Безопасность и защита интернет-платежей

Безопасность  и защита интернет-платежей 

Павлова Анна дэф-303

Однако…. 

    … вопросы безопасности расчетов за товары и услуги в сети Интернет — вовсе  не праздные, особенно с учетом широкого наступления электронной  коммерции, залогом  успеха которой становится постоянное увеличение числа пользователей  Интернета, привлеченных более низкими  ценами и отсутствием  необходимости покидать дом или офис для  приобретения товара или услуги. Как  известно, жертвами онлайн-мошенников становятся не только держатели карт, пользующиеся услугами электронной коммерции, но и сами продавцы, предлагающие свои товары и услуги в сети Интернет.  

    Покупая в интернет-магазине и используя карту для оплаты покупки, держатель рискует потерять свои деньги, если данные его карты станут известны мошенникам, интернет-продавец же в свою очередь несет риск финансовых потерь, если товары или услуги были оплачены по украденной карте мошенником.

Эмитенты, эквайеры, крайние… 

Участники платежной системы 

Банки-эйквиваленты 

Банки-эмитенты 

выпускают карты для держателей 

обеспечивают  прием выпущенных карт в точках продажи  товаров и услуг

Эмитенты, эквайеры, крайние… 

    В соответствии с этим разделением  строится следующая модель взаимодействия: 

обладатель карты осуществляет покупку в магазине 

банк-эквайер, обслуживающий этот магазин 

Счет  магазина 

банк-эмитент 

результаты  проверки 

отрицательный ответ банка-эмитента на авторизационный запрос 

через сервисы  самой платежной системы 

положительный ответ банка-эмитента на авторизационный запрос 

информация  с магнитной полосы карты из магазина в форме запроса передается  

производит  проверку полученной информации о карте  и держателе 

разрешает проведение транзакции 

не разрешает  проведение транзакции 

магазин 

Мошенничество

Протоколы и другие методы защиты 

    Обеспечения собственной безопасности: 
 

пользование только знакомыми  интернет-ресурсами  

изучение  порядка доставки товаров и предоставления услуг 

проверка  использования интернет-коммерсантом сертифицированных протоколов, гарантирующих безопасность передаваемой информации

Протоколы и другие методы защиты 

    Протокол SSL (Secure Socked Layer) использует технологию шифрования с открытым ключом и цифровые сертификаты для опознания сервера, участвующего в транзакции, и защиты информации в процессе ее передачи от одной стороны к другой по каналам Интернета.  
 
 
 
 

Транзакции  протокола SSL не требуют идентификации  клиента. 

 Вначале клиент посылает сообщение серверу. Сервер отвечает и отправляет клиенту свой цифровой сертификат в качестве средства идентификации. Прежде чем продолжить транзакцию, клиент и сервер договариваются по поводу сеансовых ключей. Ключи сеанса — симметричные закрытые ключи — используются только в данной транзакции. Как только ключи выбраны, сеанс связи между клиентом и сервером продолжается, при этом используются ключи сеанса и цифровые сертификаты.  

Он  не может уберечь частную информацию, хранимую на сервере продавца. 

Например, номера кредитных карт. Когда продавец получает данные кредитной карты  вместе с заявкой на покупку, информация расшифровывается и сохраняется  на сервере, пока заявка не будет выполнена. Если сервер не защищен и данные не зашифрованы, то возможен несанкционированный  доступ к частной информации и  дальнейшее использование ее в мошеннических  целях.  

Плюс 

Минус

Протоколы и другие методы защиты 

Способы идентификации держателя  карты: 

• проверка  СVV2/СVK2-кодов (СVV2-код для карт платежной системы Visa и CVK2 — для MasterCard).

 

• проверка  адреса AVS (Address Verification Service).

 

    Данная  процедура в большей степени  характерна для североамериканского  рынка электронной коммерции, но, тем не менее, с ней приходилось  сталкиваться и держателям карт российских банков, пытавшимся воспользоваться  картами для оплаты товаров с  доставкой на территории США.

3-D — это не только  захватывающие фильмы 

    Платежная система Visa International протокола 3-D Secure 

Технология 3-D Secure 

протокол  аутентификации владельца  карты при проведении покупок в сети Интернет, предназначенный  для обеспечения  безопасности интернет-платежей: проверка личности осуществляется в онлайн-режиме 

Действующий принцип 

гарантия  безопасности проведения расчетов в системе  электронной коммерции  и в значительной степени способствует сохранению финансовых средств остальных  участников платежа. 

Реализуется технология 3-D Secure системы.  

на  основе трех доменов (что  и заложено в ее названии), в которых  начинается и завершается  жизненный цикл транзакции. Это домен эмитента, в котором происходит аутентификация держателя, домен эквайера, включающий в себя банк-эквайер и интернет-магазин, и, наконец, домен взаимодействия, содержащий службы и сервисы платежной системы.

3-D — это не только  захватывающие фильмы 

Цепочка, обеспечивающая безопасность 3-D Secure, состоит из таких звеньев, как:  

проверка  личности владельца карты в реальном времени, которая начинается после  ввода номера карты на платежной  странице электронного магазина, откуда покупатель перенаправляется на сервер своего банка-эмитента. Для проверки используется пароль, известный только владельцу карты и банку;  

формирование  банком-эмитентом по результатам  проверки ответного сообщения, которое  банк-эмитент защищает от несанкционированных  изменений, используя цифровую подпись;  

защита  конфиденциальной информации пользователя, например номера карты, для чего используются защищенные страницы платежного сервера, на котором сохраняется введенная  информация. Получатель платежа —  электронный магазин — не имеет  доступа к этой информации, что  защищает от ее хищения.

3-D — это не только  захватывающие фильмы 

разграничение рисков участников транзакции за счет четкого разделения функций при  обработке платежной операции 

банк-эмитент  проверяет личность держателя карты, поскольку именно он располагает  информацией о клиенте 

банк-эквайер автоматически организует связь с системой аутентификации эмитента, используя для этого сервисы платежных систем.  

обладатель карты осуществляет покупку в магазине 

банк-эквайер, обслуживающий этот магазин 

банк-эмитент 

магазин 

Мошенничество

3-D — это не только  захватывающие фильмы 

    Результатом сотрудничества в сфере безопасности интернет-расчетов стало появление программ Verified by Visa и MasterCard SecureCode 
 
 

зарегистрироваться  на сайте банка-эмитента  

кодовое слово (число) 

ввести  в всплывающем окне после решения  держателя оплатить выбранный товар/услугу  на сайте 

      Кодовое слово или число  может генерироваться единожды для каждой оплаты и высылаться SMS-сообщением на телефон держателя  карты: 

• при регистрации  держателю потребуется сообщить банку-эмитенту свой номер мобильного телефона;
• проконтролировать, чтобы на момент проведения операции телефон был в зоне действия оператора связи;
• иметь положительный баланс на счете для успешного получения SMS-сообщения.

 

Таким образом, проверкой введенной кодовой  информации и отправкой банком-эмитентом  ответного сообщения транзакция успешно завершается.

А что в России? 

    

• В 2003 г. система ASSIST стала первой российской системой электронных платежей, сертифицированной Visa International по новой технологии 3-D Secure.

 
    

• В деле обеспечения  возможности участникам электронной  коммерции принимать к оплате карты международных платежных  систем активно стартовала компания PayOnline System — самая современная из российских систем интернет-платежей, сертифицирована на соответствие PCI DSS и прошла сертификацию в международных платежных системах Visa International и MasterCard Worldwide.
• голландская компания ChronoPay

 
    

• система HandyBank, которая представляет

    собой интернет-банковский сервис для

    пользователей — физических лиц. Этот сервис

    предоставляют банки — участники системы. 

А что в России? 

    Преимущества HandyBank по сравнению с обычными карточными платежами в Интернете: 

    Во-первых, высокий уровень безопасности: система позволяет совершать транзакции, не передавая в Интернет ни номера своей карты, ни ПИН-кода к ней, ни других ее реквизитов.  

    Во-вторых, более широкий спектр платежных операций. Клиенты HandyBank могут оплачивать множество услуг в упрощенном режиме, совершать банковские переводы, платить налоги и штрафы (госплатежи), совершать интернет-покупки с банковской гарантией возврата денег при любых проблемах с поставкой товара.  

    К дополнительным преимуществам  можно отнести также мобильный банкинг и пополнение счета через терминальные сети.

P.S. 

    В кампанию по борьбе с интернет-мошенничеством включилась корпорация Microsoft. Microsoft совместно с Национальной ассоциацией по борьбе с киберпреступностью (NCFTA) разработали систему Internet Fraud Alert, призванную противодействовать интернет-мошенникам. Инициативу поддержали eBay, система PayPal, Citizens Bank, а также американская Федеральная комиссия по торговле и некоторые другие организации.