EMVCo SBMP Sicherheitsbewertungen

Applus+ Laboratories ist von EMVCo akkreditiert, um HCE-basierte Zahlungslösungen sowie die Komponenten zu bewerten, die die Transaktion ermöglichen und Sicherheit bieten, um bekannten Angriffen standzuhalten.

Die Einführung der Host Card Emulation (HCE) revolutionierte das mobile Bezahlen und ermöglichte die Implementierung softwarebasierter sicherer Zahlungslösungen. Heutzutage haben die meisten Zahlungsmarken ein eigenes Zertifizierungssystem für HCE-basierte mobile Apps und Wallets.  

Um die Entwicklung dieser Zahlungsanwendungen zu erleichtern, hat EMVCo eine eigene Zertifizierung für softwaregestütztes mobiles Bezahlen (SBMP) eingeführt.

Dieses neue Zertifizierungsschema zielt nicht nur auf die Zahlungs-App und das SDK selbst ab, sondern auch auf Softwareelemente und Tools, die die Transaktion ermöglichen und Sicherheitsfunktionen für die mobile Zahlungslösung bereitstellen. Anbieter von Produkten wie TEE, Biometrie oder Software-Schutztools können ihre Lösung unter dieser EMVCo-Spezifikation in einem akkreditierten Labor evaluieren. Durch die Verwendung bereits evaluierter Elemente zur Entwicklung einer mobilen App oder eines SDK können Anbieter den Umfang der Sicherheitsbewertung reduzieren und so Zeit und Kosten in ihrem zukünftigen zusammengesetzten Evaluierungsprozess sparen.

EMVCo SBMP-Bewertung von Produktfamilien

Applus+ Laboratories ist akkreditiert und verfügt über umfassende Kenntnisse, um die Sicherheit aller Produktfamilien des EMVCo SBMP-Schemas zu bewerten:

• CDCVM (Consumer Device Card-holder Verification Methods): Die Einführung biometrischer Verfahren - Fingerabdrücke, Iris- oder Gesichtserkennung - durch die wichtigsten Mobilgerätehersteller hat diese Authentifizierungsmethoden zu einer gängigen Alternative zur PIN für mobile Zahlungsanwendungen gemacht. Durch die Zertifizierung ihrer Lösung können Biometrie-Anbieter ihren Kunden einen Wettbewerbsvorteil bieten, indem sie den Zertifizierungsprozess für alle Zahlungsanwendungen, die auf diesem Mobiltelefon laufen, vereinfachen.
• TEE (Trusted Execution Environment): Mobile Zahlungsanwendungen können sich ebenfalls auf TEE verlassen, um sicherzustellen, dass Transaktionen in einer isolierten Umgebung stattfinden, die sensible Daten verwaltet und schützt. Ähnlich wie bei biometrischen Lösungen können TEE-Anbieter nun ihr TEE zertifizieren, was zukünftige Sicherheitsbewertungen von Zahlungsanwendungen erleichtert.
• Software Schutz Tools: EEMVCo SBMP ermöglicht auch die Evaluierung von Tools, die mobile Zahlungsanwendungen gegen statische und dynamische Angriffe schützen. Anbieter von Zahlungsanwendungen können die evaluierten Schutzwerkzeuge, die Schutzmechanismen wie kryptografische Bibliotheken (White Box Crypto), Fuzzing, Techniken zur Verschleierung (Obfuscation), Schutz vor Manipulationen, Umgebungsprüfungen und andere bieten, in ihre Produkte einbeziehen und die Zeit für künftige zusammengesetzte Evaluierungen reduzieren.  
• Andere: Gerätebindungsmechanismen, Treiber, sichere Fernverwaltungsmechanismen und Attestierungsmechanismen
• SDK and Wallets/Zahlungsanwendungen: Dieses EMVCo SBMP-Schema ermöglicht auch die Bewertung von SDK und Zahlungsanwendungen, und seine Methodik wird von führenden Zahlungssystemen allgemein akzeptiert. 

EMVCo SBMP Bewertungsschritte 

• Überprüfung der Dokumentation
• Überprüfung des Quellcodes
• Schwachstellen-Analyse
• Penetrationstest

Zertifizierungsoptionen für Zahlungssysteme
Die meisten Zahlungssysteme haben ihr eigenes Programm zur Einhaltung der Vorschriften für softwarebasierte mobile Zahlungen. Applus+ Laboratories ist für die Durchführung von Sicherheitsbewertungen akkreditiert, die für die Einhaltung der Sicherheitsanforderungen von Visa, Amex, Discover und Mastercard erforderlich sind.