Curs Studenti Comert Electronic

  • Published on
    03-Oct-2015

  • View
    12

  • Download
    7

DESCRIPTION

Curs Studenti Comert Electronic

Transcript

SECURITATEA COMERULUI ELECTRONIC

1.1. Noiuni generale

Msurile speciale de securitate n cazul comerului electronic prin Internet, n care plile se fac cu carduri, sunt concentrate, n principal, n dou direcii:

asigurarea securitii telecomunicaiilor

asigurarea securitii tranzaciilor prin procedee mai puternice de autentificare, n principal a deintorului de card.

Prima direcie ncearc s rezolve problema riscurilor generate de caracterul public al transmisiunilor prin reeaua Internetului, iar a doua pe aceea a riscurilor generate de o situaie n care cardul-nu-este-prezent(similar situaiei comenzilor date prin telefon sau pot).

Alte msuri de securitate sunt luate la nivelul legislaiei i al reglemetrilor bancare i ale sistemelor de carduri, iar altele urmresc comportamentul cumprtorilor i depistarea unui profil al cumprtorului sau comerciantului, potenial fraudulos cruia, mai apoi, i se vor interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale, care pot identifica un fel anume, susceptibil de a fi fraudulos, de a face cumprturi: de exemplu, efectuarea unui numr mare de cumprturi ntr-un interval scurt de timp (cteva ore) de pe multe situri de comerciant, caz n care cumprtorul va fi contactat imediat pentru verificare.

1.2. Securitatea telecomunicaiilor

(protocoalele SSL i TLS)

In prezent, securitatea telecomunicaiei dintre calculatorul personal al cumprtorului i serverul de gzduire al sitelui comerciantului, precum i aceea dintre acest server i procesatorul acceptatorului se realizeaz prin protocolul SSL sau prin succesorul acestuia, TLS.

Ambele protocoale asigur toate elementele fundamentale ale unei transmisiuni sigure: criptarea mesajelor care asigur confidenialitatea, verificarea integritii coninutului mesajului i autentificarea entitilor de la ambele capete ale transmisiunii.

Protocolul SSL (Secure Sockets Layer), ajuns astzi la versiunea 3.0, a fost proiectat de compania american Netscape Communications n anul 1995 i s-a rspndit n lumea ntreag, fiind instalat n toate navigatoarele importante (Internet Explorer i Netscape) i n toate serverele de gzduire de situri i devenind un standard de facto al securitii telecomunicaiilor pe Internet.

n momentul n care un navigator adreseaz un server n regim de securitate (adrese ncepnd cu http:), acesta va trimite navigatorului propriul su certificat de autenticitate, eliberat de o Autoritate de Certificare (care respect standardul X.509) cunoscut i acceptat (cum ar fi VeriSign Inc.), criptat i semnat de aceasta cu cheia sa secret i coninnd identitatea serverului i cheia public a serverului. Opional, i navigatorul poate trimite certificatul su ctre server. Navigatorul va decripta certificatul serverului (cu cheia public, pe care o cunoate, a Autoritii de Certificare) i va obine cheia public a serverului, genernd apoi o cheie secret, valabil numai pentru cuplarea n curs (la fiecare legtur cu serverul, se va genera o nou cheie). Aceast cheie de criptare a mesajelor (de 40 sau 128 de bii) este, la rndul ei, criptat cu cheia public a serverului, cruia i este apoi expediat. n acest fel, ambele capete ale transmisiei dispun acum de o cheie secret de criptare, cu care i cripteaz mesajele pe care ncep s i le trimit. Aceast cheie de criptare a mesajelor se folosete i la aplicarea unui cod MAC (Message Authentication Code), care permite verificarea integritii mesajelor schimbate.

Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet Engineering Task Force), organizaia de standardizare a Internetului, pe baza SSL 3.0 i reprezint o mbuntire a acestuia n mai multe privine. Este de ateptat ca aceasta s se substituie treptat protocolului SSL.

1.3.Securitatea tranzaciilor de plat(protocoalele 3-D Secure, SecureCode i Set)O cretere substanial a securitii tranzaciilor de plat se poate obine prin folosirea unor protocoale de autentificare al cror rol este s autentifice actorii principali ai tranzaciei ce are loc pe Internet: deintorul de card i cardul su, comerciantul i acceptatorul acestuia i poarta de acces din Internet (gateway) ctre sistemul de pli prin carduri.Aceast autentificare se face prin certificate de autenticitate, care necesit un sistem de chei publice (PKI, Public Key Infrastructure), fie prin alte metode, mai simple. Esenial, rmne autentificarea deintorului de card, deoarece aici se afl sursa majoritii fraudelor.

Trei astfel de protocoale sunt astzi n folosin protocolul SET proiectat n anul 1996 de Visa, MasterCard, IBM i alii, protocolul 3-D Secure proiectat de Visa, i protocolul SecureCode proiectat MasterCard, ultimile dou n anul 2001. Cel care asigur securitatea maxim ntruct autentific pe toi actorii tranzaciei, este protocolul SET. Acesta este ns un protocol complicat, costisitor i dificil de implementat, motiv pentru care nu este rspndit, pare ameninat cu dispariia.. Dintre celelalte dou, mai simple i mai uor de implementat, protocolul 3-D Secure tinde s devin un standard de facto, fiind acceptat i de MasterCard i de JCB.

Protocolul de autentificare 3-D Secure este prezentat de Visa sub marca Verified by Visa(VbV), prezent pe siturile comercianilor ai cror acceptatori au aderat la protocol. MasterCard ofer ns, sub marca proprie de SecureCode un numr de trei protocoale de autentificare distincte, la alegere pentru acceptatori: protocolul SPA/UCAF (primul care a purtat marca), protocolul CAP derivat din primul i implementarea proprie a protocolului 3-D Secure.

Spre deosebire de SET, protocoalele 3-D Secure i SPA/UCAF nu mai impun certificate de autenticitate pentru toate prile, ceea ce reprezint o simplificare major. Autentificarea deintorului de card se face n timpul tranzaciei, de ctre emitentul acestuia, numai pe baza numelui i a unui cuvnt de control (password) sau PIN (sau prin alte metode, la alegerea emitentului), certificatul de autenticitate al cumprtorului nemaifiind strict necesar. Protocolul SET folosete certificate de autenticitate i genereaz diverse chei pentru deintorul de card, pentru comerciant i pentru poarta de acces (gateway) la sistemul de pli prin carduri. Poarta de acces se afl la nivelul acceptatorului, care are legatur cu sistemul de pli prin carduri, i reprezint punctul de acces din Internet ctre acceptator i, mai departe, ctre sistemul de carduri.

Certificatele de autenticitate sunt generate de Autoriti de Certificare diferite, aflate ntr-o ierarhie, la vrful creia se afl o autoritate rdcin, care aparine consoriului SET, numit SETCo. Aceast rdcin va certifica Autoritile de Certificare ale sistemelor de carduri (Visa, MasterCard), care, la rndul lor, vor certifica emitenii i acceptatorii.

Fiecare emitent va fi apoi Autoritatea de Certificare pentru deintorii lui de carduri i cardurile acestora, iar fiecare acceptator va fi Autoritatea de Certificare pentru comerciani i porile lor de acces (de la serverul de gzduire la acceptator). n prima faz a tranzaciei, prile se autentific reciproc: deintorul de card cu comerciantul (opional), deintorul de card cu poarta de acces (opional), comerciantul cu deintorul de card (obligatoriu) i comerciantul cu poarta de acces (obligatoriu). n cea de a doua, i ultima faz are loc autorizarea tranzaciei, n care, n maniera descris deja, datele cardului ajung la acceptator, care formuleaz o cerere de autorizare ctre emitent, al crui rspuns l trimite apoi ctre calculatorul deintorului de card, trecnd prin poarta de acces i serverul de gzduire a sitului comerciantului.

Protocolul 3-D Secure este mai simplu i mai uor de implementat, bazat pe un model de sistem de securitate care cuprinde trei domenii. Scopul celor trei domenii este acela de a defini clar responsabilitile prilor implicate n tranzacie. Aceste domenii sunt: Domeniul Emitentului, care cuprinde deintorii de card i emitenii cardurilor lor, Domeniul Acceptatorului, cuprinznd comercianii i acceptatorii lor, i Domeniul de Interoperabilitate, care asigur comunicarea ntre emiteni, acceptatori i sistemul Visa. Protocolul asigur, la fiecare tranzacie, autentificarea numrului de card, a deintorului de card i a comerciantului.

n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip direct emitentul cardului, i comerciantul. n momentul n care cumprtorul iniiaz plata, comerciantul (modulul de 3-D Secure din situl lui) va cere mai nti autentificarea numrului cardului, iar apoi va cere emitentului s-i autentifice deintorul de card. Dup ce va primi autentificarea semnat, va urma autorizarea normal a plii (trimite la emitent, prin sistem, o cerere de autorizare etc.). Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i autentifice mai nti cardul i deintorul de card.

Deintorul de card trebuie s se nregistreze (enrollment) n sistem la emitentul su i s-i declare cel puin un nume i o parol, prin care emitentul s-l poat autentifica n momentul tranzaciei, trimind apoi comerciantului aceast autentificare. Protocolul las emitentului libertatea de a alege i alte metode de autentificare a deintorului de card, care s arate, n momentul efecturii tranzaciei, c este deintorul legitim al cardului cu care se face plata. Emitentul poate astfel cere deintorului de card s dispun de un certificat propriu de autenticitate, s foloseasc un card inteligent ca depozitar sigur al identitii (printr-un cititor cuplat la calculatorul personal) sau s foloseasc metodele de autentificare din propriile servicii bancare electronice (eBanking). Uzual ns, deintorul de card e autentificat de emitent doar prin nume i parol.

Dup ce l autentific, emitentul va genera un rspuns semnat electronic (un certificat de autentificare a deintorului de card), pe care l trimite comerciantului, pentru a-i confirma autenticitatea deintorului de card, iar comerciantul va putea trece la faza de autorizare normal a tranzaciei.

Deintorul de card este liber s-i instaleze i un portofel electronic, ePortofel (eWallet) care va conine informaiile de identitate (nume, adres, parol etc.) i cele de card (tip card, numr card, data de expirare) - ,care i poate servi la automatizarea procesului de completare a formularului de plat (form filling) i la pstrarea chitanelor pentru tranzaciile efectuate.

Emitentul dispune de un serviciu de nregistrare n sistemul 3-D Secure a cardurilor i deintorilor de card (nregistrarea se poate face i prin Internet), pstrnd ntr-un server de nregistrare (Enrollment Server) numerele de card, precum i numele i parola deintorilor participani. Emitentul mai dispune i de un server de control al accesului (ACS, Access Control Server), care are rolul de a primi autentificarea acestuia verificnd numrul de card, numele i parola (sau o alt metod), i de a trimite napoi la comerciant rspunsul semnat.

n domeniul de interoperabilitate, Visa (MasterCard, care a aderat la sistem) dispune de un Director (Directory Service), care este un server central pe Internet (ce dispune de un certificat de autenticitate), n care se pstreaz numerele de card ale tuturor cardurilor nregistrate n sistemul 3-D Secure (nscrise de emiteni), precum i adresele de Internet (URL) ale serverelor de control al accesului (ACS) ale emitenilor cardurilor nregistrate. n acest Director se pstreaz i o arhiv a tuturor autentificrilor date de emiteni, pentru a servi rezolvrii unor eventuale dispute.

n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de acces (payment gateway) la sistemul de plat prin carduri Visa/MasterCard, iar comercianii lor trebuie s-i instaleze, pe lng (sau n locul, dac i preia funciile) modulul client de eComer, i un modul de 3-D Secure care poart numele standard de MPI (Merchant Plug-In module), adic modul de comerciant 3-D Secure instalat n sit. Acest modul de comerciant 3-D Secure va genera ctre emitent, prin intermediul Directorului, cereri de autentificare a cardului i a cumprtorului iar dup primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de acces a acceptatorului (prin intermediul modulului client de eComer), care, la rndul lui, o va trimite, mai departe, n sistemul de carduri prin acceptator. n cursul acestei operaii, modulul MPI al comerciantului se va autentifica fa de Director printr-un certificat de autenticitate sau, mai simplu, printr-o parol (password), iar Directorul va face acelai lucru fa de comerciant. n felul acesta, la fiecare tranzacie, are loc i o autentificare a comerciantului. Dup primirea rspunsului de autorizare, modulul comerciantului va trimite cumprtorului o pagin cu un raport asupra efecturii tranzaciei. n cazul n care tranzacia este iniiat de un card nenregistrat n sistemul 3-D Secure, comerciantul va putea sri peste etapa de autentificare a cumprtorului, trecnd direct la autorizare, sau va respinge tranzacia, dup cum a ales acceptatorul.

Protocolul 3-D Secure verific, esenialmente, autenticitatea cardului i a deintorului de card i d astfel comerciantului ncrederea c va fi pltit dup livrarea produselor comandate. n principiu, protocolul poate fi folosit i pe alte canale de plat: telefoane mobile, asisteni digitali personali (PDA) sau televiziunea digital prin cablu.

Protocolul SecureCode: sub denumirea de SecureCode, MasterCard ofer membrilor si trei protocoale de autentificare a deintorului de card: protocolul SPA/UCAF, protocolul CAP, care este o variant a primului, i protocolul 3-D Secure, n versiunea MasterCard.

Asemeni lui Visa i tot n anul 2000, MasterCard anuna introducerea protocolului SPA (Secure Payment Application), bazat pe utilizarea unui mecanism de transport de date prin reeaua sa (BankNet), denumit UCAF (Universal Cardholder Authentication token), utilizat pentru a indica autentificarea deintorului de card care a fcut tranzacia, motiv pentru care este numit SPA/UCAF. Protocolul CAP (Chip Card Authentication Program) este o variant a SPA pentru plata cu carduri inteligente i presupune, de regul, cuplarea la calculator a unui cititor de astfel de carduri. MasterCard adopt apoi, n anul 2002, protocolul 3-D Secure, ntr-o variant proprie i l prezint tot sub denumirea generic de SecureCode. Acceptatorii MasterCard au libertatea de a-i alege tipul dorit de protocol.

Protocolul cere participarea direct a emitentului, care autentific cumprtorul, i a comerciantului, care dispune de un modul client de eComer specific SPA, i impune ca fiecare cumprtor deintor de card s-i instaleze n calculatorul sau un portofel electronic, care i va servi la autentificare i la efectuarea plii. Acest program (numit si SPA applet) are att funcia de ePortofel, care deine datele de identificare i de card de plat, ct i rolul de a interaciona cu comerciantul i cu emitentul cardului.

Emitentul dispune de un server de ePortofel (wallet server sau SPA server) i distribuie cumprtorilor care se nregistreaz cte un ePortofel, pe care acetia i-l instaleaz apoi n calculatorul lor personal. n momentul nregistrrii (enrollment), cumprtorul i va defini i o parol sau un PIN, prin care va fi autentificat ulterior. Cnd va ncepe tranzacia, ePortofelul se va activa i va cere deintorului de card s se autentifice printr-un formular (se cere parola), dup care se va conecta la emitent, pentru a-i trimite aceste date i a-i cere o dovad a autentificrii. Serverul emitentului va compara datele introduse cu cele pstrate la momentul nregistrrii n sistem i va genera un mesaj purttor al unui semn de autentificare (authentication token), pe care l va ntoarce ctre ePortofel. Acest semn de autentificare poart numele de AAV (Accountholder Authentication Value), valoarea de autentificare a deintorului de cont de card, i arat, n esen, dac parola introdus este corect, caz n care deintorul de card este declarat autentic.

Comercianii au un modul client de eComer, specific protocolului, care le este furnizat de acceptatorul participant la sistem. Acest modul interacioneaz cu cumprtorii i cu ePortofelele lor, precum i cu poarta de acces a acceptatorului (unde se afl modulul server de eComer). n momentul n care cumprtorul va declana cumprtura, comerciantul va aduga la datele tranzaciei i semnul de autentificare (ce se va pstra n cmpul UCAF din structura mesajelor care circul prin reeaua BankNet a MasterCard) i va trimite totul ctre acceptator. Acesta va trimite mai departe cererea de autorizare a tranzaciei i semnul de autentificare, prin reea la emitent. Emitentul va compara semnul de autentificare primit cu cel pe care l-a generat anterior, n momentul autentificrii cumprtorului, i, dac acestea coincid, trece la procedura de autorizare, ca urmare a creia napoiaz acceptatorului un rspuns la cererea de autorizare.

Vasilache, D., 2004, - Pli electronice o introducere, Editura Rosetti Educational, pp.194 - 196

HYPERLINK "http://www.setco.org" www.setco.org (accesat pe 13/03/2006)

http://www.international.visa.com

HYPERLINK "http://www.mastercardmerchant.com/securecode/getstarted.html" www.mastercardmerchant.com/securecode/getstarted.html (accesat pe 14/03/2006)

PAGE