© Prentice Hall, 2000 Segurança e Sistemas Electronicos de Pagamentos 1

2 Fonte: Livro Turban Objetivos zDescrever sistemas de pagamento para e- commerce zIdentificar os requisitos de segurança para pagamentos eletrônicos seguros zDescrever os esquemas típicos de segurança utilizados para atingir os requisitos zIdentificar os participantes e os procedimentos do sistema eletrônico de carões de crédito na Internet zDiscutir os protocolos SSL e SET

3 Fonte: Livro Turban zDiscutir as relações entre Eletronic Fund Transfer e cartão de débito zDescrever as características dos cartões de valor armazenado zClassificar e descrever os tipos de cartões utilizados em pagamentos zDiscutir as características dos sistemas eletrónicos de cheques Objetivos

4 Fonte: Livro Turban SSL Vs. SET: Quem ganhará? zUma parte do SSL (Secure Socket Layer) está disponível nos browsers yÉ basicamente um mecanismo de encrição para pedidos, perguntas e outras aplicações yNão protege contra riscos de segurança yÉ maduro, simples e amplamente usado

5 Fonte: Livro Turban SSL Vs. SET: Quem ganhará? zSET ( Secure Electronic Transaction) é um protocolo de segurança muito abrangente yFornece privacidade, autenticidade integridade e repudiação yÉ pouco utilizado pela sua complexidade e a necessidade de um leitor de cartões yPode ser abandonado se não se simplifica ou melhora

6 Fonte: Livro Turban Pagamentos e Protocolos zSET Protocolo para pagamentos com cartão de credito zDinheiro Eletrônico e Micro-pagametnos zElectronic Fund Transfer na Internet zCartões de valor armazenado zSistemas de Cheques Eletrônicos

7 Fonte: Livro Turban zRequisitos de Segurança yAutenticação: uma forma de verificar a identidade do comprador antes de que o pagamento seja feito yIntegridade: Garantir que a informação não seja acidentalmente ou maliciosamente alterada ou destruída, durante a transmissão Pagamentos e Protocolos

8 Fonte: Livro Turban Pagamentos e Protocolos yEncrição: O processo de fazer as mensagens indecifráveis exceto para aqueles que tem uma chave de decripção válida yNon-repudiaçõ: Os vendedores necessitam proteção contra a negação de pedido por parte dos clientes. Os clientes necessitam proteção contra a negação do pagamento por parte dos comerciantes. zRequisitos de Segurança

9 Fonte: Livro Turban Esquemas de segurança zCryptografia de chave secreta (simetrica) Message criptogr Mensage Original Enviador Internet Message criptogr Key sender (= Key receiver ) Encripção Mesage Original Receptor Key receiver Decrição

10 Fonte: Livro Turban zCriptografia de Chave Pública Sender Original Message Scrambled Message Public Key receiver Original Message Receiver Private Key receiver Internet Mensage Sender Original Message Scrambled Message Private Key sender Original Message Receiver Public Key sender Internet Asinatura Digital Esquemas de segurança

11 Fonte: Livro Turban zAssinatura Digital O remitente criptografa uma mensagem com a sua chave privada O receptor com a chave publica do sender pode leer-la ySemelhante a assinatura a mão Esquemas de segurança

12 Fonte: Livro Turban zAssinatura Digital Uma assinatura digital e anexada pelo remitente a uma mensagem criptografada na chave pública do receptor O receptor é a unica pessoa que pode leer a mensagem e ao mesmo tempo garantir que foi emitida pelo remitente ySemelhante a assinatura a mão Esquemas de segurança

13 Fonte: Livro Turban zCertificados Name : “Richard” key-Exchange Key : Signature Key : Serial # : Other Data : Expires : 6/18/96 Signed : CA’s Signature yIndentificar o portador de uma chave pública (Key- Exchange) yEmitido por uma entidade certificadora confiavel (CA) Esquemas de segurança

14 Fonte: Livro Turban zAutoridade Certificadora - e.g. VeriSign yPublica ou privada, estabelecida em níveis de hierarquia ySão serviços confiáveis fornecidos por terceiros (Cartórios) yEmissor de certificados digitais yVerificar que uma chave pública realmente pertence a uma certa pessoa Esquemas de segurança

15 Fonte: Livro Turban RCA BCA GCA CCAMCA PCA RCA : Root Certificate Authority BCA : Brand Certificate Authority GCA : Geo-political Certificate Authority CCA : Cardholder Certificate Authority MCA : Merchant Certificate Authority PCA : Payment Gateway Certificate Authority Hierarquia da autoridades de Certificação A autoridade de certificação necesita ser monitorada pelo governo Ou Uma entidade confiavel ( ex., correios, Madre Teresa) Esquemas de segurança

16 Fonte: Livro Turban Cartões de crédito na Internet zOs participantes yDono do cartão y Vendedor yEmissor ( banco) yBanco do vendedor (Que paga para receber depois) yBandeira (VISA, Master Card)

17 Fonte: Livro Turban zO processo de usar cartões de credito offline O dono do cartão requer um carão de uma dada bandeira (como Visa and MasterCard) para um banco onde o dono do cartão tem conta. A autorização de emissão do cartão pelo banco emissor, ou pela companhia de bandeira Um cartão plástico é fisicamente enviado por correio para o cliente. Cartões de crédito na Internet

18 Fonte: Livro Turban zO processo de usar cartões de credito offline Cartões de crédito na Internet O cartão começa valer quando o dono do cartão liga ao banco para inicio dos serviços e assina o mesmo. O dono do cartão o mostra para o vendedor para pagar a compra. Logo o vendedor pede aprovação a empresa da bandeira do cartão. Depois da aprovação, o vendedor requer o pagamento pelo banco da bandeira. O banco do vende requer o pagamento ao banco da bandeira para receber o valor.

Dono do Cartão Vendedor credit card Bandeira do Cartão Payment authorization, payment data Banco Emissor Conta do Dono do cartão Bank Adquierente Conta do vendedor Dados Conta debito Datos Pagamento Procedimento do Cartão de Crédito (offline on online ) 19 Dados de pagamento Quantidade transferida

1. A mensagem é dividida até um comprimento prefixado de mensagem, e o resto da operação (message diggest). 2. A mensagem é encriptada com a chave privada do remetente e resto da operação. Uma assinatura digital é criada. 20 zComputator do remitente Protocolo Secure Electronic Transaction (SET)

21 Fonte: Livro Turban 3. A composição da mensagem, com a assinatura e o certificado de encrição são codificados com com uma chave simétrica que é gerada no computador do emitente a cada transação. O resultado é a mensagem encritada. O protocolo SET usa o algoritmo DES ao invés do RSA para encrição já que o DES é mais rápido que o RSA. 4. A chave simétrica é encriptada com a chave publica do receptor que foi enviada anteriormente ao remitente. O resultado é um envelope digital. 21 zComputator do remitente Protocolo Secure Electronic Transaction (SET)

Computador do Remitente Sender’s Private Signature Key Sender’s Certificate + + Message + Digital Signature  Receiver’s Certificate Encrypt Symmetric Key Encrypted Message  Receiver’s Key-Exchange Key Encrypt Digital Envelope  Message Message Digest  22

5. A mensagem criptografada e o envelope digital são transmitidos via Internet. 6. O envelope digital é decodificado com a chave privada do receptor. 7. Usando a chave simétrica obtida,decifra a mensagem, a assinatura digital e o certificado do remetente. 8. Para confirmar a integridade, da mensagem esta é divida novamente e comparada com o resto da operação (message digest). 9. Se comparam as duas mensagem e se são iguais a mensagem passa na integridade. z Computador do receptor 23 Protocolo Secure Electronic Transaction (SET)

Computador do Receptor Decrypt Symmetri c Key Encrypted Message  Sender’s Certificate + + Message compare  Digital Envelope Receiver’s Private Key- Exchange Key  Decrypt Message Digest Digital Signature Sender’s Public Signature Key  Decrypt Message Digest  24

Entitidades no Protocolo SET no E-commerce Leitor de cartão Cliente x Cliente y Autoridade de certificação Electronic Shopping Center Vendedor A Vendedor B Bandeira do cartão Payment Gateway 25

26 Fonte: Livro Turban SET Vs. SSL Secure Electronic Transaction (SET) Secure Socket Layer (SSL) ComplexoSimples SET ajustado para pagamento via cartão de credito. SSL é um protocolo para propósitos gerais SET oculta do cliente do cartão informa;cão sobre o vendedor e também oculta para os bancos informações dos pedidos para proteger privacidade. Este esquema é chamado de doble assinatura. SSL pode usar um certificado, mais não existe um gateway de pagamento. Então os vendedores tem que receber informações dos clientes e e de credito, já que o processo inicial de pagamento tem que ser realizado pelos vendedores

27 Fonte: Livro Turban SET Vs. SSL Secure Electronic Transaction (SET) Secure Socket Layer (SSL) SET oculta do cliente do cartão informa;cão sobre o vendedor e também oculta para os bancos informações dos pedidos para proteger privacidade. Este esquema é chamado de doble assinatura. SSL pode usar um certificado, mais não existe um gateway de pagamento. Então os vendedores tem que receber informações dos clientes e e de credito, já que o processo inicial de pagamento tem que ser realizado pelos vendedores

28 Fonte: Livro Turban Electronic Fund Transfer (EFT) na Internet Uma Arquitectura de EFT na Internet Internet Pagador Cyber Bank Banco Cyber Bank Receptor Compensação automática VAN Banco VAN Gateway De pagamento Gateway De pagamento

29 Fonte: Livro Turban Cartões de débito zSão um veiculo de entrega de dinheiro em forma eletrônica zMondex, VisaCash aplicam esta idéia zPodem ser anonymous ou onymous zCyberCash comercializou um cartão de débito chamado de CyberCoin como uma forma de realizar micro- pagamento na Internet

30 Fonte: Livro Turban Electronic Cash e Micropagamentos zCartões Inteligentes-Smart Cards yO conceito de e-cash é usado for a da Internet yTecnologia velha: cartões de plástico com fita magnética yNova tecnologia chips com funções programáveis cards “smart” yUm tipo de e-cash para cada uso!! yRecarga do cartão só em determinados locais bancos, escritório ou quiosque. Futuro: recarga no microcomputador ye.g. Mondex & VisaCash

31 Fonte: Livro Turban Moeda Electrônica zDigiCash yAnáloga a notas e moedas yCara, já que cada pagamento deve ser registrado e comunicado aos bancos yConflitos com os Bancos Centrais Custos de senhorio yLegalmente, DigiCash não pode emitir dinheiro!! Só pode emitir um certificado eletrônico de um presente!! Mais é bem aceito em algumas lojas

32 Fonte: Livro Turban zCartões de valor armazenado Electronic Money (cont.) ySem emissão de dinheiro yCartão de Debito — fluxo de dinheiro de forma eletrônica yAnonymous ou onymous yvantagem de um cartão anônimo xO cartão poder ser passado de uma pessoa para outra yImplementado na Internet sem o uso de cartão

33 Fonte: Livro Turban ze-cash baseada em Smart card yPodem ser recarregados através da Internet yPodem ser usado tanto na Internet como for a da Internet zLimite dos valores armazenados yPara prevenir lavagem de dinheiro zMúltiplas Moedas yPodem ser usados para pagamentos internacionais Electronic Money (cont.)

34 Fonte: Livro Turban IC Cartões sem contato zProximity Card yMetro e buses em várias cidades zCartões de reconhecimento remoto yPedágios

35 Fonte: Livro Turban Quantos cartões são necessarios? Um cartão onymous é necessario para Manter os certificados Para cartões, EFT Um cartãode valor armazenado Pode funcionar num Modo anomimo Muitos cartões tendem a fornecer as duas soluções

36 Fonte: Livro Turban Cinco dicas de seguraça zNão revelar a senha para ninguém. Se você acha que a sua senha foi comprometida, troque-a imediatamente. zNão se afastar do computador no meio de uma sessão. zSe você usou o home banking não visite outros sites até que você deu o log-off. zSe outras pessoas usam seu computador, limpe o cache, e reinicializa o browser para eliminar copias das páginas visitadas. zUsar chaves de 128-bit em todas as transações financeiras.

Assuntos de gerencia zProvedores de sistemas de segurança zProvedores de soluções em sistemas de pagamento Eletrônico zLojas eletrônicas zBancos zEmpresas de bandeira de cartões de credito zEmpresas de bandeira de cartões inteligentes zAutoridades de certificação 37