Kessel gerne zur Verfügung (Tel. 0221/5490–161, andrea.vankessel(at)bank-verlag.de).

Zertifikatslehrgang „Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” – 19. bis 22. November 2019

BAIT-Compliance: Einsatz eines Informationssicherheitsbeauftragten (ISB)

Mit dem KWG und der MaRisk verpflichtet der Gesetzgeber Kreditinstitute zur Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaftlichen Erfolg eines Kreditinstituts ist eine sichere und effiziente IT unbedingt erforderlich. Die neuen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) formulieren konkrete Erwartungen. Unter anderem fordert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihrer Richtlinie die neu einzurichtende Funktion “Informationssicherheitsbeauftragte für Kreditinstitute” (ISB). Diese steuern den Informationssicherheitsprozess und berichtet direkt an die Geschäftsleitung.

6. Zertifikatslehrgang „Informationssicherheitsbeauftragte (ISB) für Kreditinstitute”

In Kooperation mit dem Bank-Verlag hat SRC bereits fünf Zertifikatslehrgänge zu “Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” erfolgreich durchgeführt. Nach der großen Resonanz und der anhaltenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertägigen Zertifikatslehrgang möglich gemacht hat.

Vom 19. bis 22. November 2019 haben Sie erneut die Möglichkeit, sich in den Räumen der Bank-Verlag GmbH in Köln zum “Informationssicherheitsbeauftragten (ISB) für Kreditinstitute” fortbilden zu lassen.

Schulung durch erfahrene Experten

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Dr. Deniz Ulucay. Die Experten informieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grundschutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anforderungen. Zudem wird auf die Themen IT-Risiken und ‑Notfallvorsorge sowie Business Continuity Management eingegangen.

Nach bestandener Abschlussprüfung erhalten Sie das Zertifikat „Informationssicherheitsbeauftragte/r für Kreditinstitute“.

Optional haben Sie die Möglichkeit sich am 18. November 2019 in Köln das für den Lehrgang erforderliche IT-Grundlagenwissen in einem eintägigen Intensivseminar im Vorfeld der Veranstaltung anzueignen. Hier geht es um Grundlagen, Begriffe, Verschlüsselungs- und IT-Sicherheitstechniken in der Informationstechnik.

Webseite zum Lehrgang

Online-Anmeldung

Aspects of Common Criteria Certifications – Gastvortrag an der TU Wien

Aspects of Common Criteria Certifications - das ist das Thema des Vortrags, den Experten der SRC-Prüfstelle für Common Criteria an der Technischen Universität Wien halten werden. Der Vortrag findet am 10. Mai 2019 im Rahmen der Vorlesung IT Security in Large IT Infrastructures am Institute of Information Systems Engineering statt.

Common Criteria in der Wissenschaft

Mit Hilfe der Common Criteria for Information Technology Security Evaluation (kurz: CC) lassen sich IT-Produkte nach allgemeinen Kriterien bezüglich ihrer Sicherheit bewerten. Als international anerkannter Standard steht Common Criteria im Interesse der wissenschaftlichen Welt. Zunächst erfolgt eine Evaluation durch eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle. SRC ist als eine solche CC-Prüfstelle anerkannt. Abschließend nimmt das BSI die Zertifizierung vor.

Gastvortrag für die Studierenden

Aus erster Hand berichten die Experten der SRC in ihrem Vortrag über die Aspects of Common Criteria Certifications (Aspekte der Common Criteria Zertifizierungen). Der Vortrag informiert die Studierenden über die grundsätzliche Herangehensweise bei Produktzertifizierungen nach Common Criteria. Beleuchtet werden Infrastrukturen in der Europäischen Union, bei denen auf eine Common Criteria Zertifizierung gesetzt wird. Auch die formale Seite mit den zuständigen Zertifizierungs- und Anerkennungsstellen wird betrachtet. Der Vergleich von Common Criteria mit anderen Konzepten bildet den Abschluss des Vortrags. Dabei finden Zertifizierungen nach Technischen Richtlinien des BSI, der ISO27001 bzw. den Kriterienwerken der Payment Card Industry (PCI) Berücksichtigung.

NextGenPSD2-Zertifizierung | SRC startet Audits für XS2A

Sind Sie bereit für eine Zertifizierung Ihrer NextGenPSD2-Implementierung?

Die überarbeitete Zahlungsverkehrsdiensterichtlinie (PSD2) verpflichtet Banken, autorisierten Drittanbietern den Zugang zu Kundendaten zu ermöglichen. Diese Drittanbieter (TPP) sollen über eine Programmierschnittstelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungsinitiierungs- und Kontoinformationsdienste anzubieten. Die NextGenPSD2-Zertifizierung fördert die Implementierung auf eines einheitlichen Standards.

Die meisten Banken und API-Anbieter in Europa implementieren die XS2A-Schnittstelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmonisierte Lösung zur Implementierung der PSD2 Vorgaben für die XS2A-Schnittstelle.

Die korrekte Implementierung der XS2A-Schnittstelle befreit das Institut von der Implementierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Implementation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfallkatalog, Compliance Best Practices und Testtool-Anforderungen. Das implementierende Institut bewertet seine Arbeit selbst. Damit ist die Implementierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigenbewertung gegenüber der Aufsichtsbehörde (NCA) als ausreichend betrachtet wird.

Warum Sie eine NextGenPSD2-Zertifizierung durchführen sollten?

Die Eigenbewertung der NextGenPSD2-Implementierung bietet bereits ein hohes Maß an Qualität. Unterschiedliche Interpretationen der Spezifikation können jedoch zu Interoperabilitätsproblemen führen. Zwischen Banken und Drittanbietern existiert derzeit kein dokumentiertes Verständnis über die genaue Implementierung der XS2A-Schnittstelle. Damit steigt die Wahrscheinlichkeit, dass die zuständige Aufsichtsbehörde der Banken die Freistellung von der Implementierung einer Fallback-Schnittstellenlösung verweigert.

Aus dem Engagement bei Spezifikation und Implementierung der XS2A-Schnittstelle im Rahmen von NISP verfügt SRC über eine umfangreiche und detaillierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zertifizierung erarbeitet.

Wie läuft der Prozess zur NextGenPSD2-Zertifizierung ab?

Voraussetzung für die NextGenPSD2-Zertifizierung sind der Testfallkatalog, das Implementierungsprofil und die Testspezifikation des implementierenden Instituts. Diese Voraussetzungen nutzt SRC, um ein vollständiges Funktions‑, Sicherheits- und Belastungsaudit der NextGenPSD2-Implementierung durchzuführen.

Audit-Validierung

In der Validierung wird die Implementierung gegen die Anforderungen der Dokumentation geprüft.

Funktionaler Teil

Im Funktionsteil werden die Testspezifikationen ausgeführt und die Ergebnisse überprüft.

Nicht-funktionaler Teil

Im nicht-funktionalen Teil wird die Verfügbarkeit der Implementierung (Stresstest) an relevanten Punkten ermittelt und bewertet.

Security Test

Im Security Test werden Methoden des Penetrationstestens genutzt. Es wird überprüft, ob die Implementierung der XS2A-Schnittstelle Kundendaten und Transaktionen ausreichenden Schutz vor Betrugsversuchen bietet.

Die Zertifizierung wird in einem abschließenden Bericht dokumentiert. Wenn alle Anforderungen mindestens ausreichend erfüllt sind, erhält das Institut ein SRC-Zertifikat. Mit diesem Zertifikat kann die Konformität der implementierten XS2A-Schnittstelle gegenüber Dritten und der Aufsichtsbehörde nachgewiesen werden. Auf Basis der ersten Zertifizierung können zukünftig ggf. Regressionsaudits durchgeführt werden.

SRC-Beratungsleistungen zur Entwicklungsoptimierung oder zur Erstellung der Testspezifikation können zur Vorbereitung der NextGenPSD-Zertifizierung genutzt werden.

Warum SRC?

Als Mitherausgeber des NextGenPSD2 Frameworks und des NISP Testing Frameworks verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbundenen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testumgebungen mit vielen lizenzierten Auditoren für mehrere Funktions- und Sicherheitsbewertungen nach formalen Zertifizierungsschemata. Infolgedessen ist SRC in der Lage, mit überschaubarem Aufwand ein qualitativ hochwertiges Audit durchzuführen.

Sie sind an einer NextGenPSD2 Zertifizierung interessiert? Dann schreiben Sie an info@src-gmbh.de.

CDCVM | SRC als Sicherheitsgutachter für CDCVM-Lösungen zugelassen

Bei jeder Zahlung muss die Identität des Bezahlenden zweifelsfrei sichergestellt sein. Dazu fordern etablierte kartenbasierte Bezahlverfahren den Bezahlenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smartphones implementierte Bezahlsysteme verlagern diese Prüfung vom Terminal des Händlers auf das Smartphone des Bezahlenden. Dabei kommen zunehmend biometrische Verfahren, wie die Prüfung des Fingerabdrucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Technologie.

Die Vereinigung der internationalen Zahlungssysteme EMVCo treibt die Umsetzung von Standards für weltweite Interoperabilität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicherheitsevaluierungsprozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verification Method) – pdf auf Basis ihrer Sicherheitsanforderungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richtlinien für Funktions- und Leistungsverhalten von biometrischen Authentifizierungsverfahren im Zahlungsverkehr fest. So wird eine einheitliche Benutzererfahrung und globale Interoperabilität gefördert.

Mit der langjährigen Anerkennung durch EMVCo, MasterCard und VISA greift SRC auf einen umfangreichen Erfahrungsschatz bei der Sicherheitsbegutachtung von Bezahllösungen zurück. SRC unterstützt selbstverständlich auch den neuen Sicherheitsevaluierungsprozess für CDCVM-Lösungen. Lösungsanbietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begutachtung ihrer mobilen Software-Implementierungen zu nutzen und eine erfolgreiche Zertifizierung bei EMVCo zu durchlaufen.