SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW

Größe: px

Ab Seite anzeigen:

Download "SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW 03.12.2014"

Gesche Wetzel
vor 8 Jahren
Abrufe

1 SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW

convisual AG BASISINFORMATIONEN Gegründet: Standorte: Mitarbeiter: 2000, seit Januar 2006 im Entry Standard an der Frankfurter Börse notiert Oberhausen, Frankfurt und Wien ca.

2 convisual AG BASISINFORMATIONEN Gegründet: Standorte: Mitarbeiter: 2000, seit Januar 2006 im Entry Standard an der Frankfurter Börse notiert Oberhausen, Frankfurt und Wien ca. 65 in Deutschland und Österreich PLAN BUILD RUN ANALYZE Die convisual AG ist Ihr zuverlässiger Partner für internationale digitale Businessprojekte dank mehr als 14 Jahren Projekt-Erfahrung in über 30 Ländern weltweit.

65 in Deutschland und Österreich PLAN BUILD RUN ANALYZE Die convisual AG ist Ihr zuverlässiger

3 LEISTUNGSSPEKTRUM UND KUNDEN MOBILITY CLOUD SECURITY SAAS PRODUKTE Mobility Cloud Security SaaS- Produkte Lösungen und Produkte für Kunden in über 30 Ländern

4 PROJEKTBEISPIEL MCDONALDS QUICK MAC APP (ÖSTERREICH)

5 NICHT NUR EINE APP EIN BLICK HINTER DIE KULISSEN Mobility Virtualization/Cloud Security/Payment TLS

6 QUICK MAC DETAILS DIE SYSTEMARCHITEKTUR INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND

7 DIE GRUNDSÄTZE INFORMATIONSSICHERHEIT 1. VERTRAULICHKEIT Datenzugriff nur autorisiert 2. INTEGRITÄT Keine unerwünschte Veränderung der Daten 3. VERFÜGBARKEIT Datenzugriff innerhalb angemessener Zeit

8 TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS 1. Kunde bezahlt, bekommt aber kein Produkt 2. Kunde bezahlt nicht (vollständig), bekommt aber das Produkt 3. Konto des Kunden wird übermäßig hoch belastet

9 DIE RETTUNG IN DER NOT DER TRUST ANCHOR

10 DIE RETTUNG IN DER NOT WO LIEGEN UNSERE ANKER? INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND

11 TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle

12 TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle: unsicherer Ablauf bei Produktübergabe ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems reproduzierbares Software-Problem ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates

Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems

13 TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle

14 TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle: System antwortet nicht mehr und provoziert Fehler im Ablauf ToDo: Abläufe geschickt programmieren und Entscheidungen absichern

antwortet nicht mehr und provoziert Fehler im Ablauf

15 TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker Attacken

16 TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker-Attacken: [Distributed] Denial of Service Attacken (DoS/DDoS): ToDo: Vermeidung von Unsicherheiten im Message-Flow Man in the Middle Attacken (MitM): ToDo: Sensible Daten immer vom Server abrufen bzw. am Server ablegen und diese validieren z.b. Payment-Token für wiederkehrende Bezahlung ToDo: Immer State-of-the-Art bei allen Datenübertragungen z.b. TLS 1.2 statt SSL 3.0

17 QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND

18 QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server TEST-BESTELLUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND

19 QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server AUTHENTIFIZIERUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND

20 QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity AUTORISIERUNG Quick Mac Server PIN Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server SMS/Voice PSP BACKEND

Quick Mac Server PIN Bild/Produkt- Datenbank

21 QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server BESTELLUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND

22 QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server RÜCKFRAGE Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND

23 QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server BESTELLUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server BUCHUNG PSP BACKEND

24 GELD GEGEN BURGER: WER ENTSCHEIDET? ABLAUF DER ZAHLUNG Quick Mac Server BESTELLUNG RÜCKFRAGE Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server BUCHUNG PSP BACKEND

25 CHECKLISTE PAYMENT SECURITY Foolproof Ablauf bei der Produktübergabe Geeignete Trust Anchor definieren Durchdachter Message-Flow mit Payment-Providern State-of-the-Art Verschlüsselung bei allen Datenübertragungen Lasttests garantieren Systemstabilität

26 OWASP MOBILE SECURITY GUIDELINES REFERENZ FÜR ENTWICKLUNG UND TEST

27 WIR BERATEN. PRODUKTE. IN DIE CLOUD, UND ZWAR SICHER Peter Hofbauer, CSO

Ähnliche Dokumente

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Secure Mail der Sparkasse Holstein - Kundenleitfaden - Secure Mail der Sparkasse - Kundenleitfaden - Webmail Interface - Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie