Security of Internet Payments

Transkript

1 Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58

2 Überblick Einleitung - Worum geht es? European Forum on the Security of Retail Payments Recommendations for the Security of Internet Payments Inhalte der Recommendations Zusammenfassung BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 2

3 Worum geht es? Kunde, E-Händler und Zahlungsdienstleister Ware Händler- Webseite Händler Bank- Webseite Bank BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 3

4 Worum geht es? Angriffspunkte! Ware Händler- Webseite Händler Bank- Webseite Bank BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 4

5 European Forum on the Security of Internet Payments: Arbeitsweise auch: Secure Pay Forum Kooperation von Zahlungsverkehrs-Oversight und Aufsicht Ziel ist Sicherheit im elektronischen Retail-Zahlungsverkehr neutrale Position gegenüber Geschäftsmodellen Themen - Recommendations for the Security of Internet Payments( ) - Recommendations for Payment Account Access (Konsultation ) - Recommendations for Mobile Payments - BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 5

6 European Forum on the Security of Internet Payments: Beteiligte Institutionen BaFin (BA 58) Europol (beob.) Bundesbank Z EU- Komm. (beob.) EZB Vorsitz / Orga Bundes- bank B sonst. nat. ZV- Overs. sonst. nat. Bank- Aufs. BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 6

7 Recommendations for the Security of Internet Payments: der Fahrplan Entwurf durch SPF Konsultation durch EZB 2011/ Publikation durch EZB Nationale Umsetzung Aufsichtspraxis Rundschreiben ab vsstl. Februar 2014 Nach Konsultation BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 7

8 Recommendations for the Security of Internet Payments: bestehende Anforderungen gelten weiter Secure Pay MaRisk Datenschutz Sicherheits- Anforderungen Mindestanforderungen an das Risikomanagement einschlägig: AT 7.2, AT 7.3, AT 9 Dokumentation, Internes Kontrollsystem, Interne Revision sonstige, z.b. Datenschutz- Vorschriften BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 8

9 Inhalte der Recommendations: Konzeptioneller Überblick General control and security environment Customer awareness, education and communication Specific control and security measures for internet payments BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 9

10 Inhalte der Recommendations: Adressaten und Gliederungselemente Adressaten: Zahlungssysteme Zahlungsdienstleister Oversight Aufsicht auch: Anforderungen an Acquirer und mittelbar E-Händler 14 Recommendations = Abschnitte bestehend aus Key Considerations(KCs) = Anforderungen Best Practices (BPs) = Empfehlungen / Anmerkungen BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 10

11 Inhalte der Recommendations: Sensible Zahlungsdaten = Daten, die für Betrug genutzt werden können Nicht vergessen: Daten können auch aufgrund einer Risikoanalyse als sicherheitsrelevant bzw. sensibel gelten (MaRisk AT 7.2). Daten können auch aufgrund anderer gesetzlicher Anforderungen sensibel sein (z.b. personenbezogene Daten nach Datenschutzrecht). BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 11

12 Inhalte der Recommendations: Starke Verschlüsselung wissenschaftlich anerkannte kryptographische Methoden sichere Umsetzung in Hardware/Software dokumentiertes und gelebtes Krypto-Konzept BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 12

13 Inhalte der Recommendations: Starke Authentisierung (I) benutzt mindestens zwei Merkmale aus den Kategorien: etwas, das nur der Kunde weiß (z.b. Passwort, PIN) etwas, das nur der Kunde besitzt (z.b. Smart Card, Gerät) etwas, das der Kunde ist (biometrisches Merkmal) PIN BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 13

14 Inhalte der Recommendations: Starke Authentisierung (II) Die zwei Merkmale sind gegenseitig unabhängig. PIN PIN PIN Mindestens ein Merkmal kann nicht repliziert wiederverwendet über das Internet gestohlen werden. Schutz der Vertraulichkeit durch starke Verschlüsselung. BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 14

15 Inhalte der Recommendations: Gliederung der Recommendations (I) 1. Governance 2. Risk assessment 3. Incident monitoring and reporting 4. Risk control and mitigation Risikomanagement + Governance! BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 15

16 Inhalte der Recommendations: Gliederung der Recommendations (II) 5. Traceability 6. Initial customer identification, information 7. Strong customer authentication 8. Enrolment for and provision of authentication tools and/or software delivered to the customer 9. Log-in attempts, session time out, validity of authentication 10. Transaction monitoring 11. Protection of sensitive payment data Nachvollziehbarkeit und Authentizität BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 16

17 Inhalte der Recommendations: Gliederung der Recommendations (III) 10. Customer education and communication 11. Notifications, setting of limits 12.Customer access to information on the status of payment initiation and execution Einbeziehung des Kunden! BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 17

18 Zusammenfassung (I) Recommendations for the Security of Internet Payments Veröffentlicht 02/2013, wirksam ab 02/2015 Umsetzung in Deutschland: durch Zahlungsverkehrs-Oversight in ihrer Arbeitspraxis durch Rundschreiben der BaFin, nach Konsultation (2014) Governance + Risikomanagement Spezifische Sicherheitsmaßnahmen Einbeziehung des Kunden in die Sicherheitsmaßnahmen BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 18

19 Zusammenfassung (II): Recommendations decken wesentliche Aspekte von Sicherheit im Retail-ZV ab Governance und Risikomanagement Überwachung / Überprüfung / Dokumentation Kunde Daten- Sicherheit BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken Seite 19

20 Vielen Dank für die Aufmerksamkeit! Dr. Markus Held, BA 58,