Zertifiziert und sicher in die digitale Zukunft
Zunehmende Akzeptanz digitaler Zahlungen und neuer Bezahlmethoden benötigen sichere Zahlungssysteme
Für Finanzinstitute und Banken hat das Thema sichere Zahlungssysteme eine besonders hohe Priorität. Die Akzeptanz digitaler Zahlungen durch Kunden nimmt zu und hat insbesondere durch die Covid-19-Pandemie eine rasante Beschleunigung erfahren. Mit der wachsenden Digitalisierung betritt die Payment-Industrie eine neue Ära und ein neuer Zahlungsmix ist entstanden. Neben dem traditionellen Bargeld und Debit- sowie Kreditkarten ergänzen Mobile Payment, Sofortzahlungen und eWallet-Lösungen die Zahlungsmethoden der Verbraucher. Dieser neue Zahlungsmix fordert sichere Zahlungssysteme, denn gerade während der Pandemie sind Vorfälle von Cyberkriminalität wie Phishing und Betrügereien sprunghaft gestiegen.
Durch die zunehmende Nutzung digitaler Finanzdienstleistungen und des E-Commerce sind Cyberkriminelle heute in der Lage, eine viel größere Anzahl von Nutzern und Online-Konten durch Social-Engineering-Angriffe ins Visier zu nehmen.
Angesichts der schwerwiegenden Folgen solcher Sicherheitsverletzungen ist es von entscheidender Bedeutung, auf zuverlässige und bewährte kryptografische Cybersicherheitslösungen zu setzen, um Zahlungssysteme zu schützen. Zudem müssen alle Akteure in der Banken- und Finanzdienstleistungsbranche sehr anspruchsvolle IT-Compliance-Anforderungen und -Vorschriften erfüllen.
„Bis 2027 werden bargeldlose Transaktionen weltweit ein Volumen von 2,3 Billionen erreichen – gegenüber 1,3 Billionen im Jahr 2023. Ein jährlicher Anstieg von 15 %.“
(Quelle: Capgemini, "World Payments Report 2023", September 2023)
Ein Markt – viele Herausforderungen
Für Anbieter im Payment-Umfeld bietet achelos ein umfangreiches Produkt- und Dienstleistungsportfolio für sichere Zahlungssysteme.
Wir betreuen Sie ganzheitlich – von der kompetenten Beratung durch unsere erfahrenen Security-Experten über individuelle Entwicklungsdienstleistungen bis hin zur Unterstützung bei der Auditierung und zum erfolgreichen Betrieb der neuen Lösung.
Dabei setzen wir auf etablierte, zertifizierte Produkte aus unserem starken Partner-Netzwerk.
Digitale Zahlungssysteme
Digitale Zahlungssysteme unterliegen besonders strengen Compliance-Anforderungen. Sie müssen nach entsprechenden Standards (vor allem PCI PTS HSM, DK und FIPS 140-2 Level 3) zertifiziert oder zugelassen werden.
Im Dezember 2014 führte das PCI Security Standards Council (PCI SSC) die Anforderung 18-3, Key Blocks, in die PCI PIN Security Requirements ein. Diese Anforderung verbessert den Schutz von symmetrischen Schlüsseln erheblich, die zwischen den Teilnehmern des Zahlungssystems geteilt werden, um PINs und andere sensible Daten zu schützen.
Sie ist in drei Implementierungsphasen unterteilt und gilt für alle Teilnehmenden des PIN-Sicherheitsprogramms:
- Phase 1: Implementierung von Schlüsselblöcken für interne Verbindungen und Schlüsselspeicherung in den Umgebungen von Dienstleistern. Dazu gehören alle Anwendungen und Datenbanken, die mit Hardware-Sicherheitsmodulen (HSMs) verbunden sind. Phase 1 trat am 1. Juni 2019 in Kraft.
- Phase 2: Implementierung von Schlüsselblöcken für externe Verbindungen zu Verbänden und Netzwerken. Datum des Inkrafttretens: 1. Januar 2023.
- Phase 3: Implementierung von Schlüsselsperren für alle Händler-Hosts, POS-Geräte und Geldautomaten. Datum des Inkrafttretens: 1. Januar 2025.
Diese verwendeten Schlüsselblöcke sollen der ANSI-Norm ASC X9 TR 31-2018 „Interoperable Secure Key Exchange Key Block Specification“ oder einem ähnlichen Schlüsselformat, das die Anforderungen erfüllt, folgen.
Die Lösung muss zudem entsprechend PCI PIN und/oder PCI PTS HSM zertifiziert werden. Sehr oft werden heute jedoch noch proprietäre Formate eingesetzt. Diese gilt es abzulösen oder nach den neuen Vorgaben zu zertifizieren.
Länderübergreifende Sicherheit im Zahlungssystem durch ISO 20022
In der Vergangenheit fehlten einheitliche internationale Formate für Nachrichten im Finanz- und Zahlungsverkehr. Mit dem ISO-20022-Standard hat die Payments Market Practice Group (PMPG) diese Lücke geschlossen und ein sicheres, einheitlichesFormat von Finanz- und Zahlungsnachrichten zwischen Ländern, Kunden und Banken entwickelt. Nach einer definierten Methodik lassen sich die Zahlungsverkehrsprozesse beschreiben und basieren auf Nachrichten- und Dateitypen im XML-Datenformat.
ISO 20022 stützt sich auf ein zentrales Repository, das einen freien Zugang zu allen Informationen bietet.
Zukünftig führen alle Akteure des Zahlungsverkehrs diesen neuen Standard schrittweise ein oder laufen Gefahr, den Zugang zu den wichtigsten Zahlungsnetzen zu verlieren. Das hat technische Effekte auf die bestehenden Zahlungssysteme und führt parallel zur Umgestaltung von Zahlungsdiensten bis hin zum globalen Handel.
Bereits ab November 2022 fordert das globale Geldtransfernetz SWIFT von seinen Bankmitgliedern, neue ISO-20022-konforme MX-Nachrichten anstelle von SWIFTNet-FIN-Nachrichten (MT) zu empfangen und ab spätestens 2025 auch zu versenden. Bis dahin müssen alle Finanzinstitute in der Lage sein, ISO-20022-CBPR+-konforme Nachrichten für grenzüberschreitende Zahlungen zu senden und zu empfangen.
Für Banken, Handel und Unternehmen gibt es bei der Umstellung auf ISO 20022 einiges zu beachten. Wie sich die bestehende Infrastruktur bestmöglich an die neuen Anforderungen anpassen lässt, erfahren Sie bei achelos!
Sichere Kartenzahlung mit Girocard | SECCOS®
Das SECCOS®-Betriebssystem ist das gesetzte Operation System (OS) für Chipkarten in der Deutschen Kreditwirtschaft und eine Besonderheit im deutschen EMV-Umfeld. Die Girocard mit dem SECCOS®-Betriebssystem zählt als eine der beliebtesten und sichersten Zahlungsmittel in Deutschland. Die Zulassung dieses Systems ist sehr komplex und hochgradig formalisiert. Die vorgehaltene Entwicklungsumgebung wird zwingend durch die Deutsche Kreditwirtschaft (DK) zugelassen und regelmäßig bei Site Visits erneut autorisiert.
Gern sind wir Ihr kompetenter Partner für Cybersicherheit im Zahlungverkehr.
Unsere Lösungen für zertifizierte Cybersicherheit im Payment-Umfeld
Sie haben Fragen? Ihre Ansprechpartnerin in diesem Bereich ist: