Beiträge

EMVCo

SRC von EMVCo als SBMP-Evalu­ie­rungs­labor anerkannt

Mobile Payments: Von der Chipkarte auf das mobile Endgerät

Das Mobile Payment ist eine elektro­nische Zahlungsform unter Verwendung von mobilen Endge­räten, wie Mobil­te­le­fonen, Tablets oder Smart­watches. Dabei werden elektro­ma­gne­tische, also kontaktlose, Techniken zur Initi­ierung, Autori­sierung und Reali­sierung der Zahlung einge­setzt. Das macht die Sicherheit dieser Zahlungsform zu einer Heraus­for­derung.

EMVCo und das Software-Based Mobile Payment (SBMP) Programm

EMVCo, die den EMV-Standard definieren, weiter­ent­wi­ckeln und seine Implem­tierung prüfen, stellt sich dieser Heraus­for­de­rungen mit seinem neuen SBPM-Zulas­sungs­prozess. SBPM steht dabei für Software-Based Mobile Payment Evaluation Process. In dieser Evalu­ierung wird geprüft, ob die Sicher­heits­me­cha­nismen und Schutz­maß­nahmen einer Kompo­nente oder ‑Lösung das von EMVCo definierte  Mindest­si­cher­heits­ni­veaus aufweisen. Herstellern wird mit einem Sicher­heits­be­wer­tungs­zer­ti­fikat bescheinigt, dass ihre Produkte bekannten Angriffen stand­halten.

Mit dem SBPM-Zulas­sungs­prozess unter­stützt EMVCo die weltweite Sicherheit und Inter­ope­ra­bi­lität mobiler Zahlungs­vor­gänge. Das Angebot an Sicher­heits­be­wer­tungs­pro­zessen umfasste bisher Produkte für integrierte Schal­tungen (IC), Platt­formen und integrierte Schalt­kreise (ICC). EMVCo hat den Anwen­dungs­be­reich seiner Zulas­sungs­pro­zesse nun erstmalig auf Software-Kompo­nenten und ‑Lösungen für mobile Zahlungen erweitert.

EMVCo erkennt SRC als SBPM-Evalu­ie­rungs­labor an

SRC ist von EMVCo, neben den bereits vorhan­denen Anerken­nungen bei Mastercard und Visa als Security Lab/Gutachter für die Bewertung der Sicherheit von Software-Based Mobile Payment Lösungen und Kompo­nenten, anerkannt.

Hierbei führt SRC umfas­sende Prüfungen der Sicher­heits­me­cha­nismen einer Mobile Payment App oder deren Kompo­nenten durch. Dabei werden die umgesetzten Maßnahmen mit State-of-the-Art Methoden nach dem Stand der Technik, wie z.B. Reverse Engineering, Seiten­kanal- und Laufzeit­ana­lysen, unter­sucht sowie deren Widerstandsfähigkeit/Resistenz gegenüber Angreifern und zum Schutz vor Missbrauch bewertet.

Wenn Sie an weiteren Infor­ma­tionen zum Thema oder der Evalu­ierung Ihrer Zahlungs­lösung inter­es­siert sind, können Sie sich gerne an uns wenden.

CDCVM

CDCVM | SRC als Sicher­heits­gut­achter für CDCVM-Lösungen zugelassen

Bei jeder Zahlung muss die Identität des Bezah­lenden zweifelsfrei sicher­ge­stellt sein. Dazu fordern etablierte karten­ba­sierte Bezahl­ver­fahren den Bezah­lenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smart­phones imple­men­tierte Bezahl­systeme verlagern diese Prüfung vom Terminal des Händlers auf das Smart­phone des Bezah­lenden. Dabei kommen zunehmend biome­trische Verfahren, wie die Prüfung des Finger­ab­drucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Techno­logie.

Die Verei­nigung der inter­na­tio­nalen Zahlungs­systeme EMVCo treibt die Umsetzung von Standards für weltweite Inter­ope­ra­bi­lität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verifi­cation Method) – pdf auf Basis ihrer Sicher­heits­an­for­de­rungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richt­linien für Funktions- und Leistungs­ver­halten von biome­tri­schen Authen­ti­fi­zie­rungs­ver­fahren im Zahlungs­verkehr fest. So wird eine einheit­liche Benut­zer­er­fahrung und globale Inter­ope­ra­bi­lität gefördert.

Mit der langjäh­rigen Akkre­di­tierung bei EMVCo, MasterCard und VISA greift SRC auf einen umfang­reichen Erfah­rungs­schatz bei der Sicher­heits­be­gut­achtung von Bezahl­lö­sungen zurück. SRC unter­stützt selbst­ver­ständlich auch den neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen. Lösungs­an­bietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begut­achtung ihrer mobilen Software-Imple­men­tie­rungen zu nutzen und eine erfolg­reiche Zerti­fi­zierung bei EMVCo zu durch­laufen.

EMVCo-Zertifizierung

SRC’s ITSEF-Labor erhält eine erwei­terte EMVCo-Zerti­fi­zierung

Das zerti­fi­zierte Common Criteria Sicher­heits­labor von SRC wurde kürzlich durch eine weitere EMVCo-Zerti­fi­zierung berei­chert. Das SRC-Labor ist bereits seit langem für die Evalu­ierung von Hardware- und Software­aus­wer­tungen für Smart­cards und ähnliche Geräte durch das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) zugelassen. Nachdem SRC nun eine erfolg­reiche Evaluation von Chip-Hardware eines namen­haften und ebenfalls EMVCo zerti­fi­zierten Herstellers durch­ge­führt hat, bestä­tigte EMVCo nach einer Überprüfung der neuesten Erkennt­nisse, die im Rahmen eines IC-Sicher­heits­be­wer­tungs­pro­jektes bereit­ge­stellt wurden, die EMVCo-Zerti­fi­zierung des SRC Sicher­heits­labors als EMVCo Security Evaluation IC Labor, welches des Weiteren als solches nun auch auf der EMVCo-Webseite aufge­listet wird.

Weiter­füh­rende Infor­ma­tionen zu den für SRC durch EMVCo erfolgten Zerti­fi­zie­rungen erhalten Sie  hier.

Portfolio Einträge