SEPA – Standardisierungsprojekte und realistische Zeitplanungen

Regine Quentmeier,

SRC Security Research & Consulting GmbH

Bonn - Wiesbaden

Überblick

Ziele der Standardisierung zur „ SEPA for Cards“

Standardisierungsinitiativen in Europa

� Berlin Group

� CAS

� CIR

� ERIDANE/EPAS

SEPA-Standardisierung im EPC

Migrationsbeispiele und neue Produkte

Generelle Ziele der Infrastruktur-Standardisierung

Technische Interoperabilität und Kompatibilität

Öffnung von Märkten, Wettbewerb von Anbietern

„ Vertrauen“ in Verfügbarkeit von Infrastrukturen und

Förderung der Produktentwicklung auf der

Grundlage einer standardisierten Infrastruktur

Vermeidung einer „ Duplication of Efforts“

Um Wirkung zu entfalten, müssen Standards....

„ relevant“ für die Zielgruppe sein:� Entwicklung unter Berücksichtigung existierender

technischer Voraussetzungen

� Verlässlichkeit des Standards durch geschützte Interoperabilität

� Verlässlichkeit des Standards durch Top-down geschützteInteroperabilität

auf der Basis eines breiten Konsens entwickelt werden,

frei zugänglich sein,

auf bereits etablierten Standards aufbauen und

„ rechtzeitig“ sein.

„ In order for the objectives of this Framework to be achieved, SEPA-level

interoperability must be ensured in the following 4 domains:

cardholder to terminal inter face,

cards to terminal (EMV),

terminal to acquirer inter face (protocols or minimum requirements),

acquirer to issuer inter face, including network protocols (author ization

and clear ing).“

„ A common process for the cer tification of terminals, cards, and network

inter faces will be defined in line with the pr inciple descr ibed in Chapter 2.3.2.“

„ Card schemes will engage in mutual recognition for type approval. Any terminal

cer tified for SEPA transactions by a cer tification body in one SEPA country can be

deployed in any SEPA country for acceptance of SEPA cards across all SCF

compliant schemes.“

Welche Standards sind für ein „ SEPA for cards“ erforderlich?

EPC SEPA Cards Framework:

Card to Terminal Interface

Relevante Standards:

Zielarchitektur:

Governance:

aber: Zahlungssystem-spezifische Anforderungen an die Implementierung

Unterschiedliche Implementierungen bei Terminal- und Kartenherstellern

Interoperabilitäts-Probleme

Performance-Probleme

Card to Terminal Interface

Harmonisierte EMV-Implementierung:

� Harmonisierung der Anforderungen an EMV-

Chipanwendungen

Common Implementation Requirements – Initiative (CIR)

Common Payment Application (CPA)

� Harmonisierung der Anforderungen an Terminal-

Implementierungen

Performance-Optimierung

Vollständige Spezifikation eines EMV Kernels für

Terminals (einschließlich Fehlerbehandlung und

Sonderfälle)

CIR Technical Working Group

Ziele:

� Vermeidung von Interoperabilitäts-Problemen durch

vollständige Beschreibung von Transaktionsabläufen

� Optimierung des Timings für EMV-Transaktionen:

Best Practices für die Parallelisierung und Optimierung von

Sub-Prozessen von EMV-Transaktionen auf der Grundlage der

vom Karteninhaber beobachteten Transaktionszeit

Entwicklung von Benchmarks für Basis-Prozesse

Entwicklung eines Sets von Testkarten zur einheitlichen

Überprüfung von Benchmarks

� Voraussichtlicher Abschluss der Arbeiten: Ende 2006

Terminal to Acquirer Interface

Acquirer

ISO 8583TCP/IP

Standards:

Zielarchitektur:

Governance:

? ?

Es gibt heute keinen technischen Standard für die Kommunikation zwischen

Terminal und Acquirer!

Vielzahl unterschiedlicher Implementierungen

Begrenzte Terminalmärkte

Schwierigkeiten in der Umsetzung neuer technischer Anforderungen

Terminal to Acquirer Interface

ERIDANE/EPAS-Projekt� Terminal-Host-Interface (EPAS)

� Terminal-Kasse-Schnittstelle (EPAS)

� Terminal-PIN-Pad Schnittstelle (ERIDANE)

� Terminal-Management-Schnittstelle (EPAS)

� Standardisierte Sicherheitsarchitektur für Terminals (ERIDANE)

Neue Terminalarchitekturen (Applikationsserver)

Kostensenkung für Terminals

Öffnung von Märkten

Einfachere Softwareänderungen (Time to Market für neue Anwendungen)

� Voraussichtlicher Abschluss der Arbeiten: Mitte 2007

Acquirer to Issuer Interface

Acquirer Issuer

ISO 8583IP VPN

Relevante Standards:

Zielarchitektur:

Governance:

? ?

Zahlungssystemspezifische Standards, unterschiedliche Implementierungenje Zahlungssystem, obwohl Institute i.d.R. Dual Issuer sind.

Acquirer to Issuer Interface

Acquirer to Issuer Interface

Akzeptanz von Debitkarten in Europa über bilaterale Akzeptanzverträge

Processing ist definiert in Autorisierungs- und Clearing-Spezifikation,

sowie Anforderungen an das Netzwerk (VPN)

Außerhalb der internationalen Zahlungssysteme

Pilotierung erfolgt in 2006

Komponentenzertifizierung

Relevante Standards:

Zielarchitektur:

Governance:

mutual recognition for type approval ?

Zahlungssystemspezifische Anforderungen

Separate Zulassungen pro Zahlungssystem und Land.

Komponentenzertifizierung

CCCooommmmmmooonnn AAApppppprrrooovvvaaalll SSSccchhheeemmmeee AAA EEEUUURRROOOPPPEEEAAANNN IIINNNIIITTTIIIAAATTTIIIVVVEEE

FFFOOORRR CCCAAARRRDDD PPPAAAYYYMMMEEENNNTTTSSS IIINNN EEEUUURRROOOPPPEEE

Step 1: - Common Security Requirements (based on PCI PED Req)- Common Methodology for Security Evaluations

Step 2: Mutual Recognition of Interoperability Certification and Approvals

Einbeziehung der PCI PED Requirements als „Base Line“

Offene Kommunikation der Projektergebnisse gegenüber internationalen Zahlungs-systemen und Europäischer Kommission

Voraussichtlicher Abschluss der Arbeiten: Ende 2006

Europäische Standardisierungs-Initiativen im Überblick

Issuer

Acquirer

CCCooommmmmmooonnn AAApppppprrrooovvvaaalll SSSccchhheeemmmeee AAA EEEUUURRROOOPPPEEEAAANNN IIINNNIIITTTIIIAAATTTIIIVVVEEE

FFFOOORRR CCCAAARRRDDD PPPAAAYYYMMMEEENNNTTTSSS IIINNN EEEUUURRROOOPPPEEE

CCCooommmmmmooonnn AAApppppprrrooovvvaaalll SSSccchhheeemmmeee AAA EEEUUURRROOOPPPEEEAAANNN IIINNNIIITTTIIIAAATTTIIIVVVEEE

FFFOOORRR CCCAAARRRDDD PPPAAAYYYMMMEEENNNTTTSSS IIINNN EEEUUURRROOOPPPEEE

CIR Common ImplementationRecommendations

ERIDANE/EPAS

CIR CAS EPAS Er idaneAPACS APACS Banksys BanksysBanksys Banksys Cartes Bancaires Cartes BancairesCartes Bancaires Cartes Bancaires Cetrel CetrelCetrel Cetrel Europay Austria InterpayEuropay Austria Interpay Interpay SermepaInterpay Pan Nordic Card Association Pan Nordic Card Association APACS (observer)

MBNA Sermepa Sermepa ThalesPan Nordic Card Association SIBS SIBS Ingenico

RBS Sistema 4B Atos MoneyLineSermepa SSB BP AxaltoSIBS ZKA Galitt Group ZKASistema 4B IngenicoSSB IntegriTelekurs LyraZKA MoneyLine

RSCSRCThalesThales EspanaTotalUniversity of Applied Science

Wincor

Zusammenarbeit in Europa

Wie wird die vom EPC SCF geforderteStandardisierung organisiert?

Im EPC wurde Konsens über einen Vorschlag zur Nutzung der Arbeit der Initiativen erreicht � Um eine koordinierte und koherente

Projektplanung zu erreichen

� Um den freien Zugang und die freie Verwendung der Arbeitsergebnisse zu gewährleisten

� Um einen Prozess der geregelten Einbringung in die internationale Standardisierungsstruktur zu schaffen

Beschlussfassung noch im Mai 2006

EMV-Migration von electronic cash

Die Migration der Karten bestimmt die Migrationsmöglichkeiten der Terminals....

Version 6.0 – Voraussetzung für die EMV-Migration des electronic cash-Systems

31.12.2010

Karten ohne electronic cash-EMV-Anwendung

Karten mit bisheriger electronic cash-Anwendung undneuer electronic cash EMV-Anwendung

Karten ohne bisherigeelectronic cash Chip-Anwendung

Spur 3electroniccash Spur 2

Spur 3electroniccash Spur 2

electroniccash EMV

Spur 2electroniccash EMV

31.12.20111.7.2007

EMV-Migration von electronic cash

31.12.20101.7.2007

Terminals mit bisheriger Chip-Verarbeitung und Spur 3-Verarbeitung Spur 3

electroniccash

1.7.2008

Terminals mitbisheriger Chip-Verarbeitungund Spur 2-Verarbeitung

Spur 2electroniccash

Terminals mit bisheriger Chip-Verarbeitung, electronic cash-EMV und Spur 2-Verarbeitung

Spur 2electroniccash

electroniccash EMV

+

Spur 2

electroniccash EMV

EMV

Terminals nur mit Spur 2-und electronic cash-EMV

Spur 2electroniccash EMV

EMV

Spur 3X+ Spur 2

electroniccashX

Neue produktpolitische Möglichkeiten durch Verwendung der Standards

Allianzenvia Berlin Group

Co-Brandingelectronic cash auch in anderen Ländern

DomesticScheme

DomesticScheme

DomesticSchemeDomestic

Scheme

DomesticScheme

Möglichkeiten zur Entwicklung von SCF-compliant Produkten:

• Allianzen verbunden durch Berlin Group-Standards

• Gegenseitige Anerkennung von Zertifizierung durch CAS-Standards

• Systemschnittstellen gemäß CIR und EPAS/ERIDANE-Standards

„ Vernetzung“ der Standardisierung im Zahlungsverkehr: eine weitere Rolle für EPC!

Bei nationalen Kartentransaktionen erfolgt Clearing und Settlement im Rahmen des „ klassischen“ Zahlungsverkehrs

Bei grenzüberschreitenden Transaktionen gibt es traditionell eine Differenzierung zwischen Kartengeschäft und „ klassischem“ Zahlungsverkehr

Der Aufbau einer pan-europäischen Infrastruktur für Clearing und Settlement kann prinzipiell auch für Clearing und Settlement von Kartentransaktionen genutzt werden!

Zum Beispiel in zweiter Phase der Berlin Group.

SRC Security Research & Consulting GmbHGraurheindorfer Str. 149a53117 Bonn

Tel. +49-(0)228-2806-0Fax: +49-(0)228-2806-199E-mail: info@src-gmbh.deWWW: www.src-gmbh.de

Kontakt