Sicherheit bei Internet- Kreditkartentransaktionen

Transkript

1 Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung der Programme MasterCard SDP und Visa AIS Integrierte Vorgehensweise von SRC Komponenten! Fragebogen!! Onsite-Audit Anforderungen an Scan Live-Scan Kritische Bewertung: Nutzen und Grenzen Onsite-Audit Anforderungen und Vorgehensweise Beispiele:! Remote-Access! WLANs Erfahrungsberichte Seite 2

2 Über SRC.. Seite 3 Firmenprofil SRC Gründung: August 2000, operativ seit Mitarbeiter: 40 Firmensitz: Bonn (Zentrale) Wiesbaden (Niederlassung) Seite 4

3 Gesellschafter MABG Seite 5 Unser Selbstverständnis Ein Thema: Sichere Systeme Unabhängigkeit Kunden- und Projektorientierung Hohe Fachkompetenz der Mitarbeiter Internationalität Seite 6

4 Themen Payment Systeme und Chipkarten Elektronische Geschäftsprozesse und PKI Common Criteria- Evaluationen Bedrohungsund Risikoanalysen/ Sicherheitskonzepte ZKA- Gutachten SRC Academy Netzwerksicherheit (Audit und Penetration) Software- Entwicklung Seite 7 Problem der Kreditkartenzahlung Sinkende Akzeptanz Imageschäden Kartenmissbrauch Credit Card Compromises Penalties Re-Issuing Kosten Seite 9

5 Ursachen des Kartenmissbrauchs Hacker Payment Service Provider Viren Trojaner Kreditkartendaten Kreditkartendaten Kunde WebShop AIS / SDP Phishing Fake-Seite Seite 10 Ursachen Unzureichende Sicherheit in! Shopsystemen Schlechte Programmierung Fehlende Datenverschlüsselung! Payment Gateways! Unachtsamkeit der Karteninhaber Insbesondere Phishing Seite 11

6 Überblick MasterCard Site Data Protection Programme Seite 12 SDP Anforderungen Self Assessment mittels Questionnaire! alle electronic commerce-händler! alle TPPs, PSPs, DSEs! 1 x im Jahr /Offsite-Penetration! TPPs, PSPs, DSEs und electronic commerce-händler mit egdv < $ und #Transaktionen pro Monat < 1000! 1 x im Jahr /Offsite-Penetration! TPPs, PSPs, DSEs und electronic commerce-händler mit egdv > $ oder #Transaktionen pro Monat > 1000! 4 x im Jahr Seite 13

7 AIS Anforderungen Self-Assessment Questionnaire, Level 1! alle electronic commerce-händler, 1 x pro Jahr! für Händler bis zu 5000 TpM (Transaktionen pro Monat) ist das Programm abgeschlossen /Vulnerability Testing, Level 2! für electronic commerce-händler mit 5000 bis TpM oder mehr als TpM und Risk Score low oder medium! 1 x pro Jahr Onsite Audit, Level 3! für alle PSPs verbindlich! für Händler mit mehr als TpM und Risk Score high! Wiederholung: alle 2 Jahre Seite 14 Übersicht SDP/AIS High risk Large Merchant/ PSP/DSE egdv > $ oder #TpM > 1000, PSP/DSE > TpM und Risikobewertung high, PSP/DSE Self-Assessment + (4 x pro Jahr) + Onsite Audit (alle 2 Jahre) Large Merchant egdv > $ oder #TpM > 1000 ( TpM) oder (#TpM > und Risikobewertung low/med ) Self-Assessment + (4 x pro Jahr) Small Merchant egdv <= $ und #TpM <= 1000 ( TpM) oder (#TpM > und Risikobewertung low/med ) Self-Assessment + (1 x pro Jahr) Visa only #TpM < 5000 Self-Assessment egdv: e-commerce Umsatz pro Monat TpM: Transaktionen pro Monat Seite 15

8 SRC Services Bereitstellung des Questionnaires (DE/EN) mit automatisierter Auswertung und Bestimmung des Risk Exposures (für Visa) Unterstützung der Händler/MSPs/PSPs/DSEs per Telefon/ /FAQ bei technischen Rückfragen Vorbereitung und Durchführung der Penetrationstests und Auswertung/Qualitätssicherung durch Spezialisten Durchführung der Onsite Audits (für Visa) Option für PSPs und Händler: Beratung und Unterstützung der Händler/MSPs/PSPs/DSEs bei Aufbau einer nachweisbar sicheren electronic commerce Umgebung Seite 16 Beispiel Jahr Monat Aktivität Händler groß mit high risk Händler groß Händler klein Januar, On-Site Audit April Juli Oktober Januar April Juli Oktober 2006 Januar, On-Site Audit 1 : Kleine Händler, für die die Umsetzung verpflichtend ist gemäß MasterCard Seite 17

9 Self-Assessment Nutzung des SRC Online-Questionnaires Automatische Auswertung bei SRC mit Ergebnis Risk Exposure Fragen zu verschiedenen Kategorien! Sicherheitsmanagement! Zugriffskontrolle! Anwendungs- und Systementwicklung! Netzwerksicherheit! Physikalische Sicherheit Kosten:! 75,- inkl. ½ Stunde Beratung Seite 18 Anforderungen an den Scan! Möglichst genaue Ergebnisse! Keine Beeinflussung der Zielsysteme Tip an die Kunden! Systeme aktuell halten! Seite 19

10 Aufwand:! Aufwand Scan: ca. 1 Tag (bis zu 3 IP-Adressen)! Aufwand Report: ca. 1 Tag Erfolg nicht garantiert!! SRC unterstützt bei Erreichung der Compliance Kosten:! Ca ,- (1 x im Jahr) bzw.! Ca ,- (4 x im Jahr)! inkl. 1,5 bzw. 2 Stunden Beratung Seite 20 Onsite Audit Anforderungen an das OnSite-Audit! Gewinnung eines Gesamteindrucks! Überprüfung des ISMS des Kunden Sicherheitspolitik Eskalationswege! Sorgfältiger Umgang mit Kartendaten z.b. Datenvernichtung! Vertrauenswürdigkeit der Mitarbeiter Einstellungsprozess polizeiliche Führungszeugnisse Seite 21

11 Onsite Audit Aufwand:! ca. 2 Tage vor Ort! ca. 2 Tage Zusammenfassung und Bericht SRC unterstützt bei Aufbau eines ISMS SRC unterstützt bei Erreichung der Compliance Kosten! Ca ,- für 2 Jahre Seite 22 Erfahrungen mit AIS/SDP Anzahl aller Kunden: 823 Davon Anzahl Händler: 765 Davon Anzahl PSPs: 43 Anzahl Kunden AIS Compliant: 54 Anzahl Kunden SDP Compliant: 24 Anzahl Kunden AIS NICHT Compliant: 176 Anzahl Kunden SDP NICHT Compliant: 200 Anzahl Kunden die kein AIS brauchen: 591 Anzahl Kunden die kein SDP brauchen: 597 Anzahl der Fragebögen, die beantwortet werden müssten: 235 Anzahl s (1x), die durchgeführt werden müssten: 149 Anzahl s (4x), die durchgeführt werden müssten: 78 Anzahl Onsite Audits, die durchgeführt werden müssten: 43 Seite 23

12 Nutzen von SRC SRC ist ein sehr erfahrener Partner für! Zahlungsverkehr! IT-Sicherheit SRC ist akkreditiert:! VISA Account Information Security Assessor! MasterCard Security Vendor für SDP! Bundesamt für Sicherheit in der Informationstechnik (BSI) Gutachter für Common Criteria (ISO 15408) 2 lizenzierte IT-Grundschutzauditoren! ZKA für Sicherheitsuntersuchungen im Zahlungsverkehr! MasterCard CAST Zulassung für Chipkarten-Sicherheit Seite 24 Nutzen von SRC Full Service Provider, d.h. ein Ansprechpartner für! Acquirer! MSPs/PSPs/DSEs! Merchants! MasterCard International! Visa International Seite 25

13 Kontakt SRC Security Research & Consulting GmbH Graurheindorfer Str. 149a Bonn Tel. +49-(0) Fax: +49-(0) WWW: Seite 26