pagamento e através de dispositivos óveis - udesc · maior interoperabilidade entre os sistemas....

Pagamento Eletrônico

Através de Dispositivos Móveis

Ismael Costa Thiago da Silva Wellington Rutes

Pagamento Eletrônico Através de Dispositivos Móveis

• Conceitos básicos de M-Commerce.

• Características de Sistemas M-Commerce.

• Modos de Infraestrutura M-Commerce.

• Tipos de arquitetura para sistemas M-Commerce.

• Exemplo de Sistemas M-Commerce.

• Desenvolvimento de um Sistema M-Commerce.

Roteiro

• Objetivo geral:

• Apresentar de forma teórica o que é M-commerce.

• Objetivo específicos: • Apresentar os desafios para implantação de um sistema

M-commerce.

• Mostrar quais os tipos de pagamentos móveis existentes.

• Expor formas de segurança para os sistemas.

• Apresentar diferentes tipos de infraestruturas e arquiteturas

envolvidas.

• Mostrar exemplos atuais de empresas que utilizam a

tecnologia.

• Apresentar aplicação de M-commerce desenvolvida pela

equipe.

Objetivos do minicurso de M-commerce

Conceitos Básicos do M-Commerce

Objetivos

• Conceitos básicos do M-Commerce.

• Motivação ao tema da Pesquisa.

• Objetivo do M-Commerce.

• Desafios na área.

O que é M-Commerce?

● M-commerce é a sigla usada para designar

MobilE-Commerce que, numa tradução livre,

poderia se chamar de Comércio Eletrônico Móvel.

● Esta tecnologia oferece ao usuário alto grau de

acesso às informações desejadas, permitindo

conduzir transações comerciais enquanto se locomove de um lugar para outro.

M-Commerce: Conceitos

● Profit (2001): ”Pagamento de bens ou serviços

utilizando um dispositivo móvel”.

● Lyytinen (2001): “Envolve o uso de dispositivos de

computação móvel na concretização de diferentes tipos de

transações eletrônicas, possibilitando-as de ocorrer em

qualquer lugar ou hora”.

● Muller-Veerse (1999): “Qualquer transação com valor

monetário que é conduzida através de uma rede de

telecomunicações suportada em equipamentos móveis”.

Objetivo do M-Commerce

• Realizar pagamentos móveis por qualquer tipo

de dispositivo móvel em qualquer lugar ou hora.

Justificativa da Pesquisa sobre M-Commerce

● Smartphones permitem que os usuários

pesquisem produtos a qualquer momento, em

qualquer lugar (IPSOS, 2012).

Justificativa da Pesquisa sobre M-Commerce

● Smartphones são um ponto de compra

emergente (IPSOS, 2012).

Justificativa (Cont.)

Motivos do Aumento da

Venda de Smartphones

● Novos avanços tecnológicos e serviços.

● Maior interoperabilidade entre os sistemas.

● Trabalho fora de escritório.

11/09/2013

O governo brasileiro regulamentou com mais

uma Medida Provisória o sistema de

pagamento móvel no país e autorizou as

operadoras de telecomunicações de oferecer esses serviços no país.

Apoio do Governo

Passado e Futuro das transações

M-Commerce

● Em 2013 o M-Commerce movimentará mais de $ 235 bilhões de dólares em todo o mundo.

● 44% a mais em relação a 2012 que foi $ 163 bilhões.

● Previsão de ir para $ 545 Bilhões em 2015.

(Gartner, 2013)

● Várias empresas já estão apostando na tecnologia para um futuro próximo.

Grandes Empresas

Desafios do M-Commerce

● Confiabilidade no serviço prestado.

● Agilidade na resposta das operações.

● Soluções de baixo custo.

● Segurança nas Transações.

● 82% dos celulares são pré-pagos.

● Difícil adoção pelos clientes e lojistas.

● Fraco poder de processamento das CPUs. ● Baixa disponibilidade de memória (ROM e RAM). ● Dispositivos com telas pequenas. ● Diferentes dispositivos (celulares, PDAs, etc.).

Desafios do M-Commerce (Cont.)

Redes de Telefonia Móvel

● Menor largura de banda.

● Maior latência.

● Baixa estabilidade na conexão.

● Baixa disponibilidade prevista.

Desafios do M-Commerce (Cont.)

Tipos de Infraestrutura

Motivação

• Qualquer sistema de pagamento móvel

necessita se comunicar com um servidor

para sacar e depositar o valor da transação.

• Deve-se definir o tipo da infraestrutura de

acordo com os requisitos de um sistema

M-Commerce (De Almeida, 2012).

Objetivos

• Descrição das principais tecnologias envolvidas:

• GSM (Global System For Mobile).

• GPRS (General packet radio service).

•UMTS (Universal MobileTelecommunications System).

• HSPA (High Speed Packet Access).

• LTE (Long Term Evolution).

Objetivos

• Descrição das principais tecnologias envolvidas:

• WAP (Wireless Application Protocol).

• SMS (Short Message Service).

• MMS (Multimedia Message System).

• USSD (Unstructured Supplementary Service Data).

• Outras.

(Global System For Mobile)

• O sistema mais usado no mundo (80%).

• Função básica: Autenticação do Cliente.

• Utiliza SmartCards (Sim Card para

dispositivos móveis).

SIM CARD

Composto por:

• Memória ROM.

• Memória EEPROM.

Pode conter:

• Memória RAM.

• Microprocessador.

• Co-processador matemático.

• Portas de I/O.

Especificado na norma ISO/IEC 7816.

Funcionalidades

• Provê um serviço completo de comunicação

Mobile. Exemplo:

• Paging (Onde está o usuário?).

• Location Update (Estou aqui.).

• Registro (ligado ou desligado?).

• Estabelecimento de chamada, vel. até 9,6kb/s.

• Armazenamento de dados.

GSM: OTA

(Over-The-Air)

• Técnica de aprimoramento da tecnologia GSM.

• Funções complementares ao cartão SIM.

• Permite remotamente alterar ou atualizar dados

no cartão SIM.

• Não necessita de contato ou alteração física.

• O cartão SIM precisa ser compatível.

• Comandos OTA são enviados como binário SMS.

GSM: OTA

Funcionalidades

• Agenda telefônica armazenada no cartão SIM.

• SMS (Short Message Service) entre pessoas.

• Serviços de informação. • Saldo de conta pré-paga.

• Chat.

• Download de tons para o aparelho.

• Barrar e transferir ligações.

• Deixar a chamada em espera.

GSM: OTA

Funcionalidades (Cont.)

•Acesso a dados através de WAP (Wireless

Application Protocol).

• Envio e recebimento de e-mail.

• MMS.

• Mobile Banking.

• E-Commerce.

GSM: OTA

(Aplicação - Mercedes-Benz)

Haverá aplicativos específicos para os automóveis da

marca. monitores de consumo de combustível, mapas e

softwares de geolocalização, além de informações

importantes como pontos de referência e assistências

técnicas da marca espalhadas pelo mundo.

Tablet Embutido

Atualização remota dos

softwares embarcados de

seus carros.

Funcionamento

Autenticação Roaming

Segurança

- Utiliza criptografia na autenticação:

- Algoritmo A3 – A5/3 – A8.

- Algoritmo DES (antigo) – AES.

Vulnerabilidades

• Inexistência de autenticação da Base Station

perante o dispositivo móvel (p.s: redes 2G).

MS Falsa BS Emulada atuando como MS

Verdadeira BS

Interface de ar

7) Requisição de chamada para destino x.

1) Captura alvo.

2) Envia RAND.

3) SRES ignorada.

4) Inicia chamada.

descriptografada

8) Requisita chamada para o mesmo destino x.

5) Inicia chamada

Cifrada

6) Dado descriptografado (e adulterado).

Vulnerabilidades

• Milhares de SIM Cards utilizam o DES.

• Karsten Nohl descobriu que enviando

uma SMS falsa solicitando mensagem

automática, 25% dos cartões DES

revelam sua chave de 56bits.

(Fonte: New York Times, jul/2013)

Vulnerabilidades

• Testar vulnerabilidades da operadora de um

celular:

https://srlabs.de/gsm-map-tutorial/

GPRS (2,5G)

(General packet radio service)

• Aumenta até 170kb/s a taxa de transferência do

serviço GSM.

• Transmite dados por pacote, ao invés de

comutação por circuito.

• Utiliza apenas os recursos necessários. Assim

vários usuários podem usar o meio (Internet).

EDGE (2,75G)

(Enhanced Data Rates for GSM Evolution)

• Mantém a estrutura GSM.

• 3 vezes mais rápido na transferência que o

• Implementa novos sistemas de modulação.

• Navegação web ainda lenta (alta latência).

Principais diferenças entre:

GSM, GPRS e EDGE

ITC = Intervalos de Tempo de Canal.

Evolução 2G

3G: UMTS (Universal Mobile Telecommunication System)

• Utiliza a estrutura WCDMA.

• Compatibilidade com interface IS-41.

• Definida pela 3GPP (3ª Geração de Telefonia Celular).

• Formada por 3 canais:

• Lógico: identificação da informação transportada.

• Transporte: caracteristicas dos dados pela inteface.

• Físico: transportam os canais pela interface aerea.

3G: WCDMA (Wideband Code Division Multiple Access)

• Velocidade de até 100% a mais que a 2G.

• Possibilita:

• Serviços de dados.

• Jogos.

• Aplicativos.

• Sons / Imagens.

3G: WCDMA (Wideband Code Division Multiple Access)

• HSPA (High-Speed Uplink Packet Access).

• É a principal evolução do WCDMA.

• Download até 14,4Mbps.

• Upload até 5,76Mbps.

4G: LTE

(Long Term Evolution)

• Faz parte das redes telefónicas móveis de

quarta geração.

• Atinge até 100 Mbit/s na velocidade de largura

de banda.

• A principal vantagem, em relação a alternativas

como o WiMax, é a compatibilidade com as

tecnologias anteriores (GSM e UMTS). 44

(Point of Sale)

• Equipamento que realiza transação de cartão de

crédito. • Máquinas de cartão de crédito ou outros terminais

eletrônicos de vendas. • POS Virtual

• Cliente interage com um vendedor à distância.

• Páginas de compra de produtos.

• Exemplo - Personalização de dispositivos móveis:

• Download de toques.

• Imagens de fundo.

• Jogos.

(Pagamentos em maquinas automáticas)

• Caso específico de ponto

de venda (POS).

• Processo automatizado.

• valor do pagamento é em

geral reduzido.

(Peer to Peer )

• Pessoas que compartilham documentos em

lojas digitais.

• Sem necessidade de um intermediador.

• Vendedor e cliente possuem o mesmo tipo de

equipamento.

“Para Banco Central, transferências

P2P serão o começo do pagamento

móvel” (Grossmann , 2013).

Siglas

• G: GPRS (General Packet Radio Service), pode transmitir

dados com velocidade de até 171,2 Kb/s (kilobits por

segundo), normalmente não passando de 80 Kb/s.

• E: EDGE (Enhanced Data Rates for GSM Evolution), um

pouco melhor que o GPRS, sendo capaz de transmitir dados

à taxa de 473,6 Kb/s, embora dificilmente ultrapasse 384

• H: HSPA (High Speed Packet Access). Alcança

velocidades relativamente altas, de até 14 Mb/s (megabits

por segundo), embora taxas tão elevadas dificilmente sejam

atingidas no Brasil.

Siglas

• H+: HSPA+, também chamado de Evolved

HSPA (HSPA Evoluído). Pode trabalhar com taxas de

até 168 Mb/s para download e 22 Mb/s para upload.

• 3G: Geralmente faz referência à tecnologia

UMTS (Universal Mobile Telecommunications Service),

que pode atingir velocidades de até 2 Mb/s.

• Usa o canal GSM para transportar mensagens

(torpedos) de até 255 caracteres.

• Foi lançado em 1991 na segunda geração de

dispositivos móveis.

• Muito popular.

• Adotada por empresas para

solução de pagamento móvel.

• As mensagens enviadas ficam

temporariamente armazenadas na

rede até o destino ficar disponível.

Segurança/Vulnerabilidades

• Problemas herdados do GSM.

• (Interceptar, ler, alterar na transmissão da mensagem).

• Geralmente não garante confidencialidade ou

integridade das mensagens.

• Foi desenvolvido na USP, para o Bradesco.

• Guardada em “claro” no dispositivo móvel.

• Inexistência de autenticação do usuário para

enviar mensagens. 53

(Unstructured Supplementary Service Data)

• Semelhante ao SMS.

• Mensagens de até 182 caracteres.

• Orientado a sessão.

• Melhor tempo de resposta.

• Padrão usado por muitos aparelhos,

• Mensagem aparece automaticamente na tela.

• Não é possível enviar uma mensagem USSD de

um celular para outro celular.

(Unstructured Supplementary Service Data)

Segurança/Vulnerabilidades

• Vulnerabilidades semelhantes ao SMS.

• A diferença é que as mensagens não ficam

armazenadas no celular.

(Multimedia Message System)

• Evolução do SMS.

• Via canal GPRS.

• Enviar mensagens

multimídia de até

30.000 caracteres.

(Wireless Application Protocol)

• Criado em 1997 pelo WAP Fórum (Ericson, Nokia

e Phone.com).

• Especifica um ambiente de aplicação e uma pilha

de protocolos wireless.

• Dentre eles o WTAI que prove uma interface

computador-telefone.

• O WAP funciona sobre GSM e muitos outros

canais de redes mobile.

• Prove que dispositivos móveis acessem a internet

via browser.

• O WAP usa o HTML + XML (WML) e o WMLScript.

• O WMLScript é muito similar ao JavaScript, só que

demanda de menos poder de processamento.

• O WAP é independente de dispositivos.

• Ele auxilia que todos os dispositivos móveis

que adotem o padrão, tenham recurso de

navegação.

• Permite comunicação entre 2 dispositivos (até 1 metro).

• Atinge débitos até 4.0 Mbit/s.

• Facilidade de configuração e uso.

• Consumo reduzido de energia.

• Muitos dispositivos que já a suportam.

(Infrared Data Association)

Bluetooth • Uma das mais usadas nos pagamentos móveis.

• Opera na banda dos 2.4 GHz / velocidades até 2

Mbit/s.

• Universalidade e o consumo de energia.

• Preocupação com confidencialidade e autenticação

dos dispositivos. • Cifra com chaves de 128 bits.

• processo de emparelhamento executado na fase inicial da

comunicação entre dois dispositivos (por vezes visto como

uma parte negativa do protocolo por atrasar

estabelecimento da ligação).

(Radio-frequency identification)

• Identificação de clientes / segurança de lojas de vestuário.

• Utiliza campos eletromagnéticos para comunicação.

• Alcance pode variar entre alguns centímetros e 100 metros.

• Um dispositivo RFID pode ser: 1. Passivo: sem alimentação própria, é alimentado pelo sinal do emissor.

2. Ativo: alimentação própria, (consome mais energia / maior alcance).

3. Misto: alimentação própria apenas para alimentar os circuitos do

dispositivo, utilizando o sinal do emissor para alimentar a comunicação.

RFID consume ainda menos energia que as tecnologias

anteriores

• Deficiência devido a de interagir com vários receptores.

• Dois leitores RFID podem causar interferências entre si.

• O NFC opera na frequência dos 13,56 MHz e permite

velocidades até 424 Kbit/s.

• Visto como uma tecnologia que permite ao dispositivo

móvel simular um cartão contactless.

• Em estado de inicial de adoção.

• Opera nos seguintes modos:

• P2P, comunicando com outro dispositivo NFC.

• Como leitores de etiquetas NFC.

• Simulação de uma etiqueta NFC.

(Near Field Communication)

• Um dispositivo para ser compatível precisa ter:

• Antena: responsável por assegurar a comunicação

com outros dispositivos.

• Chip NFC: componente central da tecnologia.

Assegura a ligação da antena ao elemento seguro e

ao resto do dispositivo.

• Elemento seguro: guarda dados e executa

aplicações de forma segura. Pode existir mais do que

um elemento seguro por dispositivo.

(Near Field Communication)

• Forma rápida, fácil e exata de captura automática

de dados.

• Ex: ver preços de produtos na prateleira.

• Códigos numéricos e alfanumericos:

Código de Barras

• Desempenho perdido por:

• Baixo constraste.

• Espalhamento de tinta.

• Falhas de impressão.

• Zonas de “silêncio”.

Código de Barras

QR Code

(Quick Response Code)

• Criado no Japão em 1994.

• É um código de barras bidimencional.

• Armazenam mais informações sobre os produtos.

• Uma especie de “link”.

• Lido através de uma câmera digital.

• Lê imagens de baixa resolução.

QR Code

(Quick Response Code)

• 2D Armazena até 72Kbytes de

informação.

• 3D armazena até 1,8MB de

informação.

• Podem ainda representar dados

binários, onde é possivel efetuar a

cifragem.

Características

do M-Commerce

Objetivos

• Tipos de valores monetários das transações:

• Tipos de Interação.

• Pagamento a distância.

• Pagamento de proximidade.

• Tipos de transações.

• Conceitos de Segurança.

Características de Sistemas de Pagamento Móvel

Conjunto de tecnologias, regras, protocolos e costumes que tornam

possível que empresas e pessoas troquem dinheiro eletrônico.

Constituirão um importante pilar para as economias do futuro.

Devem garantir a atomicidade de suas transações e, principalmente, a

segurança da sua infraestrutura.

Dinheiro eletrônico

• Armazenamento eletrônico de valores em dispositivos

específicos.

• Pode ser usado para realizar pagamentos a empresas, que

não seja o próprio emitente.

• Atua como um instrumento pré-pago ao portador.

• Para ser utilizado com a mesma flexibilidade que dinheiro

em espécie deve possuir algumas características

essenciais.

Sucesso de um sistema de pagamento eletrônico

• Garantir a sua integridade e de suas transações. • Ampla aceitação e difusão em território nacional. • Fácil uso. • Baixo custo associado a suas transações. • Permitir pagamentos dentro de uma grande faixa de valores. • Agilidade nas suas operações. • Transmitir credibilidade e confiança.

Valor Monetário das Transações

• Micro pagamento: • Pagamentos até €2.

• Segurança pode ser um pouco mais relaxada.

• Rapidez.

• Anonimato.

• Mini pagamento: • Pagamentos desde €2 até €25.

• Características são um meio-termo entre os micro e macro.

• Macro pagamento: • Quando a quantia do pagamento aumenta, o custo da

transação torna-se desprezível em relação ao valor do

pagamento.

• Segurança do pagamento.

• Rapidez da transação torna-se menos importante.

Tipos de Interação

• Pagamento a distância:

• Recebe a informação da transação remotamente.

• Cliente interage com um vendedor à distância.

• Ponto de venda virtual ou POS (Point of Sale) virtual.

•Pagamentos C2C (customer to costumer) remotos.

• Pressupõem a utilização de tecnologias de comunicação

em modo de infra-estrutura.

• GSM, SMS, USSD, GPRS, WAP, LTE, UMTS e HSPA.

Tipos de Interação (Cont.)

• Pagamento de proximidade:

• O dispositivo do utilizador interage diretamente com o destinatário.

• Pode ou não existir comunicação com um servidor durante a

transação.

• Engloba situações como:

• Pontos de venda (POS).

• P2M (pagamentos em maquinas automáticas).

• P2P (Peer to Peer).

• Esta categoria usa também tecnologias de comunicação de curto

alcance.

• IrDA , Bluetooth, RFID, QR Code, NFC, código de barras.

Tipos de Transações

•O conceito de transação agrupa os sistemas em duas

categorias:

• Account-based: • Associada a uma conta bancária, cartão de crédito,

operadora ou outra entidade.

• A transação é representada por uma mensagem que

contém a informação necessária para identificar o

pagamento.

• Assim como nos cheques, a prova da transação é uma

assinatura (assinatura digital).

• Geralmente utilizando criptografia assimétrica

acompanhada por certificados digitais.

Tipos de Transações (Cont.)

• Baseado em tokens: • Comparável à utilização de moedas e notas.

•O objeto que representa a transação não é criado durante a

mesma.

• Quando o pagamento é efetuado o cliente já possui um

objeto válido.

• São constituídos por 3 fases: 1. Ocorre um levantamento de dinheiro ou carregamento de um

cartão.

Cliente adquire os tokens que permite executar pagamentos.

2. Troca de tokens entre os participantes.

Seguida de uma verificação da validade dos mesmos por quem os

recebe.

3. Depósito = entrega dos tokens recebidos em transações à entidade

central do sistema.

Criptografia e Segurança

• Em toda transação realizada pela Internet existe tráfego

de informação entre um cliente e um servidor.

• Transferem-se dados pessoais como números de

cartões de crédito e senhas de bancos.

• Cliente deve ter garantias de segurança do tráfego

dessas informações.

• Existem diferentes protocolos e tecnologias para

garantir segurança e confidencialidade na Internet.

• Utilizam o uso de chaves públicas, algoritmos de

criptografia e autenticação do cliente, entre outros.

• WAP com base em WTLS (Wireless Transport Layer Security):

• Similar ao protocolo de segurança de transporte da Internet.

• Fornece autenticação, integridade dos dados e privacidade de

serviços dentro das limitações dos hardwares utilizados na

tecnologia wireless.

• SSL (Secure Socket Layer) :

• Oferece autenticação, integração de dados e privacidade de

serviços.

• Protocolo é considerado inferior comparando-se às fracas

CPUs, baixas larguras de banda e alta latência das redes

wireless.

• Não fornece uma segurança fim a fim.

Protocolos para Assegurar a Confidencialidade

• XML SIGNATURE: • Iniciativa conjunta da IETF e do W3C.

• Com base na independência de linguagem de programação.

• Fácil interpretação humana e independência de fabricante.

• Permite assinar digitalmente subconjuntos de um documento XML.

• XML ENCRYPTION : • Especifica um processo para cifragemde dados e sua representação

em XML.

• Os dados podem ser:

• Dados arbitrários (incluindo um documento XML).

• Elementos XML.

• Conteúdos de elementos XML.

• Apenas o proprietário da chave criptográfica“ conseguirá

compreender o conteúdo do que foi criptografado.

Protocolos para assegurar a confidencialidade confidencialidade (Cont.)

• XKMS (XML Key Management Specification): • Com base em XML/SOAP para distribuição e registro de chaves públicas. • Inclui funções para informações sobre chaves, registro, verificação e revogação. • Suporte para gerenciamento de chaves para tecnologias como XML Signature e XML

Encryption.

• WS-SECURITY (Web Services Security): • Iniciativa conjunta de empresas como Microsoft, IBM e Verisign. • Destinada ao uso da XML Signature e da XML Encryption. • Fornecer segurança a mensagens SOAP. • Esforço destinado a fazer com que os Web Services trabalhem melhor em um

ambiente global. • Inclui alguns componentes como roteamento, confiabilidade e tratamento de

transações.

• SAML (Security Assertion Markup Language): • Padrão emergente para a troca de informação sobre autenticação e autorização. • Possibilidade de utilizadores transportarem seus direitos entre diferentes Web

Services.

Protocolos para assegurar a confidencialidade confidencialidade (Cont.)

COMPARAÇÃO ENTRE AS DIFERENTES TECNOLOGIAS

WAP/WTLS SLL XML

Signature XML

Encryption XKMS

WS Security

Uso de XML Não Não Sim Sim Sim Sim Sim

Independência de plataforma

Não Não Sim Sim Sim Sim Sim

Suporte a chaves PKI

Sim Sim Sim Sim Sim Sim Sim

Segurança fim-a-fim com Web Services

Não Não Sim Sim Sim Sim Sim

Integridade Sim Sim Sim Sim Sim Sim Não

Autenticação da mensagem

Sim Sim Sim Não Sim Sim Não

Autenticação do Cliente

Sim Sim Sim Não Sim Sim Sim

Exemplos de Arquiteturas

para Sistemas de

Pagamentos Móveis

Objetivos

• Exemplificar arquiteturas para sistemas de

Pagamento Móveis.

• Apresentar arquitetura SEPA: SCT.

• Apresentar arquitetura GSMA.

European Payments Council (EPC):

● A EPC é uma instituição europeia cujo objectivo

é a criação de uma área (SEPA) em que os

pagamentos sejam executados de forma independente das fronteiras nacionais.

● EPC definiu procedimento para executar

transferências a crédito (SCT) e débitos diretos (SDD).

EPC: Arquitetura SCT

● É constituída pelos seguintes componentes:

● Cliente:

● Entidade que inicia a transação.

● O valor do pagamento é descontado da sua conta bancária.

● A conta do cliente é identificada pelo seu IBAN.

● Vendedor:

● Entidade que recebe o pagamento.

● A sua conta é identificada pelo IBAN correspondente.

● Mecanismos de Compensação e Liquidação: ● Conjunto que entidades que permitem aos bancos

comunicarem e efetuarem transferências entre si.

● Banco do Cliente:

● Instituição bancária aderente à SEPA na qual o cliente tem uma conta.

● É identificado pelo seu BIC (Business Identifier Code).

●Banco do Vendedor:

● Instituição bancária aderente à SEPA na qual o vendedor tem uma conta. ● É identificado pelo seu BIC. ● Pode ser o mesmo banco do cliente.

Comunicação Interbancária

Banco do Cliente Banco do Vendedor

Operadora de telecomunicações

Comunicação via GSM, GPRS,

UMTS, HSPA, etc...

Dispositivo do Cliente Elemento seguro (SIM)

ISSO 7816

Vendedor

GSM Association (GMSA):

● GMSA: associação de operadoras de telefonia móvel

e empresas relacionadas para: ● Apoiar a padronização.

● Implementação. ● Promoção do sistema de telefonia móvel GSM.

● O EPC: ● Em associação com a GSMA desenvolveu

um standard. ● Pagamentos com origem em dispositivos móveis.

GSM Association (GMSA):

● Foi utilizado a estrutura definida pela

GlobalPlatfrom (GP).

● Define um ator adicional, o CKLA (Confidential

Key Loading Authority).

● CKLA:

● Permite a configuração de chaves no smartcard

do dispositivo do cliente de forma confidencial.

● A arquitetura da GP considera ainda o

fornecedor de smartcards.

Provedor de serviço/ Banco do cliente

Comunicação em modo de infraestrutura

Celular do cliente

Cartão SIM

OTA Operadora

SIM vendedor

Autenticação de controle

Gerência de Serviços confiáveis

Exemplo de Sistemas de

Pagamento Móveis

Objetivos

• Apresentar diversos sistemas M-Commerce

que já foram desenvolvidos, estes são:

• SEMOPS.

• M-Pesa.

• fairCASH.

• mFerio.

• Oi Paggo.

Secure Mobile Payment Service (SEMOPS):

● SEMOPS é um projeto europeu iniciado em

2002, baseado na cooperação entre bancos e operadoras.

● O sistema é um dos mais complexos e completos, e disponibiliza uma série aplicações.

Secure Mobile Payment Service (SEMOPS):

● Uma transação SEMPOS pode ser resumida nas seguintes fases:

1. Transação de dados

4. Verificação de pagamento

5. Confirmação 6. Confirmação

6. Confirmação

2. Requisição de pagamento

6. Confirmação

Comerciante

Consumidor

M-Pesa: O que é?

● O M-Pesa introduziu o serviço de pagamentos

móveis em larga escala no Quênia.

● Destaque devido a proporção e abrangência da adoção do serviço.

● Real impacto socioeconômico ao país.

● É um meio de pagamento eletrônico para

pequenos valores e loja (monetária). ●Acessível a partir de telefones celulares normais.

M-Pesa: Como funciona?

● Depósito do dinheiro realizado pelos clientes M-PESA.

● Valor é armazenado como uma forma de valor

eletrônico.

● Usado em transferências de dinheiro, compra de

créditos de celular, ou fatura pagamento de contas.

●‘Desmaterializar’ o dinheiro oferece benefícios em:

● Segurança (reduzindo risco de roubo ou perda).

● Conveniência (menos volume, mais fácil de enviar

dinheiro remotamente, menores custos de transporte,

permite realizar a recarga e pagar contas do telefone).

● Privacidade.

M-Pesa: Modelo de receitas.

● Registro do cliente e depósitos são livres.

● Clientes pagam então uma taxa fixa de aproximadamente

35 centavos de dólar americano para transferência P2P

(pessoa a pessoa) e pagamento de contas.

● 30 centavos de dólar americano para saques (em

transações de valor inferior a 30 dólares).

● 1,1 centavos de dólar americano para consulta de saldos.

mFerio: O que é?

● O mFerio é um sistema baseado em tokens criado com o objetivo de substituir pagamentos em dinheiro.

● O projeto suporta transferências off-line dos tipos

P2P e POS através da utilização de NFC para a comunicação de curto alcance.

mFerio : Como funciona?

Passo 1: • Autentificação dos dispositivos.

Passos 2: • O emissor preenche a informação relativa ao pagamento. O

emissor confirma os dados introduzidos e autentica-se novamente.

Passo 3: • Aproximação dos dispositivos, dando início à primeira fase do

protocolo de dois toques. • Os dispositivos trocam informação que os identifica,

através de certificados digitais.

Passo 4: • O dispositivo do emissor verifica o saldo do emissor, desconta

o valor do pagamento no saldo, prepara a mensagem de pagamento e assina-a.

• O receptor visualiza as informações sobre a transacção. • Emissor e receptor confirmam a transacção.

Passos 5 e 6: • Aproximação dos dispositivos pela segunda vez. • A transferência entre os dispositivos é então efetuada. • O dispositivo do receptor verifica a assinatura, incrementa o

saldo do receptor, assina um recibo da transacção e envia-o para o emissor.

● Realizando uma transação P2P (Peer to Peer) com mFerio:

Emissor Dispositivo móvel do emissor

Dispositivo móvel do receptor

Receptor NFC 1 1

Oi-Paggo: O que é?

● A Oi lançou em 2007 o serviço de pagamento

móvel pioneiro no país, o qual permitia ao cliente

fazer compras via aparelho celular na rede de

lojistas credenciados.

● Contudo existia a obrigatoriedade da utilização de

um aparelho celular Oi pelo cliente

e outro pelo lojista.

● “Cartão de crédito sem plástico, com

a autenticação sendo realizada pelo

aparelho celular Oi do usuário”.

Oi-Paggo: Pagamento com celular no POS

Oi-Paggo: Pagamento com cartão no celular POS

Enviar Msg. Para 922 Msg. 520

Valor R$50,20

Bandeira: Visa Master Amex Diners

Número do cartão: - - - - - - -

Validade do cartão: - - - - - - -

Código Segurança: Legível Ilegível Não possui

Código Segurança: - - - - - - - -

Selecione: Cred Avista Cred Parc

Processando...

VISA CRÉDITO Cartão: 12642****34 Valor:R$40,00 Status: Autorizada Referência: Camisa

fairCASH: O que é?

● É um sistema pré-pago que permite pagamentos à

distância e pagamentos de proximidade off-line.

● O sistema permite anonimato inquebrável dos

clientes, evitando que a identificação da aplicação de

pagamento seja associada com o cliente.

● O cliente não fornece os seus dados ao sistema

através de qualquer tipo de registo.

fairCASH: Como funciona?

Servidor

Dispositivo Móvel do

Cliente

Cliente 109

Fase de pagamento Fase de pagamento

Comparação entre os sistemas:

SEMOPS M-Pesa mFerio Oi-Paggo fairCASH

Valor Monetário das Transações

Todos Todos Todos Todos Não especificado

Tipo de Interação Todos POS e P2P POS e P2P POS e Virtual

Momento do Pagamento

Todos Pré-pago

Não especificado

Todos Pré-pago

Necessidade de Intermediários

On-line

Off-line Off-line

Tipo de Criptografia

Não especificado

Assimétrica

Anonimato Parcial Não suportado

Apenas em parte do sistema

Não suportado

Desenvolvendo um

Exemplo de Sistema

M-Commerce

Objetivos

• Desenvolver um Exemplo de Sistema M-Commerce que

possibilite o acesso e utilização através de dispositivos

móveis.

• Ilustrar a interação com o gateway para validação do crédito

com as agências credoras.

• Captura e trânsito dos dados.

• Controle de Fraudes – Ataques – Chargebacks.

• Exibição do Sistema.

Captura de Dados em Trânsito

• Uma venda através de um site de comércio eletrônico

pode ser considerada, em uma perspectiva simplificada,

como um conjunto de dados.

• Cliente - > loja virtual - > instituição credora.

• Perspectiva clássica de B2C bem.

• Interceptação dessas informações no tráfego de

maneira criminosa.

• Tráfego em páginas de “conexão segura”.

• Protocolo HTTPS –SSL (Secure Sockets Layer).

Ataques a Sites de Comércio Eletrônico

• Vulnerabilidades em sua infraestrutura tecnológica, (servidores,

equipamentos de rede, etc.), vulnerabilidades em seus processos

internos e vulnerabilidades em seus sistemas.

• A primeira barreira deve ser estabelecida na rede.

• Firewalls - determinar quais equipamentos podem estabelecer

conexão com os servidores mais críticos de sua empresa.

• Mecanismos de controle de acesso:

• Não substitui o uso de firewalls mas complementam a sua

proteção.

• Nem todos os empregados precisam ter acesso a todas

informações para desempenhar as suas atividades.

Controle sobre as fraudes

• AVS (Address Verification Service) • Análise do endereço do comprador através do CEP.

• Anti-fraude CyberSource

• Analisa e identifica qual o nível de segurança de cada transação.

• Chargebacks

• Transação contestada pelo portador por não reconhecê-la. • Soft Descriptor - personalizar a informação que aparece na

fatura do portador, reduzindo o chargeback por não reconhecimento da compra.

Ataques a Sites de Comércio Eletrônico

Ataque aos servidores em busca dos dados de cartão armazenados.

116 Resolvido pelo protocolo SET que foi desenvolvido pela VISA e MASTERCARD.

Características da solução

• Comunicação com a Cielo através do Gateway de Pagamento da Locaweb.

• O Cielo E-Commerce foi desenvolvido com tecnologia XML, que é padrão de mercado sendo possível integrar-se utilizando linguagens de programação, tais como: ASP, ASP.Net, Java, PHP, Ruby, Python, etc.

• Segurança: a troca de informações se dá sempre entre o Servidor da Loja e da Cielo, ou seja, sem o browser do comprador.

Diagrama de Sequência do Processo de Compra no Sistema Desenvolvido

Fecha pedido Criar transação Consulta transação

Retorna confirmação do pedido

Retorna consulta da transação

processar()

Comprador Loja(Vendedor) Comércio Eletrônico Interface web CIELO

Telas do sistema em um SmartPhone

Telas referentes a interação do cliente com a loja virtual

Escolha do meio de pagamento.

Telas do sistema em um SmartPhone (Cont.)

Transação e finalização do pedido.

Sistema – Transação

Sistema – Relatório de Pedidos

Sistema – Cadastro de produtos

Considerações Finais

• Ainda temos muito que pesquisar na área do M-Commerce.

• Tecnologias M-Commerce possuem grande tendência para

o futuro.

• As tecnologias atuais se mostram instáveis em termos de

segurança.

• As empresas ainda não aceitam a tecnologia.

• Pesquisas em algoritmos de Criptografia mais seguros são

um campo promissor na área.

• O E-Commerce esta em amplo crescimento, este vem abrir

as portas para a aceitação do M-Commerce pelos

compradores.

Referências

ALMEIDA, F. M.. ePaga - Sistema de Pagamento Electrónico. 2012. Lisboa:

Universidade Técnica de Lisboa.

BOESING, A. C. Pagamento eletrônico: estudo teórico e prototipação de um sistema baseado em sim card para transações ponto a ponto em dispositivos móveis utilizando bluetooth. TCC do curso do Centro Universitário Feevale – Rio Grande do Sul, 2008.

CIELO, e-Commerce. Manual do Desenvolvedor. Versão 2.5.1., 2012.

GARTNER, I. Gartner Says Worldwide Mobile Payment Transaction, Disponível

em: http://www.gartner.com/newsroom/id/2504915 Acesso em 16/09/2013

IPSOS, O. M.. Nosso Planeta Mobile: Brasil. 2012. Disponível em:

http:www.ormuztech.com.br/blog/images/stories/our_mobile_planet_brazil_pt_BR.pdf

MARTINS, R. ROCHA, J. HENRIQUES, M. Segurança dos Web Services no

Comércio Eletrônico Móvel, Disponível em:

http://homepages.di.fc.ul.pt/~paa/projects/conferences/coopmedia2003/10.pdf

Acesso em 20/08/2013.

NETO, F. M.. ePaga - Sistema de Pagamento Electrónico. 2012. Lisboa:

Universidade Técnica de Lisboa.

SAVI, E. F. LÓPEZ, C. O. Uma solução de m-commerce para a força de vendas

de empresas. In: 23º Congresso Nacional de Engenharia de Produção, 2003,

Ouro Preto. Minas Gerais, 2013.

pagamento e através de dispositivos óveis - udesc · maior interoperabilidade entre os sistemas....

Documents

convergência e interoperabilidade

interoperabilidade dados abertos

interoperabilidade entre os padrões odf e ooxml

programa para interoperabilidade entre softwares de...

interoperabilidade entre ambientes de simulaÇÃo...

interoperabilidade bim em projeto de estruturas

guia de interoperabilidade - manual do gestor

comparaÇÃo do processo de interoperabilidade bim …

o papel das ontologias na interoperabilidade de...

interoperabilidade e semântica na web

interop itcare: interoperabilidade java e .net

cartilha técnica de interoperabilidade

guia de interoperabilidade cartilha técnica 2015

interoperabilidade suportando o vista

convergência e interoperabilidade 1 sem - 2013 - fei

interoperabilidade semÂntica em sistemas de …

padrões de interoperabilidade de governo eletrônico ·...

solução não proprietária para interoperabilidade entre

interoperabilidade com .net em ambiente mainframe

normalização e interoperabilidade da informação...