Beiträge

EMVCo

SRC von EMVCo als SBMP-Evalu­ie­rungs­labor anerkannt

Mobile Payments: Von der Chipkarte auf das mobile Endgerät

Das Mobile Payment ist eine elektro­nische Zahlungsform unter Verwendung von mobilen Endge­räten, wie Mobil­te­le­fonen, Tablets oder Smart­watches. Dabei werden elektro­ma­gne­tische, also kontaktlose, Techniken zur Initi­ierung, Autori­sierung und Reali­sierung der Zahlung einge­setzt. Das macht die Sicherheit dieser Zahlungsform zu einer Heraus­for­derung.

EMVCo und das Software-Based Mobile Payment (SBMP) Programm

EMVCo, die den EMV-Standard definieren, weiter­ent­wi­ckeln und seine Implem­tierung prüfen, stellt sich dieser Heraus­for­de­rungen mit seinem neuen SBPM-Zulas­sungs­prozess. SBPM steht dabei für Software-Based Mobile Payment Evaluation Process. In dieser Evalu­ierung wird geprüft, ob die Sicher­heits­me­cha­nismen und Schutz­maß­nahmen einer Kompo­nente oder ‑Lösung das von EMVCo definierte  Mindest­si­cher­heits­ni­veaus aufweisen. Herstellern wird mit einem Sicher­heits­be­wer­tungs­zer­ti­fikat bescheinigt, dass ihre Produkte bekannten Angriffen stand­halten.

Mit dem SBPM-Zulas­sungs­prozess unter­stützt EMVCo die weltweite Sicherheit und Inter­ope­ra­bi­lität mobiler Zahlungs­vor­gänge. Das Angebot an Sicher­heits­be­wer­tungs­pro­zessen umfasste bisher Produkte für integrierte Schal­tungen (IC), Platt­formen und integrierte Schalt­kreise (ICC). EMVCo hat den Anwen­dungs­be­reich seiner Zulas­sungs­pro­zesse nun erstmalig auf Software-Kompo­nenten und ‑Lösungen für mobile Zahlungen erweitert.

EMVCo erkennt SRC als SBPM-Evalu­ie­rungs­labor an

SRC ist von EMVCo, neben den bereits vorhan­denen Anerken­nungen bei Mastercard und Visa als Security Lab/Gutachter für die Bewertung der Sicherheit von Software-Based Mobile Payment Lösungen und Kompo­nenten, anerkannt.

Hierbei führt SRC umfas­sende Prüfungen der Sicher­heits­me­cha­nismen einer Mobile Payment App oder deren Kompo­nenten durch. Dabei werden die umgesetzten Maßnahmen mit State-of-the-Art Methoden nach dem Stand der Technik, wie z.B. Reverse Engineering, Seiten­kanal- und Laufzeit­ana­lysen, unter­sucht sowie deren Widerstandsfähigkeit/Resistenz gegenüber Angreifern und zum Schutz vor Missbrauch bewertet.

Wenn Sie an weiteren Infor­ma­tionen zum Thema oder der Evalu­ierung Ihrer Zahlungs­lösung inter­es­siert sind, können Sie sich gerne an uns wenden.

CDCVM

CDCVM | SRC als Sicher­heits­gut­achter für CDCVM-Lösungen zugelassen

Bei jeder Zahlung muss die Identität des Bezah­lenden zweifelsfrei sicher­ge­stellt sein. Dazu fordern etablierte karten­ba­sierte Bezahl­ver­fahren den Bezah­lenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smart­phones imple­men­tierte Bezahl­systeme verlagern diese Prüfung vom Terminal des Händlers auf das Smart­phone des Bezah­lenden. Dabei kommen zunehmend biome­trische Verfahren, wie die Prüfung des Finger­ab­drucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Techno­logie.

Die Verei­nigung der inter­na­tio­nalen Zahlungs­systeme EMVCo treibt die Umsetzung von Standards für weltweite Inter­ope­ra­bi­lität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verifi­cation Method) – pdf auf Basis ihrer Sicher­heits­an­for­de­rungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richt­linien für Funktions- und Leistungs­ver­halten von biome­tri­schen Authen­ti­fi­zie­rungs­ver­fahren im Zahlungs­verkehr fest. So wird eine einheit­liche Benut­zer­er­fahrung und globale Inter­ope­ra­bi­lität gefördert.

Mit der langjäh­rigen Akkre­di­tierung bei EMVCo, MasterCard und VISA greift SRC auf einen umfang­reichen Erfah­rungs­schatz bei der Sicher­heits­be­gut­achtung von Bezahl­lö­sungen zurück. SRC unter­stützt selbst­ver­ständlich auch den neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen. Lösungs­an­bietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begut­achtung ihrer mobilen Software-Imple­men­tie­rungen zu nutzen und eine erfolg­reiche Zerti­fi­zierung bei EMVCo zu durch­laufen.

CSCUBS 2018

SRC liefert Studie­renden Einblick in spannende Projekte im Rahmen der CSCUBS 2018

Die 5th Computer Science Confe­rence for University of Bonn Students im Rückblick

Die CSCUBS 2018 fand am 16. Mai in den Räumlich­keiten der Univer­sität Bonn statt.Organisiert wurde die Veran­staltung von Dokto­randen und MSc-Studenten und hatte zum Ziel, die Forschung in der Infor­matik und den wissen­schaft­lichen Austausch unter den Studie­renden zu fördern. Die Betei­ligung von Forschern und Praktikern wurde ebenfalls gefördert. Die Studie­renden hatten zudem die Möglichkeit eigene Beiträge einzu­reichen, die neue Forschungs- oder Entwick­lungs­ar­beiten im Zusam­menhang mit der Infor­matik beschreiben. Dazu gehörten auch Univer­si­täts­pro­jekte, Disser­ta­tionen und Ergeb­nisse anderer Berufs- oder Freizeit­ak­ti­vi­täten. Darüber hinaus hielten, abgesehen von den Sponsor­firmen, auch die Studenten selbst Vorträge.

SRC Mitar­beiter liefert Studie­renden Einblick in spannende Projekte

Auch Max Hettrich von SRC berichtete in einem Vortrag über die Tätig­keits­felder der Firma. Der Fokus lag dabei auf dem Thema „Payment Evolving“. Dabei geht es darum, die „Girocard ins Handy zu bringen“. Inter­essant ist dabei vor allem, wie die Sicher­heits­eva­lu­ierung für die Zahlungs­karten bisher aussieht und welche neuen Heraus­for­de­rungen sich nun in Zukunft fürs mobile Bezahlen ergeben. So wird bei der Sicher­heits­eva­lu­ierung von Smart­phone-basierten Lösungen Reverse Engineeing der verwen­deten Appli­ka­tionen eine zentrale Rolle spielen. Dabei versetzt sich der Prüfer in die Rolle eines Angreifes, und versucht, Wege zu finden um die Zahlungs­ap­pli­kation zu kompro­mit­tieren. Dies ist ein zentraler Baustein um die Wirksamkeit der imple­men­tierten Schutz­me­cha­nismen bewerten zu können. Wo in der Vergan­genheit vor allem die Prüfstelle der SRC die Sicherheit von Zahlungs­karten evaluiert hat, wird in Zukunft auch die Abteilung für Penetration Testing ihre Expertise bei der Bewertung von mobilen Lösungen einbringen.

Darüber hinaus beinhaltete der Vortrag auch allge­meinere Themen, wie z.B. die Tätig­keits­felder und Arbeits­at­mo­sphäre der SRC. Aus dem Kernge­schäft der Zahlungs­karten entstanden über die vielen Jahre, die SRC bereits besteht, auch eine Vielzahl weitere Geschäfts­felder. Es wurde außerdem darauf einge­gangen, was SRC als Arbeit­geber besonders macht und welche Quali­täten SRC liefert.

Fazit und Eindrücke aus Sicht der SRC

Der hohe Anteil inter­na­tio­naler Studie­render, die aktive Betei­ligung an der Veran­staltung und die durch­gängig eigen­ständige Organi­sation der CSCUBS beein­druckten uns nachhaltig“, so Jochen Schumacher von SRC. Das BSI, BC Techno­logies und SRC beglei­teten die CSCUBS 2018 mit Vorträgen. Besonders freute uns, dass der Praxis-Beitrag von SRC Stoff für eine ergiebige Diskussion lieferte. Die Sicherheit des modernen Zahlungs­ver­kehrs ist ein Thema, dass auch die Studie­renden bewegt. Das belegten die vielen gehalt­vollen Gespräche im Plenum und der persön­liche Austausch am eigens einge­rich­teten Stand von SRCDie CSCUBS 2018 war eine überaus gelungene und infor­mative Veran­staltung. SRC freut sich auf die Neuauflage 2019.

Bildquelle: https://twitter.com/CSCUBS_Bonn