SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

PCI-Konfor­mität erfordert Know-How und Ressourcen.“ SRC-Expertin Jana Ehlers erläutert im gerade auf der Fach-Plattform „All About Security“ erschie­nenen Artikel die verschie­denen PCI-Sicher­heits­stan­dards.

Angesichts der in Pandemie-Zeiten steigenden Anzahl an Karten­zah­lungen ist der Schutz von Zahlkar­ten­daten ein sehr aktuelles Thema.

Alle PCI Standards zielen auf den Schutz von Zahlkar­ten­daten der inter­na­tio­nalen Zahlungs­systeme ab. Allein beim bekann­testen Standard, dem PCI DSS, gibt es rund 250 Einzel­an­for­de­rungen. Werden diese bereits beim Aufbau von Netzwerken und Struk­turen berück­sichtigt, spart man sich häufig aufwändige und teure Nachrüs­tungen. Aber auch die dauer­hafte Aufrecht­erhaltung der PCI DSS-Konfor­mität stellt Firmen vor Heraus­for­de­rungen.

SRC prüft und berät zu PCI-Standards seit deren Entstehung im Jahr 2006. Diese Erfahrung kann genutzt werden, um die Inten­tionen der PCI-Standards richtig zu verstehen und zu berück­sich­tigen. SRC begleitet durch den gesamten Prozess. Damit ist nicht nur PCI-Konfor­mität auf verständ­lichem Weg erreichbar, sondern auch ein großes Stück mehr Sicherheit für die schüt­zens­werten Zahlkar­ten­daten der Kunden.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 17. bis 20. November 2020

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits sechs Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 17. bis zum 20. November 2020 haben Sie erneut die Möglichkeit sich in den Räumen der Bank-Verlag GmbH in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Dr. Deniz Ulucay und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management einge­gangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 16. November 2020 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Infor­ma­ti­ons­technik.

EPayStandards Konsortium

Frenchsys, Elitt und SRC gründen das EPayStan­dards Konsortium

Gemeinsam mit den franzö­si­schen Partnern Frenchsys und Elitt gründet SRC das EPayStan­dards Konsortium, eine Koope­ration zum Ausbau der Beratung und Unter­stützung inter­na­tio­naler Kunden im europäi­schen Zahlungs­verkehr.

Als Tochter­un­ter­nehmen von Cartes Bancaires unter­stützt Frenchsys maßgeblich die techni­schen und funktio­nalen Spezi­fi­ka­tionen, so wie die Integration im franzö­si­schen Acqui­rer­markt.

Elitt hat den Schwer­punkt seiner Tätigkeit in der Entwicklung von Testfall­ka­ta­logen und Testtools für Terminals. Außerdem steht Elitt für innovative Zahlungs­lö­sungen.

SRC unter­stützt Entwicklung und Pflege des deutschen girocard-Systems. Dazu gehören die Erstellung funktio­naler und sicher­heits­tech­ni­scher Spezi­fi­ka­tionen für alle betei­ligten System­kom­po­nenten. Auch die Konzeption innova­tiver Lösungen zum mobilen Bezahlen ist Bestandteil des SRC-Leistungs­spek­trums.

Alle drei Unter­nehmen kennt die Welt des Zahlungs­ver­kehrs als wesent­liche Träger europäi­scher Standar­di­sie­rungs­in­itia­tiven wie nexo, CPACE und der Berlin Group.

Mit dem EPayStan­dards Konsortium erhält der inter­na­tionale Markt für Zahlkungs­verkehr den Zugriff auf gebün­delte technische und strate­gische Beratungs­leis­tungen. Der Grund­stein der Zusam­men­arbeit wird mit Workshops für grenz­über­schreitend tätige Kunden wie Termi­nal­her­steller und Prozes­sing­dienst­leister gelegt.

In den letzten Jahren haben sich die europäi­schen Standards für Zahlungs­ver­kehrs­terminals weiter entwi­ckelt. Das bietet besonders für inter­na­tional tätige Akzep­t­anten Chancen, um ihre Termi­nal­in­fra­struk­turen länder­über­greifend zu harmo­ni­sieren. SRC und Frenchsys bringen detail­lierte Kennt­nisse dieser neuen Standards und der beiden größten europäi­schen Zahlungs­ver­kehrs­märkte und Systeme ein. Elitt rundet die Koope­ration mit seiner Expertise zur techni­schen Vorbe­reitung von Umset­zungen und Zerti­fi­zie­rungen ab. So profi­tiert der inter­na­tionale Markt für Zahlungs­verkehr von der Kombi­nation der Stärken der Konsor­ti­al­partner.

 

SRC evaluiert Cryptographic Service Provider von T-Systems gemäß BSI-Schutzprofilen

SRC evaluiert Crypto­graphic Service Provider von T‑Systems gemäß BSI-Schutz­pro­filen

SRC evaluiert Crypto­graphic Service Provider von T‑Systems gemäß BSI-Schutz­pro­filen. Damit entspricht die Kompo­nente den Anfor­de­rungen der Kassen­SichV.

Die Kassen­si­che­rungs­ver­ordnung (Kassen­SichV), auch als Verordnung zur Bestimmung der techni­schen Anfor­de­rungen an elektro­nische Aufzeich­nungs- und Siche­rungs­systeme im Geschäfts­verkehr bekannt, sieht u. a. eine Pflicht zur Verwendung einer zerti­fi­zierten techni­schen Sicher­heits­ein­richtung vor. Die Zerti­fi­zierung und deren laufende Aufrecht­erhaltung durch das das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) regelt §146a der zugehö­rigen Abgaben­ordnung. Das BSI kommt dieser Anfor­derung mit den Schutz­pro­filen BSI-CC-PP-0104–2019 und „Timestamp and Audit functio­n­ality Protection Profile“ BSI-CC-PP-0107–2019 nach. Diese Schutz­profile nutzen anerkannte Prüfstellen um technische Sicher­heits­ein­rich­tungen in Vorbe­reitung auf die Zerti­fi­zierung zu evalu­ieren. Dabei greifen Sie auf das inter­na­tional anerkannte Zerti­fi­zie­rungs­schema der Common Criteria zurück.

Der von der T‑Systems Inter­na­tional GmbH in Form einer kontakt­be­haf­teten Smartcard entwi­ckelte Crypto­graphic Service Provider ist ein wesent­licher Bestandteil einer techni­schen Sicher­heits­ein­richtung gemäß der Kassen­SichV. Die CC Prüfstelle von SRC hat diesen CSP erfolg­reich evaluiert.

Dr. Bertold Krüger, Leiter der SRC-Prüfstelle: „Es ist für die Entwickler von T‑Systems und die Evalua­toren gleicher­maßen erfüllend, wenn eine derart intensive Evalu­ierung mit dem Zerti­fikat des BSI belohnt wird.“

Für weitere Infor­ma­tionen zur Common Criteria Zerti­fi­zierung von Sicher­heits­pro­dukten stehen Ihnen die Experten von SRC gern bereit.

Skerka IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

SRC-Experte Skerka: IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

Gefahr für Leib und Leben. Deshalb ist das Risiko für IT-Systeme im Gesund­heits­wesen höher als in anderen Branchen.“ Das sagt SRC-Experte Randolf-Heiko Skerka im gerade erschie­nenen Beitrag „IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

100-prozentige Sicherheit kann es nicht geben. Gerade darum ist es wichtig mit einer vorbeu­genden Absicherung der IT gängigen Gefähr­dungen zu begegnen. Ein Strom­ausfall, ein Erdbeben, Feuer, Hochwasser oder ein Hacker­an­griff sind Beispiele für denkbare Schadens­sze­narien.

Der Aufbau eines Risiko­ma­nage­ment­systems ist dabei von entschei­dender Bedeutung., sagt Skerka. Bedro­hungen für IT-Systeme im Gesund­heits­wesen müssen definiert, bewertet und ihre Eintritts­wahr­schein­lichkeit bewertet werden. Die anschlie­ßende Unter­su­chung und Evalu­ierung der Auswir­kungen ermög­licht fundierte Entschei­dungen, welche Risiken ggf. akzep­tiert und welche Maßnahmen einge­leitet werden können, um sie zu minimieren. So entsteht ein bewusst definiertes Sicher­heits­niveau und ein Maßnah­men­ka­talog mit dem das angestrebte Level an IT-Sicherheit erreicht und auf Dauer sicher­ge­stellt werden kann.

Die Frage gegen welche Bedro­hungen man sich konkret schützen will, steht auch für die IT-Sicherheit im Gesund­heits­wesen im Fokus der Betrachtung. Mit der Risiko­analyse werden die Gefahren definiert und bewertet. Mit im Vorfeld geplanten Gegen­maß­nahmen kann im Fall der Fälle gekontert werden. Das angestrebte Sicher­heits­niveau ist erreicht. Für den sicheren Betrieb der Infra­struktur muss die IT aber auch mit dem erfor­der­lichen Know-how und dem Wissen um die die techni­schen Erfor­der­nisse ausge­stattet sein.

Corona

Trotz Corona – Die Unter­stützung von SRC ist Ihnen sicher!

Das Corona-Virus hat unseren Alltag erreicht. Die Pandemie lenkt unsere Konzen­tration auf das, was jetzt das Wichtigste ist: Der Schutz der Gesundheit, die Sicherheit und das Wohlergehen unserer Mitar­bei­te­rinnen und Mitar­beiter, unserer Partner, Kunden und Familien.

Die weitaus meisten Mitar­beiter nutzen die Möglichkeit, ihrer Arbeit im Home Office nachzu­gehen; einige sind an den Stand­orten verfügbar, um z. B. Unter­schriften leisten zu können, Post entgegen zu nehmen und vieles mehr.

Es hat sich in der relativ kurzen Zeit bereits gezeigt, dass die Beleg­schaft der SRC sehr engagiert die Konti­nuität der Betriebs­ab­läufe sicher­stellt.

Unser beson­deres Augenmerk liegt gerade in diesen schweren Zeiten auf den Anliegen unserer Kunden. Wir sind unver­ändert in der Lage, unsere Kunden, die z.T. gerade in diesen Zeiten dringend benötigte kritische Infra­struk­turen betreiben, umfassend und mit einem Höchstmaß an Flexi­bi­lität zu unter­stützen. Unserer großen Verant­wortung und Verpflichtung gegenüber unseren Kunden werden wir auch in diesen Zeiten nachkommen.

Auch wenn viele von uns sich nicht an den SRC-Stand­orten aufhalten: Wir sind für Sie weiterhin über die gewohnten Kommu­ni­ka­ti­ons­mög­lich­keiten erreichbar.

Wir tun weiter, was wir gut können.

Als Alter­native zu Vor-Ort-Terminen haben wir z.B. Vorge­hens­weisen für Remote-Unter­stützung entworfen. Wir können …

  • Beratungen und Inter­views im Rahmen von Telefon­kon­fe­renzen durch­führen,
  • System­ein­stel­lungen unter Nutzung von Webkon­fe­renzen prüfen,
  • Vor-Ort-Begehungen mit Hilfe von Video-Übertra­gungen durch­führen.

Bitte kontak­tieren Sie Ihren Ansprech­partner von SRC, um das konkrete Vorgehen abzustimmen.

Wir bei SRC sind davon überzeugt, dass wir aus den Erfah­rungen dieser Situation für unsere Zukunft lernen. Wir werden gestärkt aus dieser Krise hervor­gehen.

Bitte achten Sie auf die Gesundheit Ihrer Mitmen­schen und Familien.

Bezahlen 2030 – Die Studie über die Zukunft des Bezahlens in Deutschland

Mit Unter­stützung von Z_Punkt – The Foresight Company hat SRC die Studie Bezahlen 2030 erstellt. In dieser Studie geht es um die Zukunft des Bezahlens in Deutschland. Sie ist die Fortführung der 2015 initi­ierten Unter­su­chung über das Bezahlen 2025. Neben der Aktua­li­sierung der 2015 betrach­teten Szenarien werden vor allem Handlungs­op­tionen für konto­füh­rende Institute unter­sucht, die sich hinsichtlich des Bezahl­vor­gangs der Zukunft ergeben. Die Grundlage dafür ist eine umfas­sende Analyse der sich bereits heute abzeich­nenden Trends und Entwick­lungen.

Die Studie Bezahlen 2030 widmet sich vielen Frage­stel­lungen: In welcher Weise haben sich die relevanten Rahmen­be­din­gungen im Vergleich zur Vorgän­ger­studie geändert? Wie können konto­füh­rende Institute auf neue Markt­teil­nehmer reagieren? Wie sehen innovative Lösungen im Zahlungs­verkehr aus? Welche neuen Erlös­quellen und Mehrwert­dienste sind denkbar? Und welche Möglich­keiten und Notwen­dig­keiten zur Zusam­men­arbeit mit Partnern innerhalb und außerhalb der Kredit­wirt­schaft ergeben sich, um für das „Bezahlen 2030“ gewappnet zu sein?

Bei der Erstellung der Studie haben zahlreiche Exper­tinnen und Experten aus den Reihen der Kredit­wirt­schaft, des Handel und der Techno­lo­gie­an­bieter mitge­wirkt. So konnte der Horizont der Studie geweitet und ein breites Spektrum an poten­ti­ellen Entwick­lungen abgedeckt werden.

SRC stellt Ihnen die Studie Bezahlen 2030 kostenfrei zu Verfügung. Verstehen Sie die Studie bitte als Einladung zum Dialog. Deshalb freuen wir uns über ihre Anmer­kungen, Fragen und Anregungen. Bitte schreiben Sie uns an bezahlen2030@src-gmbh.de.

Die Studie steht Ihnen kostenfrei in deutscher und engli­scher Sprache zum Download bereit. Druck-Exemplare sind nur in deutscher Sprache verfügbar. Sie können unter Angabe der Versand­an­schrift kostenfrei angefordert werden.

 

Transfer- und Perspek­tiv­work­shops

  • Die zentralen Erkennt­nisse aus der Studie Bezahlen 2030
  • Diskursive Ausein­an­der­setzung mit den vorge­schla­genen strate­gi­schen Stoßrich­tungen und Empfeh­lungen.
  • Wertvolle Impulse und Orien­tierung für Ihre Strate­gie­ent­wicklung.

Dieser Workshop ist ein gemein­sames Angebot von SRC Security Research & Consulting und Z_punkt The Foresight Company.

SRC durch das PCI SSC als SPoC/CPoC Lab anerkannt

SRC durch das PCI SSC als SPoC und CPoC Security Lab anerkannt

Das weltweit agierende PCI Security Standards Council hat SRC heute als viertes Labor für die Durch­führung von Sicher­heits­un­ter­su­chungen von SPoC und CPoC Lösungen anerkannt.

Mit SPoC Lösungen (Secure PIN Entry on Commercial-off-the-Shelf devices) kann ein Händler Zahlungen mit handels­üb­lichen mobilen Endge­räten entgegen nehmen.

Während das SPoC Programm Lösungen mit PIN-Eingabe beschreibt, zielt das CPoC Programm auf ausschließlich kontaktlose Lösungen, die keine PIN-Eingabe erfordern.

Eine SPoC Lösung besteht aus vier Kern-Kompo­nenten:

  • einem Secure Card Reader for PIN (SCRP), einem externen und PCI PTS zugelas­senen Karten­leser,
  • einer geprüften PIN CVM App für die sichere PIN-Eingabe auf dem handels­üb­lichen mobilen Endgerät des Händlers,
  • dem mobilen Endgerät des Händlers (COTS device) wie z.B. einem Smart­phone oder einem Tablet, sowie
  • einem Hinter­grund­system, das maßgeblich mittels Attes­tierung, Monitoring und Processing zur Sicherheit des Gesamt­systems beiträgt.

Mit CPoC hat das PCI SSC Anfor­de­rungen an Lösungen für die Verar­beitung von kontakt­losen Zahlungen ohne PIN-Eingabe („Tap and Go“) auf handels­üb­lichen mobilen Endge­räten (commercial off-the-shelf, COTS), wie z.B. Smart­phones oder anderen mobilen commercial off-the-shelf (COTS) Geräten mit NFC-Schnitt­stelle entwi­ckelt.

Mit den Programmen SPoC und CPoC bedient das PCI SSC die zuneh­mende Nachfrage nach neuen und sicheren Akzep­t­anz­lö­sungen und sorgt für die Sicherheit bei der Akzeptanz von Zahlungen mittels Mobil­te­le­fonen und Tablets. Die dazuge­hö­rigen Prüfungen werden nun auch von SRC durch­ge­führt.

Die Anerkennung von SRC als Lab für die Programme SPoC und CPoC ist ein wichtiges Signal an den Markt. Auch Kunden aus diesem innova­tiven Umfeld können jetzt die Expertise von SRC für die Entwicklung von sicheren Bezahl­lö­sungen in Anspruch nehmen.

PCI DSS-Orientierungshilfe für große Organisationen

PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen veröf­fent­licht

SRC Security Research & Consulting GmbH hat an der aktuellen Special Interest Group (SIG) des PCI (Payment Card Industry) Security Standards Council mitge­wirkt. Die aus der SIG entstandene PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen wurde jetzt veröf­fent­licht.

Komplexe Organi­sa­tionen, Konzerne und Unter­nehmen stehen oft vor spezi­fi­schen Heraus­for­de­rungen bei der Umsetzung von Anfor­de­rungen des PCI DSS (Payment Card Industry Data Security Standards): der Hetero­ge­nität ihrer Infra­struk­turen und Prozesse, der ständigen Verän­derung von Unter­neh­mens­struk­turen, dem Umgang mit vielfäl­tigen Anfor­de­rungen, Verant­wort­lich­keiten und Verwal­tungs­auf­gaben.
In der neuen Orien­tie­rungs­hilfe wird erläutert, wie große und/oder komplexe Unter­nehmen ihre PCI-DSS-Aktivi­täten unter­neh­mensweit koordi­nieren und verwalten können.

  • PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen // zum Dokument.
OMNISECURE 2020

SRC ist Partner der OMNISECURE 2020

Als Gutachter für IT-Sicherheit wissen wir bei SRC, dass Schutz­ni­veaus im Rahmen der Digita­li­sierung von Industrie und Gesell­schaft essen­ziell wichtig sind. Die dazu erfor­der­lichen gut inein­an­der­grei­fenden Sicher­heits­kon­zepte stellen die Experten der Branche auf der jährlich statt­fin­denden OMNISECURE vor. Den auf der OMNISECURE zu diesen Themen geführten Diskurs berei­chern wir bei SRC tradi­tionell als Partner mit unserem in vielen Projekten gesam­melten Wissen. Die OMNISECURE findet vom 20. – 22. Januar 2020 in Berlin statt.

Elektro­nische Identi­fi­kation und die dazu erfor­der­liche Sicherheit sind eines der übergrei­fenden Themen bei SRC und gleich­zeitig Kernthema der Veran­staltung. So bildet die OMNISECURE für SRC eine bedeu­tende Plattform für den Branchen-übergrei­fenden Wissens- und Erfah­rungs­aus­tausch mit Experten, Fach- und Führungs­kräfte aus Wirtschaft, Politik, Öffent­licher Verwaltung und Wissen­schaft.

Als Partner der OMNISECURE leistet SRC seinen Beitrag, damit für die Teilnehmer ein umfas­sender Überblick über neue Anwen­dungen, Gefahren und Lösungen, Techno­lo­gie­trends, Fortschritte oder Verzö­ge­rungen in bekannten, richtungs­wei­senden Projekten entsteht. Ideen und relevante Gesetz­ge­bungs­vor­haben werden dabei genau so disku­tiert, wie Fehlschläge, aus denen man immer lernen kann. Die OMNISECURE bietet eine Fülle von Denkan­stößen sowie Begeg­nungen mit renom­mierten Experten. Nicht selten werden hier die Grund­steine für künftige Projekte und Entschei­dungen gelegt.

Wir von SRC freuen uns auf zwei reich­haltige Tage und auf die vielfäl­tigen und reich­hal­tigen Gespräche mit Experten und Kunden.