Aspects of Common Criteria Certifications

Aspects of Common Criteria Certi­fi­ca­tions – Gastvortrag an der TU Wien

Aspects of Common Criteria Certi­fi­ca­tions - das ist das Thema des Vortrags, den Experten der SRC-Prüfstelle für Common Criteria an der Techni­schen Univer­sität Wien halten werden. Der Vortrag findet am 10. Mai 2019 im Rahmen der Vorlesung IT Security in Large IT Infra­st­ruc­tures am Institute of Infor­mation Systems Engineering statt.

Common Criteria in der Wissen­schaft

Mit Hilfe der Common Criteria for Infor­mation Technology Security Evaluation (kurz: CC) lassen sich IT-Produkte nach allge­meinen Kriterien bezüglich ihrer Sicherheit bewerten. Als inter­na­tional anerkannter Standard steht Common Criteria im Interesse der wissen­schaft­lichen Welt. Zunächst erfolgt eine Evaluation durch eine vom Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) anerkannte Prüfstelle.  SRC ist als eine solche CC-Prüfstelle anerkannt. Abschließend nimmt das BSI die Zerti­fi­zierung vor.

Gastvortrag für die Studie­renden

Aus erster Hand berichten die Experten der SRC in ihrem Vortrag über die Aspects of Common Criteria Certi­fi­ca­tions (Aspekte der Common Criteria Zerti­fi­zie­rungen). Der Vortrag infor­miert die Studie­renden über die grund­sätz­liche Heran­ge­hens­weise bei Produkt­zer­ti­fi­zie­rungen nach Common Criteria. Beleuchtet werden Infra­struk­turen in der Europäi­schen Union, bei denen auf eine Common Criteria Zerti­fi­zierung gesetzt wird. Auch die formale Seite mit den zustän­digen Zerti­fi­zie­rungs- und Anerken­nungs­stellen wird betrachtet. Der Vergleich von Common Criteria mit anderen Konzepten bildet den Abschluss des Vortrags.  Dabei finden Zerti­fi­zie­rungen nach Techni­schen Richt­linien des BSI, der ISO27001 bzw. den Krite­ri­en­werken der Payment Card Industry (PCI) Berück­sich­tigung.

NextGenPSD2-Zertifizierung

NextGenPSD2-Zerti­fi­zierung | SRC startet Audits für XS2A

Sind Sie bereit für eine Zerti­fi­zierung Ihrer NextGenPSD2-Imple­men­tierung?

Die überar­beitete Zahlungs­ver­kehrs­dienst­e­richt­linie (PSD2) verpflichtet Banken, autori­sierten Dritt­an­bietern den Zugang zu Kunden­daten zu ermög­lichen. Diese Dritt­an­bieter (TPP) sollen über eine Program­mier­schnitt­stelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungs­in­iti­ie­rungs- und Konto­in­for­ma­ti­ons­dienste anzubieten. Die NextGenPSD2-Zerti­fi­zierung fördert die Imple­men­tierung auf eines einheit­lichen Standards.

Die meisten Banken und API-Anbieter in Europa imple­men­tieren die XS2A-Schnitt­stelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmo­ni­sierte Lösung zur Imple­men­tierung der PSD2 Vorgaben für die XS2A-Schnitt­stelle.

Die korrekte Imple­men­tierung der XS2A-Schnitt­stelle befreit das Institut von der Imple­men­tierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Imple­men­tation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfall­ka­talog, Compliance Best Practices und Testtool-Anfor­de­rungen. Das imple­men­tie­rende Institut bewertet seine Arbeit selbst. Damit ist die Imple­men­tierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigen­be­wertung gegenüber der Aufsichts­be­hörde (NCA) als ausrei­chend betrachtet wird.

Warum Sie eine NextGenPSD2-Zerti­fi­zierung durch­führen sollten?

Die Eigen­be­wertung der NextGenPSD2-Imple­men­tierung bietet bereits ein hohes Maß an Qualität. Unter­schied­liche Inter­pre­ta­tionen der Spezi­fi­kation können jedoch zu Inter­ope­ra­bi­li­täts­pro­blemen führen. Zwischen Banken und Dritt­an­bietern existiert derzeit kein dokumen­tiertes Verständnis über die genaue Imple­men­tierung der XS2A-Schnitt­stelle. Damit steigt die Wahrschein­lichkeit, dass die zuständige Aufsichts­be­hörde der Banken die Freistellung von der Imple­men­tierung einer Fallback-Schnitt­stel­len­lösung verweigert.

Aus dem Engagement bei Spezi­fi­kation und Imple­men­tierung der XS2A-Schnitt­stelle im Rahmen von NISP verfügt SRC über eine umfang­reiche und detail­lierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zerti­fi­zierung erarbeitet.

Wie läuft der Prozess zur NextGenPSD2-Zerti­fi­zierung ab?

Voraus­setzung für die NextGenPSD2-Zerti­fi­zierung sind der Testfall­ka­talog, das Imple­men­tie­rungs­profil und die Testspe­zi­fi­kation des imple­men­tie­renden Instituts. Diese Voraus­set­zungen nutzt SRC, um ein vollstän­diges Funktions‑, Sicher­heits- und Belas­tungs­audit der NextGenPSD2-Imple­men­tierung durch­zu­führen.

Audit-Validierung

In der Validierung wird die Imple­men­tierung gegen die Anfor­de­rungen der Dokumen­tation geprüft.

Funktio­naler Teil

Im Funkti­onsteil werden die Testspe­zi­fi­ka­tionen ausge­führt und die Ergeb­nisse überprüft.

Nicht-funktio­naler Teil

Im nicht-funktio­nalen Teil wird die Verfüg­barkeit der Imple­men­tierung (Stresstest) an relevanten Punkten ermittelt und bewertet.

Security Test

Im Security Test werden Methoden des Penetra­ti­ons­testens genutzt. Es wird überprüft, ob die Imple­men­tierung der XS2A-Schnitt­stelle Kunden­daten und Trans­ak­tionen ausrei­chenden Schutz vor Betrugs­ver­suchen bietet.

Die Zerti­fi­zierung wird in einem abschlie­ßenden Bericht dokumen­tiert. Wenn alle Anfor­de­rungen mindestens ausrei­chend erfüllt sind, erhält das Institut ein SRC-Zerti­fikat. Mit diesem Zerti­fikat kann die Konfor­mität der imple­men­tierten XS2A-Schnitt­stelle gegenüber Dritten und der Aufsichts­be­hörde nachge­wiesen werden. Auf Basis der ersten Zerti­fi­zierung können zukünftig ggf. Regres­si­ons­audits durch­ge­führt werden.

SRC-Beratungs­leis­tungen zur Entwick­lungs­op­ti­mierung oder zur Erstellung der Testspe­zi­fi­kation können zur Vorbe­reitung der NextGenPSD-Zerti­fi­zierung genutzt werden.

Warum SRC?

Als Mither­aus­geber des NextGenPSD2 Frame­works und des NISP Testing Frame­works verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbun­denen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testum­ge­bungen mit vielen lizen­zierten Auditoren für mehrere Funktions- und Sicher­heits­be­wer­tungen nach formalen Zerti­fi­zie­rungs­schemata. Infol­ge­dessen ist SRC in der Lage, mit überschau­barem Aufwand ein quali­tativ hochwer­tiges Audit durch­zu­führen.

Sie sind an einer NextGenPSD2 Zerti­fi­zierung inter­es­siert? Dann schreiben Sie an info@src-gmbh.de.

CDCVM

CDCVM | SRC als Sicher­heits­gut­achter für CDCVM-Lösungen zugelassen

Bei jeder Zahlung muss die Identität des Bezah­lenden zweifelsfrei sicher­ge­stellt sein. Dazu fordern etablierte karten­ba­sierte Bezahl­ver­fahren den Bezah­lenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smart­phones imple­men­tierte Bezahl­systeme verlagern diese Prüfung vom Terminal des Händlers auf das Smart­phone des Bezah­lenden. Dabei kommen zunehmend biome­trische Verfahren, wie die Prüfung des Finger­ab­drucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Techno­logie.

Die Verei­nigung der inter­na­tio­nalen Zahlungs­systeme EMVCo treibt die Umsetzung von Standards für weltweite Inter­ope­ra­bi­lität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verifi­cation Method) – pdf auf Basis ihrer Sicher­heits­an­for­de­rungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richt­linien für Funktions- und Leistungs­ver­halten von biome­tri­schen Authen­ti­fi­zie­rungs­ver­fahren im Zahlungs­verkehr fest. So wird eine einheit­liche Benut­zer­er­fahrung und globale Inter­ope­ra­bi­lität gefördert.

Mit der langjäh­rigen Akkre­di­tierung bei EMVCo, MasterCard und VISA greift SRC auf einen umfang­reichen Erfah­rungs­schatz bei der Sicher­heits­be­gut­achtung von Bezahl­lö­sungen zurück. SRC unter­stützt selbst­ver­ständlich auch den neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen. Lösungs­an­bietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begut­achtung ihrer mobilen Software-Imple­men­tie­rungen zu nutzen und eine erfolg­reiche Zerti­fi­zierung bei EMVCo zu durch­laufen.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 7. bis 10. Mai 2019

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits vier Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 7. bis zum 10. Mai 2019 haben Sie erneut die Möglichkeit sich in den Räumen der Bank-Verlag GmbH in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Dr. Deniz Ulucay und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management einge­gangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 6. Mai 2019 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Infor­ma­ti­ons­technik.

Associate QSA

Associate QSA – die Ausbildung zum QSA

SRC bietet Mentoring-Programm für zukünftige Sicherheitsgutachter/innen

 

Die QSA-Zulassung – der bisherige, unstruk­tu­rierte Weg zum hochqua­li­fi­zierten Sicher­heits­gut­achter

Um Umgebungen, in denen Daten von Zahlkarten entge­gen­ge­nommen und/oder weiter verar­beitet werden, auf die Einhaltung des Sicher­heits­stan­dards PCI DSS prüfen zu können, ist eine umfang­reiche Erfahrung notwendig. Für die Erfüllung der entspre­chenden Vorbe­din­gungen für die Zulassung als PCI DSS-Gutachter (Qualified Security Assessor, QSA) – umfas­sende Berufs­er­fahrung, PCI DSS-spezi­fische Schulung und Prüfung sowie mindestens zwei weitere Akkre­di­tie­rungen im Bereich Infor­ma­ti­ons­si­cherheit und IT-Auditierung – gab es bisher keinen standar­di­sierten Weg.

Associate QSA – der begleitete Weg zum QSA

Mit dem neuen Associate QSA-Programm des Payment Card Industry Security Standards Council (PCI SSC) ist jetzt ein Weg definiert, über den neue Talente mit einem Grundmaß an Berufs­er­fahrung den Weg zur QSA-Zulassung beschreiten können.

Associate QSA werden dabei durch einen erfah­renen QSA als Mentor begleitet. Die Entwicklung und zuneh­mende Audit-Erfahrung des Associate QSA werden regel­mäßig reflek­tiert und dokumen­tiert. So wird kontrol­liert und sicher­ge­stellt, dass die Mitar­bei­terin oder der Mitar­beiter bis zum Erlangen der QSA-Akkre­di­tierung umfas­sende Erfahrung in allen relevanten Bereichen bekommt.

SRC bildet aus

Das SRC-Team ist dafür bekannt, Prüfstan­dards nicht nur als abzuar­bei­tende Check­listen anzusehen, sondern ihre Anwendung auf komplexe Umgebungen begründet herzu­leiten und den Kunden bei der Umsetzung und Inter­pre­tation möglichst praxisnah zu unter­stützen. Hierfür ist eine umfas­sende Fachkunde und Erfahrung in Kombi­nation mit einem ständigen Austausch mit anderen Experten notwendig.

SRC begrüßt daher die Definition eines schritt­weisen Vorgehens zur Ausbildung und Begleitung von Associate QSA, welches zum Aufbau einer entspre­chenden Quali­fi­kation beiträgt. SRC hat sich somit als Associate QSA-Firma regis­trieren lassen und bereits die erste Mitar­bei­terin als Associate QSA zugelassen. So soll auch in Zukunft die Qualität der Audits in den sich ständig verän­dernden Zahlungs­ver­kehrs-Umgebungen gewähr­leistet werden.

 

Konfomitätsbewertungsstelle

SRC erhält Akkre­di­tierung für Konfor­mi­täts­be­wer­tungs­stelle (KBS) nach ISO 17065

Im vergan­genen Monat hat die Deutsche Akkre­di­tie­rungs­stelle (DAkkS) der SRC Security Research & Consulting GmbH die Akkre­di­tierung für ihre Konfo­mi­täts­be­wer­tungs­stelle (KBS) nach ISO 17065 erteilt.

Diese Akkre­di­tierung gilt für die Konfo­mi­täts­be­wertung von (quali­fi­zierten) Vertrau­ens­diens­te­an­bietern, die Vertrau­ens­dienste gemäß den Anfor­de­rungen der Verordnung (EU) Nr. 910/2014 (eIDAS) quali­fi­zieren lassen möchten.

Die eIDAS-Verordnung enthält verbind­liche europaweit geltende Regelungen in den Bereichen „Elektro­nische Identi­fi­zierung“ und „Elektro­nische Vertrau­ens­dienste“. Mit der Verordnung werden einheit­liche Rahmen­be­din­gungen für die grenz­über­schrei­tende Nutzung elektro­ni­scher Identi­fi­zie­rungs­mittel und Vertrau­ens­dienste geschaffen.

Als EU-Verordnung ist diese unmit­telbar geltendes Recht in allen 28 EU-Mitglied­staaten sowie im Europäi­schen Wirtschaftsraum.

Bürostühle an einem Roundtable in einem Konferenzraum

Chancen & Risiken im Smart Metering

Beitrag von SRC zum Experten Round­table zu der Sicher­heits­per­spektive für Smart Metering

Am 22. August 2018 nahmen Dr. Deniz Ulucay und Dr. Jens Oberender, Senior Consultant bei SRC, am Experten Round­table in Köln teil. Sie wurde ausge­richtet vom eco – Verband der Inter­net­wirt­schaft und beschäf­tigte sich mit dem Thema  „Smart Energie: Nicht ohne mein „Smart Meter?“.

Zusam­men­ge­kommen waren Vertreter von Unter­nehmen, die mit der Umsetzung der Energie-Verordnung betraut sind. Liefe­ranten für Smart Meter Gateways waren ebenso vertreten wie Netzbe­treiber und Startups, etwa aus dem Bereich der Visua­li­sierung. In diesem Zusam­menhang leistete Dr. Oberender einen Impuls­beitrag. Ausgehend von den Erfah­rungen der Prüfstelle bei der Evaluation von Security Modules und Smart Meter Gateways, schildert der Senior Consultant Chancen und Risiken im Smart Metering. Mit einem risiko­ba­sierten Ansatz schil­derte er die voran­ge­gan­genen Aktivi­täten der Standar­di­sierer und zu nutzende Unter­neh­mens­chancen, aber auch deren Risiken.

Der vollständige Beitrag kann hier als PDF herun­ter­ge­laden werden. Für weitere Fragen zu diesem Thema stehen wir Ihnen gerne zur Verfügung.

Smart Energie

Smart Energie Experte von SRC bei Round­table in Köln

Am Mittwoch, den 22. August 2018, findet in Köln ein Experten-Round­table zum Thema Smart Energie statt. Ausge­richtet vom eco – Verband der Inter­net­wirt­schaft, zeichnen sich die Experten-Round­tables vor allem durch hohe Expertise, multi­dis­zi­plinäre Blick­winkel und hohe Diskus­si­ons­in­ten­sität aus.

Im August steht die Veran­staltung unter dem Motto „Smart Energie: Nicht ohne mein „Smart Meter?“ und vertieft unter anderem das vorher gegangene Round­table zu dem Thema „Smart Home“. Bereits seit vielen Jahren wird über das Smart Metering gesprochen, jedoch scheint die eigent­liche Entwicklung den damaligen Planungen und Prognosen weit hinterher zu hängen. In der am 22.08.2018 statt­fin­denden Exper­ten­runde soll nun über neue Rahmen­be­din­gungen, neue Ansätze und neue Erfolgs­fak­toren disku­tiert werden.

Dr. Jens Oberender ist Senior Consultant bei SRC. Sein Beitrag behandelt das Themen­feldeld „Sicherheit und Perspek­tiven des Smart Meters“. Dabei wird er erörtern, ob Smart Meters und ihre Umgebung als sicher betrachtet werden können. Dr. Jens Oberender greift dazu auf seine langjährige Erfahrung aus den Beratungs­pro­jekten rund um die Zerti­fi­zierung der Smart Meter Gateways zurück.

Cloud Security

SRC baut Kompe­tenzen in Cloud Security aus

Cloud Computing stellt hohe Anfor­de­rungen an die IT-Sicherheit

Cloud Computing ist längst zur Norma­lität geworden, und immer mehr Unter­nehmen lagern Teile ihrer Infra­struk­turen und Services in die Cloud aus, um flexibler agieren zu können.

Die Heraus­for­de­rungen an Sicherheit in der Cloud gehen jedoch über herkömm­liche IT-Sicher­heits-Anfor­de­rungen hinaus. So muss beispiels­weise technisch gewähr­leistet sein, dass nur befugte Personen auf die sensi­tiven Daten zugreifen können. Besondere Sorgfalt muss auf die Absicherung der Cloud-Management-Schnitt­stelle gelegt werden. Die organi­sa­to­risch größte Heraus­for­derung besteht in der Verteilung der Sicher­heits-Verant­wort­lich­keiten auf mehrere Parteien. Genau das muss auch bei der Gestaltung von Verträgen und bei der Erfüllung von Compliance-Vorgaben berück­sichtigt werden.

Fehler­hafte Konfi­gu­ration von Cloud­konten – Milli­arden Daten frei zugänglich im Netz

Wie brisant dieses Thema ist, zeigt auch ein kürzlicher Vorfall. Aufgrund von fehler­haften Konfi­gu­ra­tionen von Amazon Cloud Simple Storage Services (Amazon S3) Speicher­ein­heiten und Webservern landeten etliche vertrau­liche Dokumente frei für jeden zugänglich im Netz. Dazu gehörten u. a. Gehalts­ab­rech­nungen, vertrau­liche Patent­an­mel­dungen und geheime Baupläne für Produkte im Entwick­lungs­prozess. Aus dem Bericht der Sicher­heits­firma „Digital Shadows“ geht hervor, dass ca. 1,5 Milli­arden Daten im Netz gelandet seien. Gerade die vertrau­lichen Daten, wie z.B. interne Berichte, Fotos von Waren­häusern oder Rechen­zentren oder Auflis­tungen von Sicher­heits­lücken in firmen­in­terner Software, können von Angreifern für Hacker­an­griffe auf die Firma oder für Diebstähle missbraucht werden.

SRC-Mitar­beiter erwerben Certi­ficate of Cloud Security Knowledge

SRC begleitet seine Kunden bei diesen Heraus­for­de­rungen mit Kompetenz. Dazu haben mehrere Mitar­beiter das Certi­ficate of Cloud Security Knowledge (CCSK) der Cloud Security Alliance erworben.

Das CCSK ist das erste Zerti­fikat für Cloud-Sicherheit, das der weltweit führende Cloud-Sicher­heits-Anbieter, die Cloud Security Alliance, anbietet. Die Cloud Security Alliance ist eine Non-Profit-Organi­sation und entwi­ckelt – in Koope­ration mit ENISA – den anbie­ter­un­ab­hän­gigen Standard für Cloud Security. Durch den Erwerb des Zerti­fikats erlangten die SRC-Mitar­beiter die notwendige Breite und Tiefe an Wissen, um ganzheit­liche Cloud-Sicher­heits­pro­gramme zum Schutz sensibler Infor­ma­tionen entspre­chend weltweit anerkannter Standards zu imple­men­tieren.

International Common Criteria Conference

SRC hält Vortrag zu JTEMS auf der Inter­na­tional Common Criteria Confe­rence in Amsterdam

Vom 30. Oktober bis zum 01. November findet die 17. Inter­na­tional Common Criteria Confe­rence in Amsterdam statt. Die Inter­na­tional Common Criteria Confe­rence wird mit Unter­stützung des Common Criteria Anwen­der­forums (CCUF) präsen­tiert. Die CCUF bietet einen Sprach- und Kommu­ni­ka­ti­ons­kanal zwischen der CC-Community und den Organi­sa­ti­ons­ko­mitees der Common Criteria, den CCRA-Mitglieds­or­ga­ni­sa­tionen (nationale Programme) und den politi­schen Entschei­dungs­trägern.

SRC wird auch in diesem Jahr aktiv an der Konferenz teilnehmen. Im Rahmen eines Vortrags unseres Experten Sven-Martin Hühne mit demTitel “JTEMS – a Payment Scheme Independent Framework for POI Terminal specific Security Evalua­tions based on Common Criteria” wird das JTEMS Framework vorge­stellt und der aktuelle „Stand der Dinge“ erläutert. Der Vortrag behandelt die Vorteile einer auf CC basie­renden und Payment Scheme unabhän­gigen Evalu­ie­rungs- und Zerti­fi­zie­rungs­vor­ge­hens­weise für POI Terminals. Das Framework ist ein gelebtes Beispiel für die aktive Nutzung der CC Methode von inter­es­sierten Parteien aus der Privat­wirt­schaft (Deutsche Kredit­wirt­schaft und UK Finance bzw. Common.SECC). Dabei wird auch auf die Möglichkeit der Einbettung des JTEMS-Framework in aktuellen Diskus­sionen der EU Kommission für ein „European Security Certi­fi­cation Scheme“ einge­gangen.

In der Panel Diskussion „The Why and How of Using CC in Private Schemes“ werden diese Aspekte aus Sicht von Anwendern aus der europäi­schen Kredit­wirt­schaft von Regine Quent­meier im Austausch mit Vertretern anderer Wirtschafts­be­reiche erörtert.