Segurança e Sistemas Eletrônicos de Pagamentos" Prof. Msc. Adolfo Colares

Transcrição

1 Segurança e Sistemas Eletrônicos de Pagamentos" Prof. Msc. Adolfo Colares 1

2 Objetivos" n Descrever sistemas de pagamento para e- commerce " n Identificar os requisitos de segurança para pagamentos eletrônicos seguros" n Descrever os esquemas típicos de segurança utilizados para atingir os requisitos " n Identificar os participantes e os procedimentos do sistema eletrônico de carões de crédito na Internet" n Discutir os protocolos SSL e SET "

3 SSL Vs. SET" n Uma parte do SSL (Secure Socket " Layer) está disponível nos browsers" n É basicamente um mecanismo de encriptação para pedidos, perguntas e outras aplicações" n Não protege contra riscos de segurança" n É maduro, simples e amplamente usado"

4 SSL Vs. SET" SET ( Secure Electronic Transaction) é um protocolo de segurança que permite a execução de transações comerciais seguras na Internet, em particular pagamentos com cartão de crédito Fornece privacidade, autenticidade integridade.

5 Pagamentos e Protocolos" n Requisitos de Segurança" Autenticação: uma forma de verificar a identidade do comprador antes de que o pagamento seja feito Integridade: Garantir que a informação não seja acidentalmente ou maliciosamente alterada ou destruída, durante a transmissão

6 Pagamentos e Protocolos Requisitos de Segurança Encriptação: O processo de fazer as mensagens indecifráveis exceto para aqueles que tem uma chave de decripção válida Non-deny: Os vendedores necessitam proteção contra a negação de pedido por parte dos clientes. Os clientes necessitam proteção contra a negação do pagamento por parte dos comerciantes.

7 Esquemas de segurança" n Criptografia de chave secreta (simetrica)" Chave emissor (= Chave receptor ) Chave receptor Mensagem Original Mensagem Criptografada Internet Mensagem Criptografada Mesagem Original Emissor Encriptação Decriptação Receptor

8 Esquemas de segurança" n Criptografia de Chave Pública" Chave Pública receptor Chave Pública receptor Mensagem Original Message Messagem Distorcida Internet Messagem Distorcida Original Message Emissor Receptor Chave Privada emissor Chave Pública receptor Assinatura Digital Original Message Messagem Distorcida Internet Messagem Distorcida Original Message Emissor Receptor

9 Esquemas de segurança" n Assinatura Digital" O remetente criptografa uma mensagem com a sua chave privada O receptor com a chave publica do remetente pode ler a mensagem

10 Esquemas de segurança" n Assinatura Digital" Uma assinatura digital e anexada pelo remetente a uma mensagem criptografada na chave pública do receptor O receptor é a única pessoa que pode ler a mensagem e ao mesmo tempo garantir que foi emitida pelo remitente

11 Esquemas de segurança" n Certificados" Indentificar o portador de uma chave pública (Key- Exchange) Emitido por uma entidade certificadora confiavel Name : Richard key-exchange Key : Signature Key : Serial # : Other Data : Expires : 6/18/13 Signed : CA s Signature

12 Esquemas de segurança" n Autoridade Certificadora Ex. VeriSign" Pode ser publica ou privada Emissor de certificados digitais Valida que uma chave pública realmente pertence a uma certa pessoa

13 Esquemas de segurança - Hierarquia" RCA BCA GCA CCA MCA PCA RCA : Root Certificate Authority (VeriSign) BCA : Brand Certificate Authority (Serasa Experian e CertiSign) GCA : Geo-political Certificate Authority (Instituto de Tecnologia da Informação (órgão oficial do governo) CCA : Cardholder Certificate Authority (entidade cliente/comprador no ambiente de comércio electrónico) MCA : Merchant Certificate Authority (entidade que aceita pagamentos com cartões de crédito do cardholder e que disponibiliza os bens ou serviços) PCA : Payment Gateway Certificate Authority (entidade responsável pelo processamento das ordens de pagamento, transmitindo informações ao banco emissor para processar a transferência bancária, sendo o pagamento debitado na entidade bancária do Cardholder) A autoridade de certificação necessita ser monitorada pelo governo Ou uma entidade confiável

14 Cartões de crédito na Internet" n Os participantes" Dono do cartão Vendedor Emissor ( banco) Banco do vendedor (Que paga para receber depois) Bandeira (VISA, Master Card)

15 Cartões de crédito na Internet" n O processo de usar cartões de credito offline" O cliente opta pelo pagamento por cartão ao vendedor para pagar a compra. Logo o vendedor pede aprovação a empresa da bandeira do cartão. O banco do vendedor requer o pagamento ao banco da bandeira do cartão para receber o valor Depois da aprovação, o vendedor espera o período que a bandeira do cartão do cliente irá dispor o seu pagamento.

16 Dono do Cartão Cartões de crédito na Internet" Realização de uma compra" Cartão de Crédito Vendedor Autorização do pagamento, dados do pagamento Bandeira do Cartão Dados Conta Débito Dados do Dados Pagamento pagamento Banco Emissor Conta do Cliente do Cartão Valor Transferido Banco Receptor Conta do Vendedor

17 SET vs. SSL" Secure Electronic Transaction (SET) Secure Socket Layer (SSL) Complexo SET ajustado para pagamento via cartão de credito. SET oculta do cliente do cartão informação sobre o vendedor e também oculta para os bancos informações dos pedidos para proteger privacidade. Simples SSL é um protocolo para propósitos gerais SSL pode usar um certificado, mais não existe um servidor de pagamento. Então os vendedores tem que receber informações dos clientes e do credito, já que o processo inicial de pagamento tem que ser realizado pelos vendedores.

18 Dicas de segurança " n Não revelar a senha para ninguém. Se você acha que a sua senha foi comprometida, troque-a imediatamente.! n Não se afastar do computador no meio de uma sessão.! n Se você usou o home banking não visite outros sites até que você deu o log-off.! n Se outras pessoas usam seu computador, limpe o cache, e reinicializa o browser para eliminar copias das páginas visitadas.!

19 Referência Bibliográfica" Todos os créditos mantidos para o Prof. Luis Alberto Gómez UFSC