Mobile, Cloud-basierte Zahlungssicherheitsbeurteilung

Überblick

Mit der Freigabe des OS7 von Blackberry im Jahr 2011 eröffnete sich eine neue Möglichkeit zur NFC-Karten-Emulation in Mobilgeräten ohne Nutzung des Secure Element (SE), die damals Virtual Target Emulation genannt wurde. Google führte diese Technologie Ende 2013 mit seinem Android 4.4 „KitKat“-Betriebssystem wieder ein und nannte sie Host-based Card Emulation (HCE).

Die HCE hat als einfachere Option die Einführung der verschiedenen NFC-Dienste deutlich beschleunigt, stellt aber im Prinzip eine deutlich weniger sichere Methode zur NFC-Karten-Emulation dar. Diese Option eignet sich optimal für Dienstanbieter, die schnell ihre eigenen Lösungen entwickeln. Sie müssen sich jedoch der Sicherheitsrisiken aufgrund des Fehlens von hardwarebasierter Sicherheit, wie sie das SE bietet, vollständig bewusst sein.

Auf dem Gebiet der mobilen Zahlungsmethoden haben Zahlungssysteme wie Visa, MasterCard und Amex im Laufe der letzten Jahre Cloud-basierte Payment-Spezifikationen entwickelt, die HCE-Technologien nutzen. Auch die ausstellenden Banken führen flächendeckend HCE-Technologien ein, um für ihre Kunden neue und bequeme Zahlungsmethoden bereitzustellen.

Die oben genannten Zahlungssysteme haben Sicherheitsrichtlinien für die Aussteller von MPA und für die Entwickler von Software Development Kits (SDKs) entworfen, um die Sicherheit von Cloud Mobile Payment Applications (CMPAs) zu erhöhen. Außerdem verfügen sie über Verfahren zur Sicherheitsbewertung, anhand derer solche Sicherheitslösungen in den Laboren unabhängiger Stellen auf effektive und konsistente Weise geprüft werden können.

Definition

UL ist durch Zahlungssystem-Unternehmen anerkannt und kann für Visa, MasterCard und American Express Sicherheitsbewertungen für Cloud-basierte mobile Zahlungssysteme durchführen.

 

UL beurteilt die Sicherheit von SDKs und MPA entsprechend den Sicherheitsanforderungen für Zahlungssysteme.

 

SDKs müssen unbedingt einer Sicherheitsbewertung unterzogen werden, für CMPA ist dies in manchen Fällen nicht verbindlich vorgeschrieben.

Vorteile

Derzeit bieten Mobilgeräte in Bezug auf ihre Standardfunktionen kein hohes Niveau an Sicherheitsmaßnahmen. Dies bedeutet, dass einem jedwede wertvollen Daten und Vermögenswerte bei einem virtuellen Angriff gestohlen oder korrumpiert werden können. Von UL anerkannte Experten werden den Entwicklern von SDKs und MPA helfen, die Sicherheitsanforderungen für Zahlungssysteme zu erfüllen.

  • Visa Ready Program für Cloud-basierte Zahlungsvorgänge
  • MasterCard Mobile Partner Program Cloud-basierte Zahlungen
  • American Express Cloud-basierte Zahlungen

ARBEITSERGEBNISSE

Bericht zum Erhalt der Zertifizierung


ULSecurityEvaluation@ul.com


PRODUKTE, AUF DIE SICH DIESE DIENSTLEISTUNG BEZIEHT:

  • Software Development Kits – SDKs
  • Mobile Payment Applications – MPAs

EINSCHLÄGIGE NORMEN

Visa, MasterCard und Amex HCE/Mobile Cloud-basierte Payment-Spezifikationen.

ZUGEHÖRIGE BRANCHEN UND LÖSUNGEN