Sicherheitsgutachten für Zahlungssystemkomponenten

SRC ist ein durch Die Deutsche Kreditwirtschaft, MasterCard, Visa und JCB anerkannter Sicherheitsgutachter für Zahlungssystemkomponenten.

Mit seinen Sicherheitsgutachten unterstützt SRC Chipkartenhersteller, Terminalhersteller, Hersteller von Sicherheitsmodulen und Netzbetreiber beim Nachweis der an sie gestellten Sicherheitsanforderungen.

Unsere Kompetenz

Für Komponenten zum Einsatz in elektronischen Zahlungssystemen der deutschen Kreditwirtschaft hat die Deutsche Kreditwirtschaft (DK) einen Kriterienkatalog definiert. SRC ist als Gutachter für die Sicherheit von elektronischen Zahlungssystemen bei der DK akkreditiert. Mitarbeiter von SRC haben umfangreiche Erfahrung in der Sicherheitsuntersuchung von Zahlungssystem-Komponenten unter Beachtung der Anforderungen an Form und Inhalt von DK-Sicherheitsgutachten. Aufgrund der genauen Kenntnis aller Aspekte des DK-Zulassungsverfahrens deckt SRC nicht allein Schwachstellen auf, sondern führt seine Kunden erfolgreich zum Ziel: der termingerechten DK-Zulassung seiner Komponente.

Neben dem nationalen Kriterienwerk der DK verfügt SRC über umfangreiche Kenntnisse weiterer Kriterienwerke im Umfeld internationaler Zahlungssysteme wie z.B. der Payment Card Industry (PCI). Gutachten entsprechend der Anforderungen für PIN Entry Devices (PED) oder Encrypting PIN Pads (EPP) führt SRC durch und berät im Vorfeld der Entwicklung. Grundsätzlich besteht die Möglichkeit die Begutachtungsprozesse für nationale und internationale Zulassungen zu kombinieren, so dass sich für den Hersteller Synergieeffekte ergeben. SRC kann die DK-Begutachtung in einer Form durchführen, dass die Ergebnisse auch für eine internationale Zulassung verwendet werden können.

Der Nachweis der Sicherheit der Kommunikationsschnittstelle bei sogenannten IP enabled Terminals führt SRC als zugelassener Gutachter bei MasterCard im Rahmen des Programms PTS (Payment Terminal Security) durch.

Innerhalb des Zahlungsverkehrsstandards EMV wurde aus der Perspektive der Karte die sog. Common Payment Application (CPA) als gemeinsame Grundlage für eine Zahlungsverkehrsanwendung entwickelt, die von den großen Zahlungssystemen für chipbasierte Transaktionen unterstützt wird. Vor der Zulassung einer Chipkartenanwenung muss neben einem Funktionstest eine Sicherheitsbegutachtung gemäß der Regularien von EMVCo durchgeführt werden. SRC ist bei EMVCo hierfür als Gutachter zugelassen. Selbstverständlich ergeben sich auch hier Synergien etwa im Zusammenhang mit der Zulassung einer SECCOS Karte durch die DK.

Unser Angebot

SRC begutachtet die Sicherheit von Komponenten und Systemen, die in elektronischen Zahlungssystemen eingesetzt werden. Hierzu gehören

• Unterstützung der gängigen Prüfstandards
• Hard- und Software für Terminals und Sicherheitsmodule,
• Systemkonzepte, kryptographische Verfahren und Protokolle,
• Betriebssysteme und Anwendungen von Chipkarten,
• Sicherheit der verwendeten Halbleiter (u.a. Prüfung der Resistenz gegenüber Side-Channel-Attacken, wie z. B. Simple Power Analysis SPA und Differential Power Analysis DPA, oder Fault-Injection-Attacken z. B. durch Laser-Beschuss),
• Organisatorische Maßnahmen während der Entwicklung, der Produktion und dem Betrieb von sicherheitssensitiven Komponenten.

SRC bietet bei Neudefinition von Zulassungsgegenständen durch Die Deutsche Kreditwirtschaft zeitnah Sicherheitsuntersuchungen an, z.B. für EMV Debit/Credit POS-Terminals. SRC unterstützt den Hersteller und Netzbetreiber während des gesamten DK-Zulassungsverfahrens, also von der Registrierung bei der Zulassungsstelle der DK bis zur Vorstellung des Sicherheitsgutachtens beim DK-Arbeitsstab für Sicherheitsfragen und –strategien in Berlin.

Exemplarisch beschreibt die Sicherheitsuntersuchung einer SBOX im Auftrag eines europäischen electronic cash Netzbetreibers die Vorgehensweise der SRC.