Post on 24-Sep-2020
transcript
SEPA – Standardisierungsprojekte und realistische Zeitplanungen
Regine Quentmeier,
SRC Security Research & Consulting GmbH
Bonn - Wiesbaden
Überblick
Ziele der Standardisierung zur „ SEPA for Cards“
Standardisierungsinitiativen in Europa
� Berlin Group
� CAS
� CIR
� ERIDANE/EPAS
SEPA-Standardisierung im EPC
Migrationsbeispiele und neue Produkte
Generelle Ziele der Infrastruktur-Standardisierung
Technische Interoperabilität und Kompatibilität
Öffnung von Märkten, Wettbewerb von Anbietern
„ Vertrauen“ in Verfügbarkeit von Infrastrukturen und
Förderung der Produktentwicklung auf der
Grundlage einer standardisierten Infrastruktur
Vermeidung einer „ Duplication of Efforts“
Um Wirkung zu entfalten, müssen Standards....
„ relevant“ für die Zielgruppe sein:� Entwicklung unter Berücksichtigung existierender
technischer Voraussetzungen
� Verlässlichkeit des Standards durch geschützte Interoperabilität
� Verlässlichkeit des Standards durch Top-down geschützteInteroperabilität
auf der Basis eines breiten Konsens entwickelt werden,
frei zugänglich sein,
auf bereits etablierten Standards aufbauen und
„ rechtzeitig“ sein.
„ In order for the objectives of this Framework to be achieved, SEPA-level
interoperability must be ensured in the following 4 domains:
cardholder to terminal inter face,
cards to terminal (EMV),
terminal to acquirer inter face (protocols or minimum requirements),
acquirer to issuer inter face, including network protocols (author ization
and clear ing).“
„ A common process for the cer tification of terminals, cards, and network
inter faces will be defined in line with the pr inciple descr ibed in Chapter 2.3.2.“
„ Card schemes will engage in mutual recognition for type approval. Any terminal
cer tified for SEPA transactions by a cer tification body in one SEPA country can be
deployed in any SEPA country for acceptance of SEPA cards across all SCF
compliant schemes.“
Welche Standards sind für ein „ SEPA for cards“ erforderlich?
EPC SEPA Cards Framework:
Card to Terminal Interface
Relevante Standards:
Zielarchitektur:
Governance:
aber: Zahlungssystem-spezifische Anforderungen an die Implementierung
Unterschiedliche Implementierungen bei Terminal- und Kartenherstellern
Interoperabilitäts-Probleme
Performance-Probleme
Card to Terminal Interface
Harmonisierte EMV-Implementierung:
� Harmonisierung der Anforderungen an EMV-
Chipanwendungen
Common Implementation Requirements – Initiative (CIR)
Common Payment Application (CPA)
� Harmonisierung der Anforderungen an Terminal-
Implementierungen
Performance-Optimierung
Vollständige Spezifikation eines EMV Kernels für
Terminals (einschließlich Fehlerbehandlung und
Sonderfälle)
CIR Technical Working Group
Ziele:
� Vermeidung von Interoperabilitäts-Problemen durch
vollständige Beschreibung von Transaktionsabläufen
� Optimierung des Timings für EMV-Transaktionen:
Best Practices für die Parallelisierung und Optimierung von
Sub-Prozessen von EMV-Transaktionen auf der Grundlage der
vom Karteninhaber beobachteten Transaktionszeit
Entwicklung von Benchmarks für Basis-Prozesse
Entwicklung eines Sets von Testkarten zur einheitlichen
Überprüfung von Benchmarks
� Voraussichtlicher Abschluss der Arbeiten: Ende 2006
Terminal to Acquirer Interface
Acquirer
ISO 8583TCP/IP
Standards:
Zielarchitektur:
Governance:
? ?
Es gibt heute keinen technischen Standard für die Kommunikation zwischen
Terminal und Acquirer!
Vielzahl unterschiedlicher Implementierungen
Begrenzte Terminalmärkte
Schwierigkeiten in der Umsetzung neuer technischer Anforderungen
Terminal to Acquirer Interface
ERIDANE/EPAS-Projekt� Terminal-Host-Interface (EPAS)
� Terminal-Kasse-Schnittstelle (EPAS)
� Terminal-PIN-Pad Schnittstelle (ERIDANE)
� Terminal-Management-Schnittstelle (EPAS)
� Standardisierte Sicherheitsarchitektur für Terminals (ERIDANE)
Neue Terminalarchitekturen (Applikationsserver)
Kostensenkung für Terminals
Öffnung von Märkten
Einfachere Softwareänderungen (Time to Market für neue Anwendungen)
� Voraussichtlicher Abschluss der Arbeiten: Mitte 2007
Acquirer to Issuer Interface
Acquirer Issuer
ISO 8583IP VPN
Relevante Standards:
Zielarchitektur:
Governance:
? ?
Zahlungssystemspezifische Standards, unterschiedliche Implementierungenje Zahlungssystem, obwohl Institute i.d.R. Dual Issuer sind.
Acquirer to Issuer Interface
Acquirer to Issuer Interface
Akzeptanz von Debitkarten in Europa über bilaterale Akzeptanzverträge
Processing ist definiert in Autorisierungs- und Clearing-Spezifikation,
sowie Anforderungen an das Netzwerk (VPN)
Außerhalb der internationalen Zahlungssysteme
Pilotierung erfolgt in 2006
Komponentenzertifizierung
Relevante Standards:
Zielarchitektur:
Governance:
mutual recognition for type approval ?
Zahlungssystemspezifische Anforderungen
Separate Zulassungen pro Zahlungssystem und Land.
Komponentenzertifizierung
CCCooommmmmmooonnn AAApppppprrrooovvvaaalll SSSccchhheeemmmeee AAA EEEUUURRROOOPPPEEEAAANNN IIINNNIIITTTIIIAAATTTIIIVVVEEE
FFFOOORRR CCCAAARRRDDD PPPAAAYYYMMMEEENNNTTTSSS IIINNN EEEUUURRROOOPPPEEE
Step 1: - Common Security Requirements (based on PCI PED Req)- Common Methodology for Security Evaluations
Step 2: Mutual Recognition of Interoperability Certification and Approvals
Einbeziehung der PCI PED Requirements als „Base Line“
Offene Kommunikation der Projektergebnisse gegenüber internationalen Zahlungs-systemen und Europäischer Kommission
Voraussichtlicher Abschluss der Arbeiten: Ende 2006
Europäische Standardisierungs-Initiativen im Überblick
Issuer
Acquirer
CCCooommmmmmooonnn AAApppppprrrooovvvaaalll SSSccchhheeemmmeee AAA EEEUUURRROOOPPPEEEAAANNN IIINNNIIITTTIIIAAATTTIIIVVVEEE
FFFOOORRR CCCAAARRRDDD PPPAAAYYYMMMEEENNNTTTSSS IIINNN EEEUUURRROOOPPPEEE
CCCooommmmmmooonnn AAApppppprrrooovvvaaalll SSSccchhheeemmmeee AAA EEEUUURRROOOPPPEEEAAANNN IIINNNIIITTTIIIAAATTTIIIVVVEEE
FFFOOORRR CCCAAARRRDDD PPPAAAYYYMMMEEENNNTTTSSS IIINNN EEEUUURRROOOPPPEEE
CIR Common ImplementationRecommendations
ERIDANE/EPAS
CIR CAS EPAS Er idaneAPACS APACS Banksys BanksysBanksys Banksys Cartes Bancaires Cartes BancairesCartes Bancaires Cartes Bancaires Cetrel CetrelCetrel Cetrel Europay Austria InterpayEuropay Austria Interpay Interpay SermepaInterpay Pan Nordic Card Association Pan Nordic Card Association APACS (observer)
MBNA Sermepa Sermepa ThalesPan Nordic Card Association SIBS SIBS Ingenico
RBS Sistema 4B Atos MoneyLineSermepa SSB BP AxaltoSIBS ZKA Galitt Group ZKASistema 4B IngenicoSSB IntegriTelekurs LyraZKA MoneyLine
RSCSRCThalesThales EspanaTotalUniversity of Applied Science
Wincor
Zusammenarbeit in Europa
Wie wird die vom EPC SCF geforderteStandardisierung organisiert?
Im EPC wurde Konsens über einen Vorschlag zur Nutzung der Arbeit der Initiativen erreicht � Um eine koordinierte und koherente
Projektplanung zu erreichen
� Um den freien Zugang und die freie Verwendung der Arbeitsergebnisse zu gewährleisten
� Um einen Prozess der geregelten Einbringung in die internationale Standardisierungsstruktur zu schaffen
Beschlussfassung noch im Mai 2006
EMV-Migration von electronic cash
Die Migration der Karten bestimmt die Migrationsmöglichkeiten der Terminals....
Version 6.0 – Voraussetzung für die EMV-Migration des electronic cash-Systems
31.12.2010
Karten ohne electronic cash-EMV-Anwendung
Karten mit bisheriger electronic cash-Anwendung undneuer electronic cash EMV-Anwendung
Karten ohne bisherigeelectronic cash Chip-Anwendung
Spur 3electroniccash Spur 2
Spur 3electroniccash Spur 2
electroniccash EMV
Spur 2electroniccash EMV
31.12.20111.7.2007
EMV-Migration von electronic cash
31.12.20101.7.2007
Terminals mit bisheriger Chip-Verarbeitung und Spur 3-Verarbeitung Spur 3
electroniccash
1.7.2008
Terminals mitbisheriger Chip-Verarbeitungund Spur 2-Verarbeitung
Spur 2electroniccash
Terminals mit bisheriger Chip-Verarbeitung, electronic cash-EMV und Spur 2-Verarbeitung
Spur 2electroniccash
electroniccash EMV
+
Spur 2
electroniccash EMV
EMV
Terminals nur mit Spur 2-und electronic cash-EMV
Spur 2electroniccash EMV
EMV
Spur 3X+ Spur 2
electroniccashX
Neue produktpolitische Möglichkeiten durch Verwendung der Standards
Allianzenvia Berlin Group
Co-Brandingelectronic cash auch in anderen Ländern
DomesticScheme
DomesticScheme
DomesticSchemeDomestic
Scheme
DomesticScheme
Möglichkeiten zur Entwicklung von SCF-compliant Produkten:
• Allianzen verbunden durch Berlin Group-Standards
• Gegenseitige Anerkennung von Zertifizierung durch CAS-Standards
• Systemschnittstellen gemäß CIR und EPAS/ERIDANE-Standards
„ Vernetzung“ der Standardisierung im Zahlungsverkehr: eine weitere Rolle für EPC!
Bei nationalen Kartentransaktionen erfolgt Clearing und Settlement im Rahmen des „ klassischen“ Zahlungsverkehrs
Bei grenzüberschreitenden Transaktionen gibt es traditionell eine Differenzierung zwischen Kartengeschäft und „ klassischem“ Zahlungsverkehr
Der Aufbau einer pan-europäischen Infrastruktur für Clearing und Settlement kann prinzipiell auch für Clearing und Settlement von Kartentransaktionen genutzt werden!
Zum Beispiel in zweiter Phase der Berlin Group.
SRC Security Research & Consulting GmbHGraurheindorfer Str. 149a53117 Bonn
Tel. +49-(0)228-2806-0Fax: +49-(0)228-2806-199E-mail: info@src-gmbh.deWWW: www.src-gmbh.de
Kontakt