• Save
Sicherung von E-Commerce Kreditkartentransaktionen
Upcoming SlideShare
Loading in...5
×
 

Sicherung von E-Commerce Kreditkartentransaktionen

on

  • 524 views

Talk given at the E-Commerce conference on March 29, 2012.

Talk given at the E-Commerce conference on March 29, 2012.

Statistics

Views

Total Views
524
Views on SlideShare
524
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Sicherung von E-Commerce Kreditkartentransaktionen Sicherung von E-Commerce Kreditkartentransaktionen Presentation Transcript

  • 1Sicherung vonE-Commerce KreditkartentransaktionenDr. Thomas FromherzE-Commerce Konferenz 2012, Zürich29. März 2012
  • 2Agenda E-Commerce Kreditkartenzahlungen heute Betrüger mit Business Plan … und andere Herausforderungen Evolutionsskizze für sichere Kreditkartenzahlungen
  • 3Netcetera AG 3-D Secure Hosted Services seit 2003  Viseca Card Services  Swisscard  Paylife, Österreich  Cetrel, Luxemburg > 1 Mio aktive Karten
  • 4Sichere Kreditkartenzahlungen im E-CommercePositive Trend für Verkauf & Sicherheit 3-D Secure (3DS) ist Standard bei Kartenzahlungen im E-Commerce  Wegen Haftungsumkehr starke Reduktion von Fraud-Ausfällen bei Händlern (mehr und mehr «3DS-only» Händler)  Bei Issuer signifikante Abnahme von CNP-Betrug (Card not present) (3DS) Wachstum geht weiter: E-Commerce / M-Commerce
  • 5E-Commerce  M-Commerce 2011 Total retail B2C commerce 2015 Total retail B2C commerce +40% +10% +2% Mobile eCommerce Mobile eCommerce CAGR
  • 6Friede, Freude, Eierkuchen?
  • 7Betrüger wegen Anerkennung  Slide mit freundlicher Genehmigung von Toralv Dirro, McAfee Labs
  • 8Betrüger mit MBAs  Slide mit freundlicher Genehmigung von Toralv Dirro, McAfee Labs
  • 9Anatomie des E-Commerce BetrugsgeschäftsVereinfacht dargestellt Malware- und Betrugsgeschäft ist normales Geschäft inkl. Marktplatz, Malware-Massenware, Übernahme, usw. «Low-hanging Fruits»  Händler ohne Schutz  Karten (Issuer) ohne Schutz  Karten (Issuer) mit statischem Passwort  Logischer nächster Schritt: mobile Plattformen
  • 10Händler und Kunden klagen. Warum? Sichere 3DS-Anmeldung mit sicheren Registrierungsdaten
  • 11Fazit Betrug bleibt nicht stehen Nächster Schritt zur Sicherheit tut Not Nutzerfreundlichkeit noch nicht das Gelbe vom Ei Vor allem beim M-Commerce  Nicht nur 3DS Passwort ein Problem  Sondern auch Kreditkartennummer Was tun?
  • 12Stärkere AuthentisierungLösung scheint schnell gefunden 2-Faktor Authentisierung?  In der Schweiz seit langem etabliert
  • 132-Faktor-Authentisierung
  • 142-Faktor-Authentisierung
  • 15Und, mTAN bei M-Commerce?
  • 16Stärkere Authentisierung
  • 17Was ist denn die eigentliche Frage? Soll ich die Zahlung zulassen? «Es kommt drauf an»Beispiel: «Wann muss ich am Flughafen sein?» Situation 1: Treffe Schwiegermutter mit Zwischenstopp Situation 2: Treffe Kollegen auf Trip nach Mallorca Situation 3: Internationalen Flug zum Interview für Traumjob Risikoabwägung Kompromiss: Bequemlichkeit – Sicherheit
  • 18Risikobasierte Authentisierung!Akzeptieren: Keine absolute Sicherheit (mehr)  flexible AnsätzeGenerell: Bedarf für Bedrohungsmodell Welche Bedrohungen bestehen Welche lösen wir mit Massnahmen Welche lösen wir nicht Und warum ist das ok
  • 19Risikobasierte Lösung Risikoprüfung Entscheidungsfluss Ausnahmen Laufende Analysen  Risk Score  Business Rules  Case Management Zulassen Unklar Risiko Weitere Prüfung Massnahmen Nachbearbeitung Stop
  • 20Transaktionskontext liefert Input für RisikoaussageOrt Device Aktion Kontinuität Ist der Ort  Was für ein  Was versucht  Vergleich mit grundsätzlich Device? der Kunde zu vergangenen verdächtig?  Hat der Kunde tun? Aktionen War der Kunde es schon  Ist die Aktion  Ist dies eine schon mal vorher grundsätzlich normale Zeit hier? benutzt? riskant? für den Wo war er  Hat es seit der  Hat er schon Kunden? kürzlich? letzten ähnliches  Ist die Nutzung vorher Frequenz der geändert? gemacht? Einkäufe abnormal?
  • 21Mögliche RisikoregelnGeo-Location Nutzer-Regeln Länderliste-Lookup  Unbekannter Nutzer Schwarze Länderliste  User Velocity Zone-Hopping  Nutzer-Ausnahmen-CheckIP-Regeln E-Commerce Regeln IP-Velocity  Betrags-Check Zuverlässige IPs  Betrags-Händler-Velocity Schwarze IP-Liste  IP-Händler-VelocityDevice-Regeln  MCC-Lookup Device-Fingerabdruck  Händler-Region-Lookup Device-Velocity Neues Device
  • 22Risikobasiert angepasste Authentisierung Risikoprüfung Entscheidungsfluss Ausnahmen Laufende Analysen  Risk Score  Business Rules  Case Management Keine Tiefes Authentisierung, Risiko Normale Authentisierung (3 Optouts, dyn. Passwort) Gesteigerte Risiko Authentisierung Prüfung (0 Optouts, 3DS Passwort) Stop (Anruf im Nachbearbeitung Call Center)
  • 23Am Beispiel von Produkt  Für 3-D Secure System des Issuers  Für Acquirer/Merchant, unabhängig von 3-D Secure Zahlungen  Für Schutz von Online Portalen (Login, geschützte Geschäftsfälle)  Übrigens, Device als Token für 2-Faktor Authentisierungs: DeviceDNA
  • 24Zum Mitnehmen Intelligente, M-Commerce-fähige Lösungen für dynamisches Passwort gefragt: Software Token? Anheben der Authentisierung reicht aber nicht Keine absolute Sicherheit möglich Risikomodell und risikobasierte Authentisierungs- methoden bieten mächtige Erweiterungsmöglichkeiten und versprechen gesteigerte Nutzerfreundlichkeit