1Sicherung vonE-Commerce KreditkartentransaktionenDr. Thomas FromherzE-Commerce Konferenz 2012, Zürich29. März 2012
2Agenda E-Commerce Kreditkartenzahlungen heute Betrüger mit Business Plan  … und andere Herausforderungen Evolutionsski...
3Netcetera AG 3-D Secure Hosted Services seit 2003   Viseca Card Services   Swisscard   Paylife, Österreich   Cetrel,...
4Sichere Kreditkartenzahlungen im E-CommercePositive Trend für Verkauf & Sicherheit 3-D Secure (3DS) ist Standard bei  Ka...
5E-Commerce  M-Commerce  2011 Total   retail B2C commerce   2015 Total   retail B2C commerce         +40%                ...
6Friede, Freude, Eierkuchen?
7Betrüger wegen Anerkennung                              Slide mit                               freundlicher            ...
8Betrüger mit MBAs                     Slide mit                      freundlicher                      Genehmigung      ...
9Anatomie des E-Commerce BetrugsgeschäftsVereinfacht dargestellt Malware- und Betrugsgeschäft ist normales Geschäft  inkl...
10Händler und Kunden klagen. Warum? Sichere 3DS-Anmeldung mit sicheren Registrierungsdaten
11Fazit Betrug bleibt nicht stehen Nächster Schritt zur Sicherheit tut Not Nutzerfreundlichkeit noch nicht das Gelbe vo...
12Stärkere AuthentisierungLösung scheint schnell gefunden 2-Faktor Authentisierung?   In der Schweiz seit langem etabliert
132-Faktor-Authentisierung
142-Faktor-Authentisierung
15Und, mTAN bei M-Commerce?
16Stärkere Authentisierung
17Was ist denn die eigentliche Frage?            Soll ich die Zahlung zulassen?                    «Es kommt drauf an»Beis...
18Risikobasierte Authentisierung!Akzeptieren: Keine absolute Sicherheit (mehr)  flexible AnsätzeGenerell: Bedarf für Bed...
19Risikobasierte Lösung      Risikoprüfung   Entscheidungsfluss      Ausnahmen        Laufende Analysen       Risk Score ...
20Transaktionskontext liefert Input für RisikoaussageOrt               Device                Aktion               Kontinui...
21Mögliche RisikoregelnGeo-Location             Nutzer-Regeln Länderliste-Lookup      Unbekannter Nutzer Schwarze Lände...
22Risikobasiert angepasste Authentisierung      Risikoprüfung       Entscheidungsfluss      Ausnahmen        Laufende Anal...
23Am Beispiel von Produkt    Für 3-D Secure System des Issuers    Für Acquirer/Merchant, unabhängig von 3-D Secure Zahlu...
24Zum Mitnehmen Intelligente, M-Commerce-fähige Lösungen für dynamisches  Passwort gefragt: Software Token? Anheben der ...
Sicherung von E-Commerce Kreditkartentransaktionen
Nächste SlideShare
Wird geladen in …5
×

Sicherung von E-Commerce Kreditkartentransaktionen

668 Aufrufe

Veröffentlicht am

Talk given at the E-Commerce conference on March 29, 2012.

Veröffentlicht in: Business
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
668
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sicherung von E-Commerce Kreditkartentransaktionen

  1. 1. 1Sicherung vonE-Commerce KreditkartentransaktionenDr. Thomas FromherzE-Commerce Konferenz 2012, Zürich29. März 2012
  2. 2. 2Agenda E-Commerce Kreditkartenzahlungen heute Betrüger mit Business Plan … und andere Herausforderungen Evolutionsskizze für sichere Kreditkartenzahlungen
  3. 3. 3Netcetera AG 3-D Secure Hosted Services seit 2003  Viseca Card Services  Swisscard  Paylife, Österreich  Cetrel, Luxemburg > 1 Mio aktive Karten
  4. 4. 4Sichere Kreditkartenzahlungen im E-CommercePositive Trend für Verkauf & Sicherheit 3-D Secure (3DS) ist Standard bei Kartenzahlungen im E-Commerce  Wegen Haftungsumkehr starke Reduktion von Fraud-Ausfällen bei Händlern (mehr und mehr «3DS-only» Händler)  Bei Issuer signifikante Abnahme von CNP-Betrug (Card not present) (3DS) Wachstum geht weiter: E-Commerce / M-Commerce
  5. 5. 5E-Commerce  M-Commerce 2011 Total retail B2C commerce 2015 Total retail B2C commerce +40% +10% +2% Mobile eCommerce Mobile eCommerce CAGR
  6. 6. 6Friede, Freude, Eierkuchen?
  7. 7. 7Betrüger wegen Anerkennung  Slide mit freundlicher Genehmigung von Toralv Dirro, McAfee Labs
  8. 8. 8Betrüger mit MBAs  Slide mit freundlicher Genehmigung von Toralv Dirro, McAfee Labs
  9. 9. 9Anatomie des E-Commerce BetrugsgeschäftsVereinfacht dargestellt Malware- und Betrugsgeschäft ist normales Geschäft inkl. Marktplatz, Malware-Massenware, Übernahme, usw. «Low-hanging Fruits»  Händler ohne Schutz  Karten (Issuer) ohne Schutz  Karten (Issuer) mit statischem Passwort  Logischer nächster Schritt: mobile Plattformen
  10. 10. 10Händler und Kunden klagen. Warum? Sichere 3DS-Anmeldung mit sicheren Registrierungsdaten
  11. 11. 11Fazit Betrug bleibt nicht stehen Nächster Schritt zur Sicherheit tut Not Nutzerfreundlichkeit noch nicht das Gelbe vom Ei Vor allem beim M-Commerce  Nicht nur 3DS Passwort ein Problem  Sondern auch Kreditkartennummer Was tun?
  12. 12. 12Stärkere AuthentisierungLösung scheint schnell gefunden 2-Faktor Authentisierung?  In der Schweiz seit langem etabliert
  13. 13. 132-Faktor-Authentisierung
  14. 14. 142-Faktor-Authentisierung
  15. 15. 15Und, mTAN bei M-Commerce?
  16. 16. 16Stärkere Authentisierung
  17. 17. 17Was ist denn die eigentliche Frage? Soll ich die Zahlung zulassen? «Es kommt drauf an»Beispiel: «Wann muss ich am Flughafen sein?» Situation 1: Treffe Schwiegermutter mit Zwischenstopp Situation 2: Treffe Kollegen auf Trip nach Mallorca Situation 3: Internationalen Flug zum Interview für Traumjob Risikoabwägung Kompromiss: Bequemlichkeit – Sicherheit
  18. 18. 18Risikobasierte Authentisierung!Akzeptieren: Keine absolute Sicherheit (mehr)  flexible AnsätzeGenerell: Bedarf für Bedrohungsmodell Welche Bedrohungen bestehen Welche lösen wir mit Massnahmen Welche lösen wir nicht Und warum ist das ok
  19. 19. 19Risikobasierte Lösung Risikoprüfung Entscheidungsfluss Ausnahmen Laufende Analysen  Risk Score  Business Rules  Case Management Zulassen Unklar Risiko Weitere Prüfung Massnahmen Nachbearbeitung Stop
  20. 20. 20Transaktionskontext liefert Input für RisikoaussageOrt Device Aktion Kontinuität Ist der Ort  Was für ein  Was versucht  Vergleich mit grundsätzlich Device? der Kunde zu vergangenen verdächtig?  Hat der Kunde tun? Aktionen War der Kunde es schon  Ist die Aktion  Ist dies eine schon mal vorher grundsätzlich normale Zeit hier? benutzt? riskant? für den Wo war er  Hat es seit der  Hat er schon Kunden? kürzlich? letzten ähnliches  Ist die Nutzung vorher Frequenz der geändert? gemacht? Einkäufe abnormal?
  21. 21. 21Mögliche RisikoregelnGeo-Location Nutzer-Regeln Länderliste-Lookup  Unbekannter Nutzer Schwarze Länderliste  User Velocity Zone-Hopping  Nutzer-Ausnahmen-CheckIP-Regeln E-Commerce Regeln IP-Velocity  Betrags-Check Zuverlässige IPs  Betrags-Händler-Velocity Schwarze IP-Liste  IP-Händler-VelocityDevice-Regeln  MCC-Lookup Device-Fingerabdruck  Händler-Region-Lookup Device-Velocity Neues Device
  22. 22. 22Risikobasiert angepasste Authentisierung Risikoprüfung Entscheidungsfluss Ausnahmen Laufende Analysen  Risk Score  Business Rules  Case Management Keine Tiefes Authentisierung, Risiko Normale Authentisierung (3 Optouts, dyn. Passwort) Gesteigerte Risiko Authentisierung Prüfung (0 Optouts, 3DS Passwort) Stop (Anruf im Nachbearbeitung Call Center)
  23. 23. 23Am Beispiel von Produkt  Für 3-D Secure System des Issuers  Für Acquirer/Merchant, unabhängig von 3-D Secure Zahlungen  Für Schutz von Online Portalen (Login, geschützte Geschäftsfälle)  Übrigens, Device als Token für 2-Faktor Authentisierungs: DeviceDNA
  24. 24. 24Zum Mitnehmen Intelligente, M-Commerce-fähige Lösungen für dynamisches Passwort gefragt: Software Token? Anheben der Authentisierung reicht aber nicht Keine absolute Sicherheit möglich Risikomodell und risikobasierte Authentisierungs- methoden bieten mächtige Erweiterungsmöglichkeiten und versprechen gesteigerte Nutzerfreundlichkeit

×