3DS_Newspost.png

PCI 3DS Core Security Standard

von Laszlo Wagenblast, Consultant des Bereiches Security Audits & PCI der usd AG

EMV® 3-D Secure Protocol and Core Functions Specification ist eine technische Spezifikation für die bei Kreditkartentransaktionen verwendete Technologie 3D-Secure. Das PCI SSC definiert mit dem PCI 3DS Core Security Standard einen Sicherheitsstandard für die Implementierung dieser Spezifikation.
Um den PCI 3DS Core Security Standard besser verstehen zu können erläutern wir nachfolgend das EMV® 3-D Secure Protocol and Core Functions Specification.

EMVCo und das EMV® 3-D Secure Protocol and Core Functions Specification

Ähnlich wie das PCI Security Standards Council (PCI SSC) ist das EMVCo eine Organisation, die im Auftrag der fünf Gründungsmitglieder des PCI SSC an technischen Spezifikationen für sichere Zahlungstransaktionen arbeitet.
Hierzu zählt das EMV® 3-D Secure Protocol. 3-D Secure ist ein Protokoll zur Authentifizierung des Karteninhabers bei Online-Kreditkartentransaktionen, das sowohl für den Händler als auch für den Karteninhaber mehr Sicherheit schaffen soll. Für eine Online-Kreditkartenzahlung wird hier nicht nur die Primary Account Number (PAN) und der Card Validation Code (CVC) benötigt, sondern zusätzlich ein weiterer Faktor wie z.B. ein vorher festgelegtes Passwort oder ein Einmalkennwort (TAN). Durch die Abfrage dieser zusätzlichen „3D“ Information sollen Karteninhaber und Händler besser gegen Kreditkartenbetrug geschützt werden.

Die technische Umsetzung des 3-D Secure Protokolls benötigt drei Systeme die miteinander kommunizieren. Diese Systeme sind der 3DS Server (3DSS), der 3DS Directory Server (DS) und der 3DS Access Control Server (ACS). Diese haben die folgenden Funktionen:

DS Server (3DSS): stellt die Schnittstelle von der Händlerumgebung zur DS dar. Er sammelt die zur Authentifizierung benötigten 3DS Daten (über eine Schnittstelle zum Browser/App/Digital Wallet), authentifiziert sich gegenüber dem DS und stellt eine sichere Übertragung der 3DS Daten an den DS sicher.

3DS Access Control Server (ACS): Der ACS steht beim jeweiligen Issuer (kreditkartenausstellendes Finanzunternehmen). Er verifiziert ob die Karte für das 3DS Verfahren freigeschaltet ist, ob das vom Endkunden verwendete Gerät für die 3DS Authentizierung zulässig ist und authentifiziert letztendlich den Endkunden gegenüber dem Händler.

3DS Directory Server (DS): enthält eine Liste mit Kartennummern für die 3DS Authentifizierung verfügbar sein könnte und vermittelt den 3DSS an den korrekten ACS. Hierbei übernimmt der DS auch die Authentifizierung der beiden Gegenstellen.

PCI 3DS Core Security Standard
Der PCI 3DS Core Security Standard definiert Anforderungen zur physischen und logischen Sicherheit für die Implementierung der oben genannten Funktionalitäten. Die Anforderungen sind hierbei in die Teile „Baseline Security Requirements“ und „3DS Security Requirements“ getrennt, auf die im nächsten Absatz näher eingegangen wird. PCI 3DS beschränkt sich zudem nicht nur auf die drei oben genannten Systeme, sondern umfasst auch die 3DS Datenumgebung („3DE“). Wie auch bei PCI DSS beinhaltet die 3DE alle Systemkomponenten, die zur Durchführung der 3DS Authentifizierung verwendet werden, diese unterstützen oder einen Einfluss auf deren Sicherheit haben könnten. Hierzu zählen Netzwerkgeräte wie Router und Firewalls, Server, Applikationen sowie virtualisierte Komponenten.

Unter „Teil I – Baseline Security Requirements“ des Standards sind generelle Anforderungen an die 3DE zusammengefasst. Diese entsprechend weitgehend den Anforderungen des PCI DSS an eine CDE. Sie können auch innerhalb eines PCI DSS Audits mit geprüft werden, wenn die 3DE in einer PCI Umgebung (CDE) mit untergebracht ist. Hierbei geht es um folgende Bereiche:

• Verwalten von Sicherheitsrichtlinien für alle Mitarbeiter
• Netzwerksicherheit
• Sicherer Systembetrieb
• Schwachstellenmanagement
• Logischer Zugriffschutz
• Physische Sicherheit
• Vorfallreaktionsplan

„Teil II – 3DS Security Requirements“ befasst sich im Gegensatz zu Teil I ausschließlich mit der 3DE und den 3DS Daten. Teil II wird in folgende Bereiche gegliedert:

• Validierung des Umfangs der 3DE
• Security governance
• Schutz der 3DS Systeme und Applikationen
• Logischer Zugriffschutz der 3DS Systeme
• Schutz der 3DS Daten
• Kryptographie und Keymanagement
• Physische Sicherheit der 3DS Systeme

Die Bereiche aus Teil I und Teil II sind jeweils in weitere Unterkategorien unterteilt. In jeder Unterkategorie sind spezifische Anforderungen aufgelistet, sowie die Methoden wie das Erfüllen der Anforderungen zu validieren ist und eine Hilfestellung zur Umsetzung der jeweiligen Anforderung.

Die Einhaltung der im PCI 3DS Core Security Standard definierten Anforderungen müssen durch einen 3DS Assessor geprüft werden. Der 3DS Assessor muss vom PCI SSC zertifiziert sein und für ein anerkanntes 3DS Prüfungsunternehmen arbeiten. Eine Liste der anerkannten 3DS Prüfungsunternehmen findet man auf der Homepage des PCI SSC.

PCI 3DS Core Security Standard und PCI Data Security Standard

Der PCI 3DS Core Security Standard und der PCI Data Security Standard sind zwei voneinander unabhängige Standards. Die Erfüllung eines der Standards garantiert nicht die Compliance mit dem anderen Standard. Da der Teil I des PCI 3DS Core Security Standards weitgehend den Anforderungen des PCI DSS an eine CDE entspricht können diese auch innerhalb eines PCI DSS Audits mit geprüft werden, wenn die 3DE in einer PCI Umgebung (CDE) mit untergebracht ist

Die usd AG ist als Unternehmen sowohl für PCI DSS wie auch für PCI 3DS CSS zertifiziert und kann somit die Compliance mit beiden Standards prüfen. Hierdurch ist die usd AG in der Lage Überschneidungen des Prüfungsumfangs der beiden Standards zu erkennen und einen effizienteren Prüfungsansatz zu wählen.

Über die PCI Expert Tipps:
Mit den PCI Expert Tipps möchten wir Sie über Neuerungen der PCI Security Standards informieren und Ihnen erste Hinweise geben, wie sie zu verstehen sind und welche Auswirkungen sie haben können. Unsere Artikel sind dabei immer nur als allgemeine Richtschnur zu verstehen, sie ersetzen nicht die individuelle Betrachtung im Einzelfall.

Sollten Sie weitere Fragen haben, oder Unterstützung benötigen, sprechen Sie uns an. Unsere Experten helfen Ihnen gerne weiter.
Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de