© prentice hall, 2000 segurança e sistemas electronicos de pagamentos 1
TRANSCRIPT
© Prentice Hall, 2000
Segurança e Sistemas Electronicos de Pagamentos
1
2
Fonte: Livro Turban
Objetivos
Descrever sistemas de pagamento para e-commerce
Identificar os requisitos de segurança para pagamentos eletrônicos seguros
Descrever os esquemas típicos de segurança utilizados para atingir os requisitos
Identificar os participantes e os procedimentos do sistema eletrônico de carões de crédito na Internet
Discutir os protocolos SSL e SET
3
Fonte: Livro Turban
Discutir as relações entre Eletronic Fund Transfer e cartão de débito
Descrever as características dos cartões de valor armazenado
Classificar e descrever os tipos de cartões utilizados em pagamentos
Discutir as características dos sistemas eletrónicos de cheques
Objetivos
4
Fonte: Livro Turban
SSL Vs. SET: Quem ganhará?
Uma parte do SSL (Secure Socket Layer) está disponível nos browsers É basicamente um mecanismo de
encrição para pedidos, perguntas e outras aplicações
Não protege contra riscos de segurança É maduro, simples e amplamente usado
5
Fonte: Livro Turban
SSL Vs. SET: Quem ganhará?
SET ( Secure Electronic Transaction) é um protocolo de segurança muito abrangente Fornece privacidade, autenticidade
integridade e repudiação É pouco utilizado pela sua complexidade e
a necessidade de um leitor de cartões Pode ser abandonado se não se simplifica
ou melhora
6
Fonte: Livro Turban
Pagamentos e Protocolos
SET Protocolo para pagamentos com cartão
de credito
Dinheiro Eletrônico e Micro-pagametnos
Electronic Fund Transfer na Internet
Cartões de valor armazenado
Sistemas de Cheques Eletrônicos
7
Fonte: Livro Turban
Requisitos de Segurança Autenticação: uma forma de verificar
a identidade do comprador antes de que o pagamento seja feito
Integridade: Garantir que a informação não seja acidentalmente ou maliciosamente alterada ou destruída, durante a transmissão
Pagamentos e Protocolos
8
Fonte: Livro Turban
Pagamentos e Protocolos
Encrição: O processo de fazer as mensagens indecifráveis exceto para aqueles que tem uma chave de decripção válida
Non-repudiaçõ: Os vendedores necessitam proteção contra a negação de pedido por parte dos clientes. Os clientes necessitam proteção contra a negação do pagamento por parte dos comerciantes.
Requisitos de Segurança
9
Fonte: Livro Turban
Esquemas de segurança
Cryptografia de chave secreta (simetrica)
Messagecriptogr
Mensage Original
Enviador
InternetMessagecriptogr
Keysender (= Keyreceiver)
Encripção
MesageOriginal
Receptor
Keyreceiver
Decrição
10
Fonte: Livro Turban
Criptografia de Chave Pública
Sender
Original Message
Scrambled Message
Scrambled Message
Public Keyreceiver
Original Message
Receiver
Private Keyreceiver
InternetMensage
Sender
Original Message
Scrambled Message
Scrambled Message
Private Keysender
Original Message
Receiver
Public Keysender
InternetAsinatura
Digital
Esquemas de segurança
11
Fonte: Livro Turban
Assinatura Digital
O remitente criptografa uma mensagem com a sua chave privada
O receptor com a chave publica do sender pode leer-la
Semelhante a assinatura a mão
Esquemas de segurança
12
Fonte: Livro Turban
Assinatura Digital
Uma assinatura digital e anexada pelo remitente a uma mensagem criptografada na chave pública do
receptor
O receptor é a unica pessoa que pode leer a mensagem e ao mesmo tempo garantir que foi emitida pelo remitente
Semelhante a assinatura a mão
Esquemas de segurança
13
Fonte: Livro Turban
Certificados
Name : “Richard”key-Exchange Key :Signature Key :Serial # : 29483756Other Data : 10236283025273Expires : 6/18/96Signed : CA’s Signature
Indentificar o portador de uma chave pública (Key-Exchange)
Emitido por uma entidade certificadora confiavel (CA)
Esquemas de segurança
14
Fonte: Livro Turban
Autoridade Certificadora - e.g. VeriSign
Publica ou privada, estabelecida em níveis de hierarquia São serviços confiáveis fornecidos por terceiros (Cartórios) Emissor de certificados digitais Verificar que uma chave pública realmente pertence a uma
certa pessoa
Esquemas de segurança
15
Fonte: Livro Turban
RCA
BCA
GCA
CCA MCA PCA
RCA : Root Certificate AuthorityBCA : Brand Certificate AuthorityGCA : Geo-political Certificate AuthorityCCA : Cardholder Certificate AuthorityMCA : Merchant Certificate AuthorityPCA : Payment Gateway Certificate Authority
Hierarquia da autoridades de CertificaçãoA autoridade de certificação necesita ser monitorada pelo governo
Ou Uma entidade confiavel ( ex., correios, Madre Teresa)
Esquemas de segurança
16
Fonte: Livro Turban
Cartões de crédito na Internet
Os participantes
Dono do cartão
Vendedor
Emissor ( banco)
Banco do vendedor (Que paga para receber depois)
Bandeira (VISA, Master Card)
17
Fonte: Livro Turban
O processo de usar cartões de credito offlineO dono do cartão requer um carão de uma dada bandeira (como Visa and MasterCard) para um banco onde o dono do cartão tem conta.
A autorização de emissão do cartão pelo banco emissor, ou pela companhia de bandeira
Um cartão plástico é fisicamente enviado por correio para o cliente.
Cartões de crédito na Internet
18
Fonte: Livro Turban
O processo de usar cartões de credito offline
Cartões de crédito na Internet
O cartão começa valer quando o dono do cartão liga ao banco para inicio dos serviços e assina o mesmo.
O dono do cartão o mostra para o vendedor para pagar a compra. Logo o vendedor pede aprovação a empresa da bandeira do cartão.
Depois da aprovação, o vendedor requer o pagamento pelo banco da bandeira.
O banco do vende requer o pagamento ao banco da bandeira para receber o valor.
Dono do Cartão Vendedorcredit card
Bandeira do Cartão
Payment authorization, payment data
Banco Emissor
Conta doDono do
cartão
Bank Adquierente
Conta dovendedor
Dados Conta debito Datos Pagamento
Procedimento do Cartão de Crédito (offline on online) 19
Dados de pagamento
Quantidade transferida
1. A mensagem é dividida até um comprimento prefixado de mensagem, e o resto da operação (message diggest).
2. A mensagem é encriptada com a chave privada do remetente e resto da operação. Uma assinatura digital é criada.
20
Computator do remitente
Protocolo Secure Electronic Transaction (SET)
21
Fonte: Livro Turban
3. A composição da mensagem, com a assinatura e o certificado de encrição são codificados com com uma chave simétrica que é gerada no computador do emitente a cada transação. O resultado é a mensagem encritada. O protocolo SET usa o algoritmo DES ao invés do RSA para encrição já que o DES é mais rápido que o RSA.
4. A chave simétrica é encriptada com a chave publica do receptor que foi enviada anteriormente ao remitente . O resultado é um envelope digital.
21
Computator do remitente
Protocolo Secure Electronic Transaction (SET)
Computador do RemitenteSender’s Private
Signature Key
Sender’s Certificate
+
+
Message
+Digital Signature
Receiver’s Certificate
Encrypt
Symmetric Key
Encrypted Message
Receiver’sKey-Exchange
Key
EncryptDigital
Envelope
Message
Message Digest
22
5. A mensagem criptografada e o envelope digital são transmitidos via Internet.
6. O envelope digital é decodificado com a chave privada do receptor.
7. Usando a chave simétrica obtida,decifra a mensagem, a assinatura digital e o certificado do remetente.
8. Para confirmar a integridade, da mensagem esta é divida novamente e comparada com o resto da operação (message digest).
9. Se comparam as duas mensagem e se são iguais a mensagem passa na integridade.
Computador do receptor
23
Protocolo Secure Electronic Transaction (SET)
Computador do Receptor
DecryptSymmetric
Key
Encrypted Message
Sender’s Certificate
+
+
Message
compare
DigitalEnvelope
Receiver’s Private Key-
Exchange Key
Decrypt
Message DigestDigital SignatureSender’s Public Signature Key
Decrypt
Message Digest
24
Entitidades no Protocolo SET no E-commerce
Leitor decartão Cliente xCliente y
Autoridade de certificação
Electronic Shopping Center
Vendedor A Vendedor B
Bandeira do cartão
Payment Gateway
25
26
Fonte: Livro Turban
SET Vs. SSL
Secure Electronic Transaction (SET) Secure Socket Layer (SSL)
Complexo SimplesSET ajustado para pagamento via cartão de credito.
SSL é um protocolo para propósitos gerais
SET oculta do cliente do cartão informa;cão sobre o vendedor e também oculta para os bancos informações dos pedidos para proteger privacidade. Este esquema é chamado de doble assinatura.
SSL pode usar um certificado, mais não existe um gateway de pagamento. Então os vendedores tem que receber informações dos clientes e e de credito, já que o processo inicial de pagamento tem que ser realizado pelos vendedores
27
Fonte: Livro Turban
SET Vs. SSL
Secure Electronic Transaction (SET) Secure Socket Layer (SSL)
SET oculta do cliente do cartão informa;cão sobre o vendedor e também oculta para os bancos informações dos pedidos para proteger privacidade. Este esquema é chamado de doble assinatura.
SSL pode usar um certificado, mais não existe um gateway de pagamento. Então os vendedores tem que receber informações dos clientes e e de credito, já que o processo inicial de pagamento tem que ser realizado pelos vendedores
28
Fonte: Livro Turban
Electronic Fund Transfer (EFT)na Internet
Uma Arquitectura de EFT na Internet
InternetPagador
Cyber Bank
Banco
Cyber Bank
Receptor
Compensaçãoautomática
VANBanco
VAN
GatewayDe
pagamento
GatewayDe
pagamento
29
Fonte: Livro Turban
Cartões de débito
São um veiculo de entrega de dinheiro em forma eletrônica
Mondex, VisaCash aplicam esta idéia
Podem ser anonymous ou onymousCyberCash comercializou um cartão
de débito chamado de CyberCoin como uma forma de realizar micro-pagamento na Internet
30
Fonte: Livro Turban
Electronic Cash e Micropagamentos
Cartões Inteligentes-Smart Cards O conceito de e-cash é usado for a da Internet Tecnologia velha: cartões de plástico com fita
magnética Nova tecnologia chips com funções programáveis
cards “smart” Um tipo de e-cash para cada uso!! Recarga do cartão só em determinados locais
bancos, escritório ou quiosque. Futuro: recarga no microcomputador
e.g. Mondex & VisaCash
31
Fonte: Livro Turban
Moeda Electrônica
DigiCash Análoga a notas e moedas Cara, já que cada pagamento deve ser
registrado e comunicado aos bancos Conflitos com os Bancos Centrais Custos
de senhorio Legalmente, DigiCash não pode emitir
dinheiro!! Só pode emitir um certificado eletrônico de um presente!! Mais é bem aceito em algumas lojas
32
Fonte: Livro Turban
Cartões de valor armazenado
Electronic Money (cont.)
Sem emissão de dinheiro Cartão de Debito — fluxo de dinheiro de
forma eletrônica Anonymous ou onymous vantagem de um cartão anônimo
O cartão poder ser passado de uma pessoa para outra
Implementado na Internet sem o uso de cartão
33
Fonte: Livro Turban
e-cash baseada em Smart card Podem ser recarregados através da Internet Podem ser usado tanto na Internet como for a da
Internet
Limite dos valores armazenados Para prevenir lavagem de dinheiro
Múltiplas Moedas Podem ser usados para pagamentos
internacionais
Electronic Money (cont.)
34
Fonte: Livro Turban
IC Cartões sem contato
Proximity Card Metro e buses em várias cidades
Cartões de reconhecimento remoto Pedágios
35
Fonte: Livro Turban
Quantos cartões são necessarios?
Um cartão onymous é necessario para
Manter os certificados Para cartões, EFT
Um cartãode valor armazenado
Pode funcionar numModo anomimo
Muitos cartões tendem a fornecer as duas soluções
36
Fonte: Livro Turban
Cinco dicas de seguraça Não revelar a senha para ninguém. Se você acha que
a sua senha foi comprometida, troque-a imediatamente.
Não se afastar do computador no meio de uma sessão.Se você usou o home banking não visite outros sites
até que você deu o log-off.Se outras pessoas usam seu computador, limpe o
cache, e reinicializa o browser para eliminar copias das páginas visitadas.
Usar chaves de 128-bit em todas as transações financeiras.
Assuntos de gerenciaProvedores de sistemas de segurança Provedores de soluções em sistemas de
pagamento Eletrônico Lojas eletrônicas BancosEmpresas de bandeira de cartões de credito Empresas de bandeira de cartões inteligentesAutoridades de certificação
37