Carteiras Eletrônicas Frank Meylan meylan@lsi.usp.br LSI Escola Politécnica da USP - EPUSP

Agenda Introdução Problemas no Pagamento Carteiras Eletrônicas Participantes e seus Interesses Tipos de Carteiras Considerações sobre Segurança Considerações sobre Privacidade

Introdução A Internet pretende, através do comércio eletrônico, fornecer elevada conveniência e facilidade para que os consumidores possam fazer suas compras.

Introdução Esta intenção não é atingida atualmente pelo fato dos consumidores efetuarem o pagamento através de “procedimentos manuais”. Ou seja, digitando as informações do número do cartão de crédito, validade, endereço de entrega, etc. A cada nova compra este procedimento é repetido. Internet

Introdução Esta rotina repetitiva e exaustiva elimina o “impulso da compra” por parte do cliente quando este encontra um produto que o agrada. O usuário não tem como listar as compras já realizadas nos diferentes estabelecimentos comerciais. As emissoras de cartão de crédito não tem como se proteger do repúdio das transações

Problemas no Pagamento Atualmente, grande parte dos pagamentos na Internet são feitos, preenchendo-se um formulário (através de uma conexão SSL) onde é informado: O nome do portador do cartão A validade do cartão O endereço do proprietário do cartão O endereço de entrega da mercadoria O número do cartão de crédito Para cada nova compra, este procedimento é repetido

Problemas no Pagamento Dados comuns a todos os formulários Conexão SSL

Problemas no Pagamento Desvantagens desta forma de pagamento: O comerciante tem de confiar que todas as informações fornecidas são verdadeiras e corretas; O comprador deve confiar no comerciante ou no prestador de serviço de pagamento ao informar o número de seu cartão de crédito; Este mecanismo não permite transações com cartão de débito, uma vez que não se pode digitar a senha do cartão em uma conexão SSL. Se isto ocorresse, o comerciante teria acesso a esta informação; Não é possível a utilização de SmartCards.

Problemas no Pagamento Utiliza SSL: O SSL provê um canal seguro (criptografado) somente entre dois participantes de uma comunicação, por exemplo entre o comprador e o comerciante. Um compra na Internet pode envolver mais participantes, por exemplo: comprador, comerciante e instituição financeira. Internet Comerciante ? Comprador Instituição Financeira

Carteiras Eletrônicas Como no mundo físico, as carteiras são utilizadas para armazenar: Informações do seu proprietário; Nome Endereço Informações sobre os métodos de pagamento que o usuário possui; Cartão Visa, número: 12345678, Val.: 02/02 Cartão Mastercard, número: 87654321, Val.: 01/02 Informações sobre as compras realizadas;

Carteiras Eletrônicas As carteiras eletrônicas possibilitam transações seguras na Internet. Para isso podem utilizar tanto o SSL - Secure Socket Layer, quanto o SET - Secure Electronic Transaction. Uma carteira eletrônica pode possuir espaços utilizados para propagandas. Por exemplo: logo do emissor, de lojas conveniadas, etc. Sempre que o cliente realizar uma compra na Internet, estará com o logo do banco, por exemplo, na sua frente.

Tipos de Carteiras Eletrônicas De acordo com a sua implementação, quatro diferentes tipos de carteiras eletrônicas são identificados: Site Wallets - Carteira implementada no site da instituição comercial; Remote Wallets - Carteira implementada em um site próprio, diferente da instituição comercial; Distributed Wallets - Carteira implementada parte em um site próprio, parte no cliente; Personal Wallets - Carteira implementada totalmente na estação do cliente.

Tipos de Carteiras Eletrônicas Pergunta tradicional: Qual é a melhor ? Resposta tradicional: Depende dos interesses envolvidos.

Participantes e seus Interesses Os participantes de uma transação de carteira eletrônica depende do tipo de carteira que está sendo utilizado. Genericamente, temos os seguintes participantes: Instituições Financeiras Emissoras de Cartões de Crédito Instituições Comerciais Clientes ou Consumidores

Participantes e seus Interesses Instituições Financeiras São motivadas pelo crescimento das transações através da Internet e pelo valor que estas transações representam; Tem grande interesse de em associar sua marca com compras pela Internet conquistando, desta forma, a confiança de seus clientes tradicionais e atraindo novos; Impor concorrência aos provedores de acesso e portais que atraem milhões de usuários.

Participantes e seus Interesses Emissoras de Cartão de Crédito Diminuir o risco de fraude nas transações através da Internet. Estatísticas da Mastercard: 1997 - 1998 Aumento de 48% de fraudes envolvendo MOTO (Mail Order, Telephone Order, que inclui transações pela Internet) Compras cujos produtos são entregues através da Internet (ex. programas) tem índice de fraude muito alto: 16% dos pedidos contra menos de 1% de “entregas físicas”

Participantes e seus Interesses Instituições Comerciais Desejam ter o controle total do processo e da aparência do site para destacarem-se dos concorrentes; Automatizar o processo de pagamento para minimizar a ocorrência de erros de digitação no endereço de entrega, número do cartão de crédito, etc.; Minimizar o repúdio de compras; Permitir o comércio globalizado.

Participantes e seus Interesses Clientes ou Consumidores Conveniência: reutilização das informações comuns: nome, endereço, etc; Portabilidade: possibilidade de utilizar qualquer browser ou equipamento conectado à Internet (PC’s, palm-tops, celulares); Flexibilidade: o mesmo mecanismo de compra deve funcionar com qualquer instituição comercial; Privacidade: suas informações pessoais não devem ser divulgadas sem sua prévia autorização Segurança: o risco de perda devido a uma fraude deve ser baixo.

Participantes e seus Interesses Como comparar os tipos de carteiras eletrônicas ? Rsp. Deve-se analisar: Forma de implementação; Vantagens e desvantagens para o emissor da carteira; Possibilidades de espaço dedicado para publicidade; Considerações de prática de negócios; Considerações sobre o desenvolvimento, manutenção e distribuição das carteiras eletrônicas.

Tipos de Carteiras - Site Wallets Site Wallets: são carteiras eletrônicas implementadas no próprio site do comerciante. Utilizam os formulários em uma página Web para obter as informações do cliente e dos métodos de pagamento suportados. Normalmente as conexões são feitas através do protocolo SSL - Secure Sockets Layer

Tipos de Carteiras - Site Wallets Identificação do cliente já cadastrado Conexão SSL

Tipos de Carteiras - Site Wallets Vantagens: Armazena as informações de um comprador freqüente para posterior reutilização; Não instala nenhum software na máquina do usuário, porém pode carregar cookies para sua identificação; Mantém o aspecto visual do restante do site; Pode armazenar as compras dos clientes para posterior análise e criação de perfis individualizados.

Tipos de Carteiras - Site Wallets Desvantagens: A necessidade de cadastro pode ser um empecilho para uma “compra casual”; Não suporta operações “off-line”. Por exemplo: listar as compras realizadas; Bastante discutível a segurança dos cookies; As informações cadastradas não podem ser reutilizadas em outros sites; Forçam os usuários a guardarem um código e senha; A privacidade das informações do cliente é de responsabilidade do comerciante;

Tipos de Carteiras - Site Wallets Desvantagens: Conforme o site cresce, mais associados terão os seus dados cadastrados, entre eles o número do cartão de crédito. Consequentemente, o site torna-se atrativo para um ataque de hacker. Internet

Tipos de Carteiras - Site Wallets Publicidade: As carteiras instaladas diretamente no site do comerciante estão sob o seu controle, de forma que podem ser aproveitadas para anúncios, promoções, etc que estejam diretamente relacionados com o seu negócio; Podem ainda negociar este espaço com parceiros de negócios.

Tipos de Carteiras - Site Wallets Práticas de Negócios: As carteiras instaladas no site não permitem a utilização de cartões de débito, nem SmartCards. Este fato pode limitar bastante sua utilidade em um futuro próximo.

Tipos de Carteiras - Site Wallets Desenvolvimento, Operação e Distribuição: O cliente não precisa instalar nenhum software adicional em sua máquina. Isto facilita a atualização do software no servidor; Para manter o cadastro dos clientes, comprovantes das compras realizadas, realizar as transações financeiras, manutenção da disponibilidade e redundância dos servidores é exigido elevadas somas de dinheiro para instalar e manter o sistema. Internet Web Server Database Server Commerce Server Firewall DMZ

Tipos de Carteiras - Remote Wallets Remote Wallets: São carteiras de pagamento também baseadas em interface WEB, porém não ficam no site do comerciante. Este tipo de carteira pode ser implementado em provedores de acesso ou portais, fornecendo para seus usuários um mecanismo de pagamento para as lojas conveniadas. Também podem ser sites próprios na Internet. Mesmo assim, devem manter relacionamento com clientes e lojas conveniadas. Ex. CyberCash, BlueMoney, eWallet

Tipos de Carteiras - Remote Wallets Comerciante 3. Envia informações do pagamento 1. Inicia Pagamento 5. Pagamento Completo 4. Processa o pagamento 2. Usuário autentica-se e seleciona método de pagamento Internet Comprador Remote Wallet 6. Armazena informações sobre a compra Instituição Financeira

Tipos de Carteiras - Remote Wallets Vantagens: Agrega mais usuários do que as carteiras instaladas no site do comerciante; Pode servir vários comerciantes simultaneamente; É portável. Para o seu funcionamento só é necessário um browser; O usuário não precisa carregar ou atualizar o software da carteira; Todo o processamento ocorre remotamente;

Tipos de Carteiras - Remote Wallets Desvantagens: A assinatura de uma carteira remota diminui a possibilidade de Instituições Financeiras a explorarem como veículo de propaganda; Usuários podem ser limitados a somente utilizar os cartões conveniados com o prestador de serviço; O risco associado com a utilização de carteiras remotas é difícil de ser avaliado. Para a utilização de carteiras remotas tanto o cliente quanto o comerciante devem possuir um acordo com o provedor da carteira;

Tipos de Carteiras - Remote Wallets Desvantagens: Para que a a carteira remota seja rentável e interessante de ser utilizada, é necessário que exista um número de clientes e comerciantes suficientes para justificar as taxas cobradas. Para trabalhar com uma carteira remota, o comerciante deve aceitar os protocolos específicos desta. A carteira remota só funciona quando o usuário está conectado ao servidor. Desta forma, não é possível realizar tarefas como editar as contas, listar as compras, exportar arquivos para outros programas (Excel, Money)

Tipos de Carteiras - Remote Wallets Desvantagens: Não suportam SmartCards nem cartões de débito. Concentram milhões de números de cartões de crédito, tornando-se um alvo muito interessante para os hackers. Deve-se investir grandes somas de dinheiro na infra-estrutura de segurança e pessoal altamente qualificado. Os clientes podem ter dúvidas em relação às garantias fornecidas quanto a privacidade das suas informações pessoais.

Tipos de Carteiras - Remote Wallets Publicidade: O proprietário do servidor de carteira remota é o grande favorecido em relação às oportunidades de negociação dos espaços publicitários. Porém, a propaganda só é vista quando o usuário esta on-line e no momento de pagamento de uma compra.

Tipos de Carteiras - Remote Wallets Práticas de Negócios: A forma de atuação, as responsabilidades e obrigações não são definidas neste tipo de carteira eletrônica. Por exemplo: O operador da carteira remota pode ser: banco; grande comerciante; Supondo que fosse um emissor de cartão de crédito, é possível que ele não permitisse compras com o cartão concorrente Também não é fácil calcular o risco envolvido em transações deste tipo emissor de cartão de crédito; provedor de acesso à Internet;

Tipos de Carteiras - Remote Wallets Desenvolvimento, operação e distribuição: Devido à necessidade de: suportar milhares de clientes simultaneamente; atender diversos comerciantes comunicar-se com várias entidades financeiras funcionamento 24x7x365 (redundância total - máquinas, linhas de acesso, softwares, energia) O custo de instalação e manutenção de um provedor de carteira remota é bastante alto No entanto, não existe o problema da distribuição de software para ser instalado no cliente

Tipos de Carteiras - Distributed Wallets Distributed Wallets: funcionamento semelhante às carteiras remotas, porém utilizam um programa cliente (plug’in, por exemplo) na máquina do usuário e outro, servidor, no provedor de carteira eletrônica. Toda a comunicação entre o cliente e o comerciante é feita através da carteira. Não existe comunicação direta entre o comerciante e o emissor da carteira no processo de pagamento. Também requerem a existência de um vínculo entre a entidade comercial e o provedor de carteira eletrônica.

Tipos de Carteiras - Distributed Wallets 1. Cliente clica em “Comprar” 2. Inicia Pagamento 5. Envia informações do pagamento Comerciante 6. Processa o pagamento Comprador Internet 4. Usuário autentica-se e seleciona método de pagamento 3. Dispara a Carteira Wallet Server 7. Pagamento Completo Instituição Financeira 8. Armazena informações sobre a compra

Tipos de Carteiras - Distributed Wallets Vantagens: Agrega mais usuários do que as carteiras instaladas no site do comerciante; Pode servir vários comerciantes simultaneamente; Pode ser instalada em equipamentos com pouca capacidade computacional como celulares, palms, set-top boxes, smart cards, etc; Relativa portabilidade. É necessário um equipamento que suporte a parte cliente da carteira; Podem suportar transações com smart cards e cartões de débito.

Tipos de Carteiras - Distributed Wallets Desvantagens: Podem ser desenvolvidas para suportar somente cartões com os quais o emissor da carteira mantenha relacionamento. Tem o seu mecanismo de funcionamento muito mais complexo do que as carteiras remotas. Não existe padronização de protocolos que permita que uma carteira (cliente) transacione com outros servidores. As mesmas desvantagens das carteiras remotas ...

Tipos de Carteiras - Distributed Wallets Publicidade: Da mesma forma que as carteiras remotas, as distribuídas também beneficiam o emissor da carteira em relação às oportunidades de propaganda. Enquanto o cliente não estiver conectado na Internet, a carteira pode estar ativa e apresentando as mensagens publicitárias.

Tipos de Carteiras - Distributed Wallets Mesmo quando o usuário não está fazendo compras, a carteira pode ser utilizada para publicidade ou informações

Tipos de Carteiras - Distributed Wallets Práticas de Negócios: Semelhante à carteiras remotas ... A forma de atuação, as responsabilidades e obrigações não são definidas neste tipo de carteira eletrônica. Por exemplo: O operador da carteira remota pode ser: banco; grande comerciante; Supondo que fosse um emissor de cartão de crédito, provavelmente não seria permitido compras com o cartão concorrente Também não é fácil calcular o risco envolvido em transações deste tipo emissor de cartão de crédito; provedor de acesso à Internet;

Tipos de Carteiras - Distributed Wallets Desenvolvimento, operação e distribuição: Pelos mesmos motivos da carteira remota, é muito custoso implementar e manter um sistema de carteira distribuída. Com um agravante: a porção cliente da carteira deve ser desenvolvida para uma grande variedade de plataformas de hardware e sistema operacional.

Tipos de Carteiras - Personal Wallets Personal Wallet: É um programa ou associação de equipamento + programa que é executado no computador do usuário. Não existe “servidor de carteira eletrônica” nem qualquer outro tipo de intermediário envolvido em uma transação. Conforme é requerido no SET, somente o cliente é detentor de suas informações pessoais e de pagamento.

Tipos de Carteiras - Personal Wallets armazenam os dados do usuário na própria estação

Tipos de Carteiras - Personal Wallets Vantagens: O emissor da carteira disporá de um poderoso veículo de publicidade, que poderá ser modelado de acordo com as necessidades do negócio. Os custos para a distribuição das carteiras pessoais, dependerá do mecanismo utilizado para que o cliente obtenha o programa. Se for utilizada a distribuição pela rede (download) este custo é minimizado. Algumas funções da carteira podem ser executas mesmo o usuário estando desconectado da rede. Por exemplo: relatórios de compras. Isto faz com que o tempo em que ele é exposto à publicidade aumente.

Tipos de Carteiras - Personal Wallets Vantagens: Podem permitir transações que necessitem de PIN, por exemplo cartões de débito e SmartCards. Os papéis entre os envolvidos em um pagamento com carteira eletrônica pessoal são bem definidos, portanto é fácil dimensionar o risco de uma transação deste tipo.

Tipos de Carteiras - Personal Wallets Desvantagens: O software da carteira eletrônica pessoal é muito mais complexo que o das outras carteiras. Logo o tamanho deste software pode chegar a 10 Mb. O elevado tamanho do software acarreta em um tempo elevado para o seu download a partir de uma linha discada, por exemplo. O elevado tamanho do software e a necessidade de recursos computacionais impedem sua utilização em equipamentos móveis como celulares e palm-tops.

Tipos de Carteiras - Personal Wallets Desvantagens: Portabilidade: é necessário ter a carteira pessoal para uma grande quantidade de plataforma de hardware e sistema operacional. A menos que se utilize Plug’in para browsers já difundidos. O certificado digital e as chaves de criptografia são instalados no disco da estação do usuário. Desta forma, não é trivial a compra, utilizando uma carteira pessoal, em diferentes estações. Por exemplo em casa e no escritório. É esperado que com a utilização de SmartCards este problema seja resolvido logo.

Tipos de Carteiras - Personal Wallets Publicidade: Dependendo de quem estiver distribuindo a carteira, esta pode conter o logo do: fabricante; emissor do cartão; ISP; portal da Internet; instituição financeira; etc.

Tipos de Carteiras - Personal Wallets Práticas de Negócios: As carteiras pessoais seguem as práticas usuais de negócios: O emissor da carteira não mantém um banco de dados com os dados pessoais do usuário O usuário é quem detém a carteira que contém os seus dados pessoais e números de cartão de crédito; O usuário é o responsável pelo controle de acesso aos dados armazenados no disco de sua estação e protegidos com senha; Não fica restrito a um único emissor de cartão;

Tipos de Carteiras - Personal Wallets Desenvolvimento, operação e distribuição: Não é necessário implantar uma infra-estrutura de equipamentos, banco de dados e segurança tão sofisticada e complexa como no caso das carteiras remota e distribuídas; A manutenção, porém, é bem mais complexa do que nos outros tipos de carteiras, pois a cada nova versão, o cliente deve fazer o download e a instalação do novo programa.

Considerações sobre Segurança As carteiras remotas, distribuídas ou baseadas em um site são atrativas para hackers. A “quebra” de uma destas carteiras resultaria na obtenção de milhares de números de cartões de crédito. A quebra de uma carteira pessoal resulta na obtenção de alguns poucos números.

Considerações sobre Segurança Normalmente, as carteiras se utilizam de senhas para liberarem sua utilização. Senhas podem ser “adivinhadas” ou, por força bruta, quebradas. Não adianta a implementação de criptografia “forte” nos servidores de carteira eletrônica se para a utilização da carteira o usuário utiliza uma senha “fraca”. Como as carteiras pessoais são de responsabilidade do usuário, o risco que o emissor da carteira assume é muito menor.

Considerações sobre Privacidade A privacidade das informações pessoais dos usuários é motivo de preocupação destes. Isto se deve ao fato de ser muito mais fácil de traçar um perfil de compras, preferências, etc dos consumidores na Internet do que no mundo real. Internet

Considerações sobre Privacidade As carteiras remotas mantém um banco de dados contendo registros sobre todas as compras realizadas pelos diversos clientes. Desta forma, o operador deste servidor de carteiras eletrônica pode obter o comportamento, o perfil de compras, o valor médio mensal das compras, etc de qualquer cliente.

Exercícios Acompanhe a simulação de uma compra utilizando Carteira Eletrônica em: www.mastercard.com/shoponline/set/demo.html

Exercícios Classifique as carteiras das empresas relacionadas abaixo em relação ao seu tipo de implementação: pessoal; remota; distribuída; site. Carteira Eletrônica Bradesco: ________________ Unibanco e-Card : ________________ Microsoft Passport : ________________ Carteira EntryPoint : ________________ Carteira Mastercard : _________________

Bibliografia M. Merkow, J. Breithaupt, K.L. Wheeler, “Building SET Applications for Secure Transactions”, John Wiley & Sons, 1998 Internet Wallet Choices and Answers for Business and Technical Managers, IBM, 1999