SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW 03.12.2014
convisual AG BASISINFORMATIONEN Gegründet: Standorte: Mitarbeiter: 2000, seit Januar 2006 im Entry Standard an der Frankfurter Börse notiert Oberhausen, Frankfurt und Wien ca. 65 in Deutschland und Österreich PLAN BUILD RUN ANALYZE Die convisual AG ist Ihr zuverlässiger Partner für internationale digitale Businessprojekte dank mehr als 14 Jahren Projekt-Erfahrung in über 30 Ländern weltweit.
LEISTUNGSSPEKTRUM UND KUNDEN MOBILITY CLOUD SECURITY SAAS PRODUKTE Mobility Cloud Security SaaS- Produkte Lösungen und Produkte für Kunden in über 30 Ländern
PROJEKTBEISPIEL MCDONALDS QUICK MAC APP (ÖSTERREICH)
NICHT NUR EINE APP EIN BLICK HINTER DIE KULISSEN Mobility Virtualization/Cloud Security/Payment TLS
QUICK MAC DETAILS DIE SYSTEMARCHITEKTUR INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND
DIE GRUNDSÄTZE INFORMATIONSSICHERHEIT 1. VERTRAULICHKEIT Datenzugriff nur autorisiert 2. INTEGRITÄT Keine unerwünschte Veränderung der Daten 3. VERFÜGBARKEIT Datenzugriff innerhalb angemessener Zeit
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS 1. Kunde bezahlt, bekommt aber kein Produkt 2. Kunde bezahlt nicht (vollständig), bekommt aber das Produkt 3. Konto des Kunden wird übermäßig hoch belastet
DIE RETTUNG IN DER NOT DER TRUST ANCHOR
DIE RETTUNG IN DER NOT WO LIEGEN UNSERE ANKER? INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle: unsicherer Ablauf bei Produktübergabe ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems reproduzierbares Software-Problem ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle: System antwortet nicht mehr und provoziert Fehler im Ablauf ToDo: Abläufe geschickt programmieren und Entscheidungen absichern
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker Attacken
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker-Attacken: [Distributed] Denial of Service Attacken (DoS/DDoS): ToDo: Vermeidung von Unsicherheiten im Message-Flow Man in the Middle Attacken (MitM): ToDo: Sensible Daten immer vom Server abrufen bzw. am Server ablegen und diese validieren z.b. Payment-Token für wiederkehrende Bezahlung ToDo: Immer State-of-the-Art bei allen Datenübertragungen z.b. TLS 1.2 statt SSL 3.0
QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND
QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server TEST-BESTELLUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND
QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server AUTHENTIFIZIERUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND
QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity AUTORISIERUNG Quick Mac Server PIN Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server SMS/Voice PSP BACKEND
QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server BESTELLUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND
QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server RÜCKFRAGE Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server PSP BACKEND
QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET Quick Mac App mweb PayPal PayBox PayUnity Quick Mac Server BESTELLUNG Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server BUCHUNG PSP BACKEND
GELD GEGEN BURGER: WER ENTSCHEIDET? ABLAUF DER ZAHLUNG Quick Mac Server BESTELLUNG RÜCKFRAGE Bild/Produkt- Datenbank McDonald s Gateway 200 Restaurant-Server BUCHUNG PSP BACKEND
CHECKLISTE PAYMENT SECURITY Foolproof Ablauf bei der Produktübergabe Geeignete Trust Anchor definieren Durchdachter Message-Flow mit Payment-Providern State-of-the-Art Verschlüsselung bei allen Datenübertragungen Lasttests garantieren Systemstabilität
OWASP MOBILE SECURITY GUIDELINES REFERENZ FÜR ENTWICKLUNG UND TEST
WIR BERATEN. PRODUKTE. IN DIE CLOUD, UND ZWAR SICHER Peter Hofbauer, CSO peter.hofbauer@convisual.de +49 173 7285 032