Zertifiziert und sicher in die digitale Zukunft des Zahlungsverkehrs

Sicher in die Zukunft mit der optimalen Payment-Lösung

Zunehmende Akzeptanz digitaler Zahlungen und neuer Bezahlmethoden

Mit der wachsenden Digitalisierung betritt die Payment-Industrie eine neue Ära. Die Akzeptanz digitaler Zahlungen durch Kunden nimmt zu und hat insbesondere durch die Covid-19-Pandemie eine rasante Beschleunigung erfahren. Ein neuer Zahlungsmix ist entstanden. Neben dem traditionellen Bargeld und Debit- sowie Kreditkarten ergänzen Mobile Payment, Sofortzahlungen und eWallet-Lösungen die Zahlungsmethoden der Verbraucher.

Für Finanzinstitute und Banken hat das Thema Cybersicherheit deshalb eine besonders hohe Priorität. Denn Vorfälle von Cyberkriminalität wie Phishing und Betrügereien sind gerade während der Pandemie sprunghaft gestiegen.

Durch die zunehmende Nutzung digitaler Finanzdienstleistungen und des E-Commerce sind Cyberkriminelle heute in der Lage, eine viel größere Anzahl von Nutzern und Online-Konten durch Social-Engineering-Angriffe ins Visier zu nehmen.

Angesichts der schwerwiegenden Folgen solcher Sicherheitsverletzungen ist es von entscheidender Bedeutung, auf zuverlässige und bewährte kryptografische Cybersicherheitslösungen zu setzen. Zudem müssen alle Akteure in der Banken- und Finanzdienstleistungsbranche sehr anspruchsvolle IT-Compliance-Anforderungen und -Vorschriften erfüllen.

Bis 2025 werden bargeldlose Transaktionen weltweit ein Volumen von 1,8 Billionen erreichen – gegenüber 0,78 Billionen im Jahr 2020.
Ein jährlicher Anstieg von 18,6 %.
 
 
(Quelle: Capgemini,"World Payments Report 2021", Oktober 2021)

Ganzheitliche Betreuung und etablierte Produkte

Für Anbieter im Payment-Umfeld bietet achelos ein umfangreiches Produkt- und Dienstleistungsportfolio.

Wir betreuen Sie ganzheitlich – von der kompetenten Beratung durch unsere erfahrenen Security-Experten über individuelle Entwicklungsdienstleistungen bis hin zur Unterstützung bei der Auditierung und zum erfolgreichen Betrieb der neuen Lösung.

Dabei setzen wir auf etablierte, zertifizierte Produkte aus unserem starken Partnernetzwerk.



Ein Markt – viele Herausforderungen

Zahlungssysteme

Digitale Zahlungssysteme unterliegen besonders strengen Compliance-Anforderungen. Sie müssen nach entsprechenden Standards (vor allem PCI PTS HSM, DK und FIPS 140-2 Level 3) zertifiziert oder zugelassen werden.

Im Dezember 2014 führte das PCI Security Standards Council (PCI SSC) die Anforderung 18-3, Key Blocks, in die PCI PIN Security Requirements ein.

Diese Anforderung verbessert den Schutz von symmetrischen Schlüsseln erheblich, die zwischen den Teilnehmern des Zahlungssystems geteilt werden, um PINs und andere sensible Daten zu schützen.

Sie ist in drei Implementierungsphasen unterteilt und gilt für alle Teilnehmenden des PIN-Sicherheitsprogramms:

  • Phase 1: Implementierung von Schlüsselblöcken für interne Verbindungen und Schlüsselspeicherung in den Umgebungen von Dienstleistern. Dazu gehören alle Anwendungen und Datenbanken, die mit Hardware-Sicherheitsmodulen (HSMs) verbunden sind. Phase 1 trat am 1. Juni 2019 in Kraft.
  • Phase 2: Implementierung von Schlüsselblöcken für externe Verbindungen zu Verbänden und Netzwerken. Datum des Inkrafttretens: 1. Januar 2023.
  • Phase 3: Implementierung von Schlüsselsperren für alle Händler-Hosts, POS-Geräte und Geldautomaten. Datum des Inkrafttretens: 1. Januar 2025.

Diese verwendeten Schlüsselblöcke sollen der ANSI-Norm ASC X9 TR 31-2018 „Interoperable Secure Key Exchange Key Block Specification“ oder einem ähnlichen Schlüsselformat, das die Anforderungen erfüllt, folgen.

Die Lösung muss zudem entsprechend PCI PIN und/oder PCI PTS HSM zertifiziert werden. Sehr oft werden heute jedoch noch proprietäre Formate eingesetzt. Diese gilt es abzulösen oder nach den neuen Vorgaben zu zertifizieren.

ISO 20022

In der Vergangenheit fehlten einheitliche internationale Formate für Nachrichten im Finanz- und Zahlungsverkehr. Mit dem ISO-20022-Standard hat die Payments Market Practice Group (PMPG) diese Lücke geschlossen und ein einheitliches Format von Finanz- und Zahlungsnachrichten zwischen Ländern, Kunden und Banken entwickelt. Nach einer definierten Methodik lassen sich die Zahlungsverkehrsprozesse beschreiben und basieren auf Nachrichten- und Dateitypen im XML-Datenformat.

ISO 20022 stützt sich auf ein zentrales Repository, das freien Zugang zu allen Informationen bietet.

Zukünftig führen alle Akteure des Zahlungsverkehrs diesen neuen Standard schrittweise ein oder laufen Gefahr, den Zugang zu den wichtigsten Zahlungsnetzen zu verlieren. Das hat technische Effekte auf die bestehenden Zahlungssysteme und führt parallel zur Umgestaltung von Zahlungsdiensten bis hin zum globalen Handel.

Bereits ab November 2022 fordert das globale Geldtransfernetz SWIFT von seinen Bankmitgliedern, neue ISO-20022-konforme MX-Nachrichten anstelle von SWIFTNet-FIN-Nachrichten (MT) zu empfangen und ab spätestens 2025 auch zu versenden. Bis dahin müssen alle Finanzinstitute in der Lage sein, ISO-20022-CBPR+-konforme Nachrichten für grenzüberschreitende Zahlungen zu senden und zu empfangen.

Für Banken, Handel und Unternehmen gibt es bei der Umstellung auf ISO 20022 einiges zu beachten. Wie sich die bestehende Infrastruktur bestmöglich an die neuen Anforderungen anpassen lässt, erfahren Sie bei achelos!

Girocard | SECCOS®

Das SECCOS®-Betriebssystem ist das gesetzte Operation System (OS) für Chipkarten in der Deutschen Kreditwirtschaft und eine Besonderheit im deutschen EMV-Umfeld. Die Zulassung dieses Systems ist sehr komplex und hochgradig formalisiert. Die vorgehaltene Entwicklungsumgebung wird zwingend durch die Deutsche Kreditwirtschaft (DK) zugelassen und regelmäßig bei Site Visits erneut autorisiert.

Unser Portfolio für zertifizierte Sicherheit im Payment-Umfeld

HSM Consulting und Firmware Development

Optimale HSM-Lösung durch unabhängige Beratung und erstklassige Produkte

Bei achelos erhalten Sie umfangreiches Expertenwissen rund um den erfolgreichen Einsatz von Standard-HSMs sowie individuelle, zertifizierbare HSM-Lösungen für den effektiven Schutz Ihrer Daten.

Die bewährten, zertifizierbaren Produkte unserer Partner (u. a. Utimaco) bilden den Kern Ihrer neuen Payment-HSM-Umgebung. achelos übernimmt die reibungslose Planung, Bereitstellung, Integration sowie die Inbetriebnahme und den Support.

Für Anwendungsfälle mit proprietären Anforderungen − ohne aktuelle HSM-Schnittstelle − entwickeln wir für Sie darüber hinaus maßgeschneiderte Payment-HSM-Lösungen. Unsere erfahrenen Teams aus den Bereichen Softwarearchitektur und Softwareentwicklung passen die Firmware und Schnittstellen des Payment HSM individuell auf Ihre Anforderungen an. Selbstverständlich berücksichtigen wir dabei die gültigen regulatorischen Vorgaben wie z. B. PCI PTS HSM oder DK. Das Ergebnis: Sie und Ihre neue HSM-Umgebung sind optimal auf die erforderlichen Zertifizierungen und Audits vorbereitet.

Gerne begleiten wir Sie auch im Zertifizierungsprozess der neuen Komplettlösung. Die achelos-Experten besitzen langjähriges Know-how in der Zertifizierung von sicherheitskritischen Produkten und Anwendungen. Durch unsere eigene CC-Standortzertifizierung können wir anspruchsvollste Entwicklungsprojekte ganzheitlich unterstützen.

 

HSM-Partner-Produkte

Im Bereich Payment HSMs setzen wir auf die leistungsfähigen Produkte unseres Partners Utimaco:

Utimaco PaymentServer

  • Entwickelt für die Zahlungskarten- und Zahlungstransaktionsbranche
  • Zertifizierte Hardware, die die strengen Compliance-Anforderungen für Anwendungsfälle in der Zahlungsbranche erfüllt
  • Speziell entwickelt für bargeldlose Zahlungstransaktionsverarbeitung, PIN-Transaktion, Kartenpersonalisierung und Kartenausgabe
  • Inklusive Software-Simulator zur Auswertung und Integrationstest

Highlights:

  • Starke Compliance – PaymentServer erfüllt die Compliance-Anforderungen der PCI PTS HSM, DK und ist FIPS-140-2-Level-3-zertifiziert. Dadurch lässt sich das Produkt in PCI-DSS-auditierten Umgebungen einsetzen.
  • Speziell für die Verarbeitung von Bezahlkarten und Zahlungstransaktionen entwickelt
  • Hochgradig konfigurierbar – für maßgeschneiderte Entwicklungen und Zertifizierung/Compliance für zusätzliche Funktionsanforderungen

Mehr Infos: Utimaco PaymentServer

 

Utimaco Atalla AT1000

  • Entwickelt für sichere und konforme unbare Zahlungen im Einzelhandel und Karteninhaber-Authentifizierung
  • Überragende Hardware-Sicherheit
  • Sichere Zahlungsökosysteme für Zahlungsdienstleister, Acquirer, Kartenprocessingunternehmen und Emittenten
  • FIPS-140-2-Level-3-zertifiziert und FIPS-140-2-L4-konform (Physical Design)
  • PCI-PTS-HSM-v3-zertifiziert
  • Australian-Payments-Network-genehmigt

Highlights:

  • Eines der schnellsten Zahlungs-HSMs auf dem Markt – mit bis zu 10 000 Transaktionen pro Sekunde wurde das Atalla AT1000 speziell für den Einzelhandel und die Karteninhaberauthentifizierung entwickelt.
  • Globale Unterstützung für das Bankwesen – unterstützt alle globalen Kartensysteme wie Visa, MasterCard, Amex, UnionPay, Diners und Discover
  • Das einzige Zahlungs-HSM auf dem Markt, das eine REST-API bietet – konkurrenzloser Schutz eines HSM in öffentlichen, privaten und hybriden Cloud-Umgebungen durch die REST-API (Representational State Transfer Application Programming Interface)

Mehr Infos: Utimaco Atalla AT1000

ISO 20022 Consulting und Development

Fit für die ISO 20022 – schnell, komfortabel und effizient

achelos unterstützt Banken und Einzelhändler ganzheitlich bei der sicheren Umstellung auf die neuen Vorgaben aus der ISO 20022. Eine effiziente und schnelle Lösung, bestehende Systeme auf die neuen Vorgaben anzupassen, ist der Einsatz einer Middleware. Sie setzt das Nachrichtenformat zwischen Payment-Netzwerk und interner Infrastruktur um.

Profitieren Sie von unserer langjährigen Erfahrung in der Entwicklung und Zertifizierung von sicherheitskritischen Produkten und Anwendungen. Unsere Experten begleiten Sie von der Beratung über die Entwicklung und den Test der Middleware bis hin zur Unterstützung bei der Zulassung.

Auf diese Weise erfüllen Sie die engen Zeitvorgaben der SWIFT schnell, komfortabel und effizient.

 

SECCOS Development und Certification Support

Volle Kostenkontrolle durch flexiblen Support

Minimieren Sie Risiken bei der DK- oder PCI-Zulassung der SECCOS-Chipkarten-Funktionalitäten. Unsere qualifizierten Entwickler:innen und Tester:innen unterstützen Sie bei dem Design, der Implementierung und der Erweiterung von Chipkartenfunktionen im SECCOS- und EMV-Umfeld und helfen bei der Zulassung.

So haben Sie immer die volle Kontrolle über Ihre Kosten. Unser SECCOS-Chipkarten-Expertenwissen ist individuell abrufbar und lässt sich flexibel nutzen. Das spart Zeit, minimiert das Projektrisiko und schont Ihre Ressourcen.

 

PCI-DSS Support

Security Engineering für PCI-DSS

Der Payment Card Industry Data Security Standard (PCI DSS) definiert die einheitliche Vorgehensweise bei der Umsetzung von Anforderungen für das sichere Speichern und Verwalten von Kreditkartendaten.

Die PCI-Datenschutz-Standards fassen die Prüfungsanforderungen der Programme von VISA (Account Information Security – AIS) und MasterCard (Site Data Protection – SDP) zusammen.

achelos unterstützt Payment Service Provider (PSP) ganzheitlich bei der Erstellung und Umsetzung von Sicherheitskonzepten auf Basis von PCI-DSS-Anforderungen.

Hier geht es zu unseren Leistungen.

Gern sind wir Ihr kompetenter Partner für Cybersicherheit im Zahlungverkehr.

Christian Bollich

Director Business Development

Email:

Tel.:
+49 5251 14212-301