© Prentice Hall, 2000

Segurança e Sistemas Electronicos de Pagamentos

1

2

Fonte: Livro Turban

Objetivos

Descrever sistemas de pagamento para e-commerce

Identificar os requisitos de segurança para pagamentos eletrônicos seguros

Descrever os esquemas típicos de segurança utilizados para atingir os requisitos

Identificar os participantes e os procedimentos do sistema eletrônico de carões de crédito na Internet

Discutir os protocolos SSL e SET

3

Fonte: Livro Turban

Discutir as relações entre Eletronic Fund Transfer e cartão de débito

Descrever as características dos cartões de valor armazenado

Classificar e descrever os tipos de cartões utilizados em pagamentos

Discutir as características dos sistemas eletrónicos de cheques

Objetivos

4

Fonte: Livro Turban

SSL Vs. SET: Quem ganhará?

Uma parte do SSL (Secure Socket Layer) está disponível nos browsers É basicamente um mecanismo de

encrição para pedidos, perguntas e outras aplicações

Não protege contra riscos de segurança É maduro, simples e amplamente usado

5

Fonte: Livro Turban

SSL Vs. SET: Quem ganhará?

SET ( Secure Electronic Transaction) é um protocolo de segurança muito abrangente Fornece privacidade, autenticidade

integridade e repudiação É pouco utilizado pela sua complexidade e

a necessidade de um leitor de cartões Pode ser abandonado se não se simplifica

ou melhora

6

Fonte: Livro Turban

Pagamentos e Protocolos

SET Protocolo para pagamentos com cartão

de credito

Dinheiro Eletrônico e Micro-pagametnos

Electronic Fund Transfer na Internet

Cartões de valor armazenado

Sistemas de Cheques Eletrônicos

7

Fonte: Livro Turban

Requisitos de Segurança Autenticação: uma forma de verificar

a identidade do comprador antes de que o pagamento seja feito

Integridade: Garantir que a informação não seja acidentalmente ou maliciosamente alterada ou destruída, durante a transmissão

Pagamentos e Protocolos

8

Fonte: Livro Turban

Pagamentos e Protocolos

Encrição: O processo de fazer as mensagens indecifráveis exceto para aqueles que tem uma chave de decripção válida

Non-repudiaçõ: Os vendedores necessitam proteção contra a negação de pedido por parte dos clientes. Os clientes necessitam proteção contra a negação do pagamento por parte dos comerciantes.

Requisitos de Segurança

9

Fonte: Livro Turban

Esquemas de segurança

Cryptografia de chave secreta (simetrica)

Messagecriptogr

Mensage Original

Enviador

InternetMessagecriptogr

Keysender (= Keyreceiver)

Encripção

MesageOriginal

Receptor

Keyreceiver

Decrição

10

Fonte: Livro Turban

Criptografia de Chave Pública

Sender

Original Message

Scrambled Message

Scrambled Message

Public Keyreceiver

Original Message

Receiver

Private Keyreceiver

InternetMensage

Sender

Original Message

Scrambled Message

Scrambled Message

Private Keysender

Original Message

Receiver

Public Keysender

InternetAsinatura

Digital

Esquemas de segurança

11

Fonte: Livro Turban

Assinatura Digital

O remitente criptografa uma mensagem com a sua chave privada

O receptor com a chave publica do sender pode leer-la

Semelhante a assinatura a mão

Esquemas de segurança

12

Fonte: Livro Turban

Assinatura Digital

Uma assinatura digital e anexada pelo remitente a uma mensagem criptografada na chave pública do

receptor

O receptor é a unica pessoa que pode leer a mensagem e ao mesmo tempo garantir que foi emitida pelo remitente

Semelhante a assinatura a mão

Esquemas de segurança

13

Fonte: Livro Turban

Certificados

Name : “Richard”key-Exchange Key :Signature Key :Serial # : 29483756Other Data : 10236283025273Expires : 6/18/96Signed : CA’s Signature

Indentificar o portador de uma chave pública (Key-Exchange)

Emitido por uma entidade certificadora confiavel (CA)

Esquemas de segurança

14

Fonte: Livro Turban

Autoridade Certificadora - e.g. VeriSign

Publica ou privada, estabelecida em níveis de hierarquia São serviços confiáveis fornecidos por terceiros (Cartórios) Emissor de certificados digitais Verificar que uma chave pública realmente pertence a uma

certa pessoa

Esquemas de segurança

15

Fonte: Livro Turban

RCA

BCA

GCA

CCA MCA PCA

RCA : Root Certificate AuthorityBCA : Brand Certificate AuthorityGCA : Geo-political Certificate AuthorityCCA : Cardholder Certificate AuthorityMCA : Merchant Certificate AuthorityPCA : Payment Gateway Certificate Authority

Hierarquia da autoridades de CertificaçãoA autoridade de certificação necesita ser monitorada pelo governo

Ou Uma entidade confiavel ( ex., correios, Madre Teresa)

Esquemas de segurança

16

Fonte: Livro Turban

Cartões de crédito na Internet

Os participantes

Dono do cartão

Vendedor

Emissor ( banco)

Banco do vendedor (Que paga para receber depois)

Bandeira (VISA, Master Card)

17

Fonte: Livro Turban

O processo de usar cartões de credito offlineO dono do cartão requer um carão de uma dada bandeira (como Visa and MasterCard) para um banco onde o dono do cartão tem conta.

A autorização de emissão do cartão pelo banco emissor, ou pela companhia de bandeira

Um cartão plástico é fisicamente enviado por correio para o cliente.

Cartões de crédito na Internet

18

Fonte: Livro Turban

O processo de usar cartões de credito offline

Cartões de crédito na Internet

O cartão começa valer quando o dono do cartão liga ao banco para inicio dos serviços e assina o mesmo.

O dono do cartão o mostra para o vendedor para pagar a compra. Logo o vendedor pede aprovação a empresa da bandeira do cartão.

Depois da aprovação, o vendedor requer o pagamento pelo banco da bandeira.

O banco do vende requer o pagamento ao banco da bandeira para receber o valor.

Dono do Cartão Vendedorcredit card

Bandeira do Cartão

Payment authorization, payment data

Banco Emissor

Conta doDono do

cartão

Bank Adquierente

Conta dovendedor

Dados Conta debito Datos Pagamento

Procedimento do Cartão de Crédito (offline on online) 19

Dados de pagamento

Quantidade transferida

1. A mensagem é dividida até um comprimento prefixado de mensagem, e o resto da operação (message diggest).

2. A mensagem é encriptada com a chave privada do remetente e resto da operação. Uma assinatura digital é criada.

20

Computator do remitente

Protocolo Secure Electronic Transaction (SET)

21

Fonte: Livro Turban

3. A composição da mensagem, com a assinatura e o certificado de encrição são codificados com com uma chave simétrica que é gerada no computador do emitente a cada transação. O resultado é a mensagem encritada. O protocolo SET usa o algoritmo DES ao invés do RSA para encrição já que o DES é mais rápido que o RSA.

4. A chave simétrica é encriptada com a chave publica do receptor que foi enviada anteriormente ao remitente . O resultado é um envelope digital.

21

Computator do remitente

Protocolo Secure Electronic Transaction (SET)

Computador do RemitenteSender’s Private

Signature Key

Sender’s Certificate

+

+

Message

+Digital Signature

Receiver’s Certificate

Encrypt

Symmetric Key

Encrypted Message

Receiver’sKey-Exchange

Key

EncryptDigital

Envelope

Message

Message Digest

22

5. A mensagem criptografada e o envelope digital são transmitidos via Internet.

6. O envelope digital é decodificado com a chave privada do receptor.

7. Usando a chave simétrica obtida,decifra a mensagem, a assinatura digital e o certificado do remetente.

8. Para confirmar a integridade, da mensagem esta é divida novamente e comparada com o resto da operação (message digest).

9. Se comparam as duas mensagem e se são iguais a mensagem passa na integridade.

Computador do receptor

23

Protocolo Secure Electronic Transaction (SET)

Computador do Receptor

DecryptSymmetric

Key

Encrypted Message

Sender’s Certificate

+

+

Message

compare

DigitalEnvelope

Receiver’s Private Key-

Exchange Key

Decrypt

Message DigestDigital SignatureSender’s Public Signature Key

Decrypt

Message Digest

24

Entitidades no Protocolo SET no E-commerce

Leitor decartão Cliente xCliente y

Autoridade de certificação

Electronic Shopping Center

Vendedor A Vendedor B

Bandeira do cartão

Payment Gateway

25

26

Fonte: Livro Turban

SET Vs. SSL

Secure Electronic Transaction (SET) Secure Socket Layer (SSL)

Complexo SimplesSET ajustado para pagamento via cartão de credito.

SSL é um protocolo para propósitos gerais

SET oculta do cliente do cartão informa;cão sobre o vendedor e também oculta para os bancos informações dos pedidos para proteger privacidade. Este esquema é chamado de doble assinatura.

SSL pode usar um certificado, mais não existe um gateway de pagamento. Então os vendedores tem que receber informações dos clientes e e de credito, já que o processo inicial de pagamento tem que ser realizado pelos vendedores

27

Fonte: Livro Turban

SET Vs. SSL

Secure Electronic Transaction (SET) Secure Socket Layer (SSL)

SET oculta do cliente do cartão informa;cão sobre o vendedor e também oculta para os bancos informações dos pedidos para proteger privacidade. Este esquema é chamado de doble assinatura.

SSL pode usar um certificado, mais não existe um gateway de pagamento. Então os vendedores tem que receber informações dos clientes e e de credito, já que o processo inicial de pagamento tem que ser realizado pelos vendedores

28

Fonte: Livro Turban

Electronic Fund Transfer (EFT)na Internet

Uma Arquitectura de EFT na Internet

InternetPagador

Cyber Bank

Banco

Cyber Bank

Receptor

Compensaçãoautomática

VANBanco

VAN

GatewayDe

pagamento

GatewayDe

pagamento

29

Fonte: Livro Turban

Cartões de débito

São um veiculo de entrega de dinheiro em forma eletrônica

Mondex, VisaCash aplicam esta idéia

Podem ser anonymous ou onymousCyberCash comercializou um cartão

de débito chamado de CyberCoin como uma forma de realizar micro-pagamento na Internet

30

Fonte: Livro Turban

Electronic Cash e Micropagamentos

Cartões Inteligentes-Smart Cards O conceito de e-cash é usado for a da Internet Tecnologia velha: cartões de plástico com fita

magnética Nova tecnologia chips com funções programáveis

cards “smart” Um tipo de e-cash para cada uso!! Recarga do cartão só em determinados locais

bancos, escritório ou quiosque. Futuro: recarga no microcomputador

e.g. Mondex & VisaCash

31

Fonte: Livro Turban

Moeda Electrônica

DigiCash Análoga a notas e moedas Cara, já que cada pagamento deve ser

registrado e comunicado aos bancos Conflitos com os Bancos Centrais Custos

de senhorio Legalmente, DigiCash não pode emitir

dinheiro!! Só pode emitir um certificado eletrônico de um presente!! Mais é bem aceito em algumas lojas

32

Fonte: Livro Turban

Cartões de valor armazenado

Electronic Money (cont.)

Sem emissão de dinheiro Cartão de Debito — fluxo de dinheiro de

forma eletrônica Anonymous ou onymous vantagem de um cartão anônimo

O cartão poder ser passado de uma pessoa para outra

Implementado na Internet sem o uso de cartão

33

Fonte: Livro Turban

e-cash baseada em Smart card Podem ser recarregados através da Internet Podem ser usado tanto na Internet como for a da

Internet

Limite dos valores armazenados Para prevenir lavagem de dinheiro

Múltiplas Moedas Podem ser usados para pagamentos

internacionais

Electronic Money (cont.)

34

Fonte: Livro Turban

IC Cartões sem contato

Proximity Card Metro e buses em várias cidades

Cartões de reconhecimento remoto Pedágios

35

Fonte: Livro Turban

Quantos cartões são necessarios?

Um cartão onymous é necessario para

Manter os certificados Para cartões, EFT

Um cartãode valor armazenado

Pode funcionar numModo anomimo

Muitos cartões tendem a fornecer as duas soluções

36

Fonte: Livro Turban

Cinco dicas de seguraça Não revelar a senha para ninguém. Se você acha que

a sua senha foi comprometida, troque-a imediatamente.

Não se afastar do computador no meio de uma sessão.Se você usou o home banking não visite outros sites

até que você deu o log-off.Se outras pessoas usam seu computador, limpe o

cache, e reinicializa o browser para eliminar copias das páginas visitadas.

Usar chaves de 128-bit em todas as transações financeiras.

Assuntos de gerenciaProvedores de sistemas de segurança Provedores de soluções em sistemas de

pagamento Eletrônico Lojas eletrônicas BancosEmpresas de bandeira de cartões de credito Empresas de bandeira de cartões inteligentesAutoridades de certificação

37