A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança em Sistemas de Pagamentos Ricardo Nuno Mendão da Silva

Apresentações semelhantes


Apresentação em tema: "Segurança em Sistemas de Pagamentos Ricardo Nuno Mendão da Silva"— Transcrição da apresentação:

1 Segurança em Sistemas de Pagamentos Ricardo Nuno Mendão da Silva

2 SSC 0607 © DEI/FCTUC 2 Índice Definição de Sistemas de Pagamento. Modelo de elementos base. Modelo de funcionamento base. Segurança em Sistemas de Pagamentos. Segurança em pagamentos com cartão presente. Segurança com Banda Magnética. Segurança com SMART Card. Segurança no terminal. Segurança no servidor. Segurança em pagamentos com cartão não presente. SET (Secure Electronic Transactions). 3D-Secure (Three Dimension Secure). Caso Português MBNet. Conclusão. Bibliografia.

3 SSC 0607 © DEI/FCTUC 3 Sistemas de Pagamento Sistemas que permitem efectuar transacções financeiras de forma segura e eficaz, entre duas entidades, independentemente da sua localização e instituição bancária, utilizando a rede pública como meio de comunicação e o cartão de crédito ou débito como ferramenta principal. Existem basicamente dois tipos de sistemas de pagamentos: cartão presente (ex.: POS, ATM). cartão não presente (ex.: MOTO, Internet, m-Payment).

4 SSC 0607 © DEI/FCTUC 4 Sistema de Pagamentos Modelo base

5 SSC 0607 © DEI/FCTUC 5 Sistema de Pagamentos Modelo de Funcionamento. 1. Utilizador apresenta o cartão. 2. Comerciante pede autorização ao acquirer. 3. Acquirer consulta o emissor. 4. Emissor dá resposta ao acquirer. 5. O acquirer dá a resposta ao Comerciante. 6. Comerciante entrega os bens/serviços. 7. Acquirer paga ao comerciante. 8. Compensação entre emissor e acquirer. 9. Emissor debita ao utilizador. 10. Utilizador paga ao emissor.

6 SSC 0607 © DEI/FCTUC 6 Segurança em Sistemas de Pagamentos Visa garantir: Privacidade. Autenticação. Integridade. Não-repúdio. Inimigo Número Um: Fraude: Fraude por parte do comerciante. Fraude por parte do cliente. Fraude de uma terceira entidade.

7 SSC 0607 © DEI/FCTUC 7 Segurança em pagamentos com cartão presente Características de um cartão. Dois tipos principais: Banda Magnética. Smart Card contact. Hologramas. Foto ID. Caracteres especiais. Data de expiração. Painel de assinatura. Impressão ultra-violeta. Dois Card Verification Numbers (CVN). Card Verification Value CVV.

8 SSC 0607 © DEI/FCTUC 8 Segurança em pagamentos com cartão presente Segurança em Banda Magnética. Banda magnética possuí três faixas: Codificadas. Esquematizadas segundo normas: Faixa 1 e 2 – ISO Faixa 3 – ISO Faixa 1 contém informação do titular. Faixa 2 contém informação do banco, detalhes do cartão e da conta. Faixa 3 permite guardar informações adicionais de segurança e ainda o saldo do cartão. Objecto passivo (On-line PIN – Pinblock).

9 SSC 0607 © DEI/FCTUC 9 Segurança em pagamentos com cartão presente SMART Card. Contact SMART Card. Possui um circuito integrado com: ROM (< 32KB). EEPROM ([2KB,32KB]). RAM (256bytes). CPU (5MHZ). Possibilidade de conter várias aplicações. Bastante mais seguro. Gerido pela norma EMV (Europay, MasterCard e VISA). Elemento activo.

10 SSC 0607 © DEI/FCTUC 10 Segurança em pagamentos com cartão presente Segurança no Terminal. Módulo de Segurança: Processador + memória + bateria. Protegido por grelhas de metal banhadas a resina epóxica. Sensores de intrusão. Mecanismos de autodestruição da informação. Contém as chaves que assinam as mensagens que circulam entre o POS e o Servidor de pagamentos. Contém as chaves que cifram o PIN. (Pinblock)

11 SSC 0607 © DEI/FCTUC 11 Segurança em pagamentos com cartão presente Servidor de Sistemas de Pagamento. Criptografia simétrica. Gera as chaves para transporte e Pinblock. Distribuição, armazenamento e revogação de chaves. Iniciação e abate dos módulos de segurança. Acesso limitado.

12 SSC 0607 © DEI/FCTUC 12 Segurança em pagamentos com cartão presente Normas de Fabrico. Normas definidas para hardware: VISA PED (VISA PIN Entry Device) SIBS MB-PED. SIBS MB-POS. EMV (SMART Cards). Normas de funcionamento: Gestão do PIN – ISO Autenticação – ISO Gestão das chaves ISO11568.

13 SSC 0607 © DEI/FCTUC 13 Segurança em pagamentos com cartão não presente Teoricamente apresentam mais pontos fracos, sendo necessário uma terceira entidade que regule, controle e tome responsabilidade pelo sistema de pagamentos.

14 SSC 0607 © DEI/FCTUC 14 Segurança em pagamentos com cartão não presente Segurança na comunicação SET – Secure Electronic Transactions. Protocolo elaborado pela VISA, Mastercard, IBM, GTE, Microsoft, Netscape entre outros em Fevereiro de Baseado em certificados digitais x.509 com chaves RSA. Requer que o cliente instale uma aplicação específica e possua um certificado digital. Desenhado de forma a garantir eficazmente o PAIN ( P rivacidade, Autenticação, Integridade e Não-repúdio).

15 SSC 0607 © DEI/FCTUC 15 Segurança em pagamentos com cartão não presente Segurança na Comunicação SET – Funcionamento.

16 SSC 0607 © DEI/FCTUC 16 Segurança em pagamentos com cartão não presente Segurança na Comunicação SET – Funcionamento.

17 SSC 0607 © DEI/FCTUC 17 Segurança em pagamentos com cartão não presente Segurança na comunicação 3-D Secure (Three Domain Secure) Baseado na autenticação do cliente. Utiliza TLSv1. Formato XML. Abrange três domínios: Issuer Domain. Aquirer Domain. Interoperability Domain. Uma arma contra a fraude.

18 SSC 0607 © DEI/FCTUC 18 Segurança em pagamentos com cartão não presente 3D – Secure 1. O Cliente escolhe os produtos/serviços e decide comprar. 2. Verifica o nº do cartão e se aderiu ao 3D-Secure. 3. O MPI envia um Payer Authentication Request (PAReq) ao ACS. 4. O ACS autentica o cliente pedindo uma credencial. 5. O ACS envia a PARes ao MPI e regista a acção no histórico (AHS). 6. O MPI valida a resposta. 7. Procede ao pagamento de forma normal.

19 SSC 0607 © DEI/FCTUC 19 Segurança em pagamentos com cartão não presente MBNET Permite efectuar pagamentos on-line. Conta associada a cartão. Credenciais de autenticação. Permite criar cartões virtuais. Plafon limitado. Maior segurança.

20 SSC 0607 © DEI/FCTUC 20 Conclusão Ambos os tipos de pagamentos electrónicos usam o mesmo sistema base. Sistemas dotados de um vasto conjunto de normas. Convergência dinâmica para o último grito em sistemas de segurança. Actualmente considera-se segura a parte de comunicação e gestão de servidores. Maior perigo actual e para o futuro: Segurança no domínio do cliente.

21 SSC 0607 © DEI/FCTUC 21 Bibliografia [PayPal06] https://www.paypal.comhttps://www.paypal.com [Verisign06] [Visa06] [MasterCard06] [wiki06] [wiki06a] [wiki06b] [Unicre06] [RedUnicre06] [MBNet06] [MAS06] [Pearson06] [SIBS06] [Pararede06] [Guibourg01] [Guerin03] [Mendonça04]

22 SSC 0607 © DEI/FCTUC 22 Agradecimentos


Carregar ppt "Segurança em Sistemas de Pagamentos Ricardo Nuno Mendão da Silva"

Apresentações semelhantes


Anúncios Google