Home Themen Zahlungsverkehr / Kartensysteme OSeC Open Standards for Security and Certification: Pilotpartner gesucht!
26. Juli 2010
OSeC Open Standards for Security and Certification: Pilotpartner gesucht!
Die OSeC-Initiative ist aus den Arbeiten der CAS Common Approval Scheme Initiative entstanden. Ausgehend von dem vom European Payment Council (EPC) vorgegebenen „EPC Book of Requirements (BoR)“ – einer Zusammenfassung von Mindestanforderungen an ein europaweit einheitliches Zulassungsverfahren für Komponenten im kartengestützten Zahlungsverkehr in Umsetzung des SEPA Cards Framework – hatte die CAS Working Group bereits im Jahr 2008 begonnen, sich mit der praktischen Umsetzung dieser Mindestanforderungen zu beschäftigen. In der Folge hat CAS ein Rahmenwerk für die Begutachtung und Zertifizierung erstellt, das die Ergebnisse einer Sicherheitsbegutachtung eines sogenannten „POI“ (point of interaction) vergleichbar macht und die Zulassung einer sicherheitsbegutachteten Komponenten durch eine Zertifizierungsstelle durch alle teilnehmenden Zahlungssysteme ermöglicht.
Die OSeC wird nun in einem Piloten die Umsetzbarkeit des CAS Common Approval Scheme überprüfen. Die Erfahrungen werden in ein Rahmenwerk für die Begutachtung und Zulassung von POS-Terminals münden.
Teilnehmer der OSeC-Initiative sind neben der deutschen Kreditwirtschaft, vertreten durch den Zentralen Kreditausschuss (ZKA), weitere europäische Kartengesellschaften und globale Kartenorganisationen. Zertifizierungsstellen, Sicherheitsgutachter und Hersteller beteiligen sich an der Pilotierung. Ein „Memorandum of Understanding“ haben bereits der ZKA, Consorzio Bancomat (Italien), The UK-Payments Association (Großbritannien), Currence (Niederlande) und Cartes Bancaires (Frankreich) unterzeichnet. Weitere europäische und globale Systeme haben der Unterzeichnung ebenfalls bereits zugestimmt.
Das Steering Committee der OSeC-Intitiative, bestehend aus europäischen Zulassungsstellen (sogenannte „Approval Bodies“), wird kurzfristig die Regeln für die Teilnahme an diesem Piloten festlegen und veröffentlichen. Start des OSeC-Piloten soll am 14. Oktober 2010 sein. Terminal-Hersteller, die sich an der Pilot-Evaluierung/Zertifizierung beteiligen wollen, sind aufgerufen, dies dem OSeC Steering Committee bis zum 15. September 2010 unter Nennung des Produktes, des Prüflabors und der Zertifizierungsstelle zu melden (e-mail: regine.quentmeier@src-gmbh.de).
Dem Piloten liegen die „Common Criteria POI Protection Profile“, die von der „Joined Interpretation Library Terminal Evaluation Methodology Subgroup (JTEMS)“ erstellt wurden und Teil des CAS Common Approval Schemes sind, zugrunde. Das Dokument mit dem Titel „Point of Interaction Protection Profile“ in der Version 1.81, Stand 12.02.2010, als auch ein Überblick zu den Arbeiten der JTEMS steht unter www.src-gmbh.de zur Verfügung.
Der geplante Pilot der OSeC-Initiative zur POS-CC-Evaluierung und –Zertifizierung ist ein weiterer Schritt in Richtung SEPA for Cards. Marktgetrieben und die Bedürfnisse der Betroffenen weitestgehend berücksichtigend werden mit OSeC die Voraussetzungen für marktgerechte und gleichzeitig vertrauenswürdige Prozesse im europäischen Zulassungsverfahren geschaffen.
