Segurança em Sistemas de
Pagamentos
Ricardo Nuno Mendão da Silva
[email protected]
http://student.dei.uc.pt/~rnsilva
Índice

Definição de Sistemas de Pagamento.




Segurança em Sistemas de Pagamentos.
Segurança em pagamentos com cartão presente.








Segurança com Banda Magnética.
Segurança com SMART Card.
Segurança no terminal.
Segurança no servidor.
Segurança em pagamentos com cartão não presente.


Modelo de elementos base.
Modelo de funcionamento base.
SET (Secure Electronic Transactions).
3D-Secure (Three Dimension Secure).
Caso Português MBNet.
Conclusão.
Bibliografia.
SSC 0607 © DEI/FCTUC
2
Sistemas de Pagamento

Sistemas que permitem efectuar transacções
financeiras de forma segura e eficaz, entre duas
entidades, independentemente da sua localização e
instituição bancária, utilizando a rede pública como
meio de comunicação e o cartão de crédito ou débito
como ferramenta principal.

Existem basicamente dois tipos de sistemas de
pagamentos:


cartão presente (ex.: POS, ATM).
cartão não presente (ex.: MOTO, Internet, m-Payment).
SSC 0607 © DEI/FCTUC
3
Sistema de Pagamentos

Modelo base
SSC 0607 © DEI/FCTUC
4
Sistema de Pagamentos

Modelo de
Funcionamento.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Utilizador apresenta o cartão.
Comerciante pede autorização ao acquirer.
Acquirer consulta o emissor.
Emissor dá resposta ao acquirer.
O acquirer dá a resposta ao Comerciante.
Comerciante entrega os bens/serviços.
Acquirer paga ao comerciante.
Compensação entre emissor e acquirer.
Emissor debita ao utilizador.
Utilizador paga ao emissor.
SSC 0607 © DEI/FCTUC
5
Segurança em Sistemas de Pagamentos

Visa garantir:





Privacidade.
Autenticação.
Integridade.
Não-repúdio.
Inimigo Número Um:

Fraude:



Fraude por parte do comerciante.
Fraude por parte do cliente.
Fraude de uma terceira entidade.
SSC 0607 © DEI/FCTUC
6
Segurança em pagamentos com cartão
presente

Características de um cartão.

Dois tipos principais:










Banda Magnética.
Smart Card contact.
Hologramas.
Foto ID.
Caracteres especiais.
Data de expiração.
Painel de assinatura.
Impressão ultra-violeta.
Dois Card Verification Numbers (CVN).
Card Verification Value CVV.
SSC 0607 © DEI/FCTUC
7
Segurança em pagamentos com cartão
presente

Segurança em Banda Magnética.

Banda magnética possuí três faixas:


Codificadas.
Esquematizadas segundo normas:






Faixa 1 e 2 – ISO 7813.
Faixa 3 – ISO 4909.
Faixa 1 contém informação do titular.
Faixa 2 contém informação do banco, detalhes do
cartão e da conta.
Faixa 3 permite guardar informações adicionais de
segurança e ainda o saldo do cartão.
Objecto passivo (On-line PIN – Pinblock).
SSC 0607 © DEI/FCTUC
8
Segurança em pagamentos com cartão
presente

SMART Card.

Contact SMART Card.

Possui um circuito integrado com:








ROM (< 32KB).
EEPROM ([2KB,32KB]).
RAM (256bytes).
CPU (5MHZ).
Possibilidade de conter várias aplicações.
Bastante mais seguro.
Gerido pela norma EMV (Europay,
MasterCard e VISA).
Elemento activo.
SSC 0607 © DEI/FCTUC
9
Segurança em pagamentos com cartão
presente

Segurança no Terminal.

Módulo de Segurança:






Processador + memória + bateria.
Protegido por grelhas de metal banhadas a resina
epóxica.
Sensores de intrusão.
Mecanismos de autodestruição da informação.
Contém as chaves que assinam as mensagens que
circulam entre o POS e o Servidor de pagamentos.
Contém as chaves que cifram o PIN. (Pinblock)
SSC 0607 © DEI/FCTUC
10
Segurança em pagamentos com cartão
presente

Servidor de Sistemas de Pagamento.





Criptografia simétrica.
Gera as chaves para transporte e Pinblock.
Distribuição, armazenamento e revogação de
chaves.
Iniciação e abate dos módulos de segurança.
Acesso limitado.
SSC 0607 © DEI/FCTUC
11
Segurança em pagamentos com cartão
presente

Normas de Fabrico.

Normas definidas para hardware:





VISA PED (VISA PIN Entry Device)
SIBS MB-PED.
SIBS MB-POS.
EMV (SMART Cards).
Normas de funcionamento:



Gestão do PIN – ISO 9564.
Autenticação – ISO 8731.
Gestão das chaves ISO11568.
SSC 0607 © DEI/FCTUC
12
Segurança em pagamentos com cartão não
presente

Teoricamente apresentam mais pontos fracos,
sendo necessário uma terceira entidade que regule,
controle e tome responsabilidade pelo sistema de
pagamentos.
SSC 0607 © DEI/FCTUC
13
Segurança em pagamentos com cartão não
presente

Segurança na comunicação

SET – Secure Electronic Transactions.




Protocolo elaborado pela VISA, Mastercard, IBM, GTE,
Microsoft, Netscape entre outros em Fevereiro de 1996.
Baseado em certificados digitais x.509 com chaves
RSA.
Requer que o cliente instale uma aplicação específica e
possua um certificado digital.
Desenhado de forma a garantir eficazmente o PAIN
(Privacidade, Autenticação, Integridade e Não-repúdio).
SSC 0607 © DEI/FCTUC
14
Segurança em pagamentos com cartão não
presente

Segurança na Comunicação

SET – Funcionamento.
SSC 0607 © DEI/FCTUC
15
Segurança em pagamentos com cartão não
presente

Segurança na Comunicação

SET – Funcionamento.
SSC 0607 © DEI/FCTUC
16
Segurança em pagamentos com cartão não
presente

Segurança na comunicação

3-D Secure (Three Domain Secure)




Baseado na autenticação do cliente.
Utiliza TLSv1.
Formato XML.
Abrange três domínios:




Issuer Domain.
Aquirer Domain.
Interoperability Domain.
Uma arma contra a fraude.
SSC 0607 © DEI/FCTUC
17
Segurança em pagamentos com cartão não
presente

3D – Secure
1.
2.
3.
4.
5.
6.
7.
SSC 0607 © DEI/FCTUC
O Cliente escolhe os
produtos/serviços e
decide comprar.
Verifica o nº do cartão e
se aderiu ao 3D-Secure.
O MPI envia um Payer
Authentication Request
(PAReq) ao ACS.
O ACS autentica o cliente
pedindo uma credencial.
O ACS envia a PARes ao
MPI e regista a acção no
histórico (AHS).
O MPI valida a resposta.
Procede ao pagamento
de forma normal.
18
Segurança em pagamentos com cartão não
presente

MBNET






Permite efectuar pagamentos on-line.
Conta associada a cartão.
Credenciais de autenticação.
Permite criar cartões virtuais.
Plafon limitado.
Maior segurança.
SSC 0607 © DEI/FCTUC
19
Conclusão





Ambos os tipos de pagamentos electrónicos usam o
mesmo sistema base.
Sistemas dotados de um vasto conjunto de normas.
Convergência dinâmica para o último “grito” em
sistemas de segurança.
Actualmente considera-se segura a parte de
comunicação e gestão de servidores.
Maior perigo actual e para o futuro:

Segurança no domínio do cliente.
SSC 0607 © DEI/FCTUC
20
Bibliografia
[PayPal06] https://www.paypal.com
[Verisign06] http://www.verisign.com
[Visa06] http://www.visa.com
[MasterCard06] http://www.mastercard.com/index.html
[wiki06] http://en.wikipedia.org/wiki/Magnetic_stripe
[wiki06a] http://en.wikipedia.org/wiki/Chip_and_PIN
[wiki06b] http://en.wikipedia.org/wiki/Smart_card
[Unicre06] http://www.unicre.pt
[RedUnicre06] http://www.redunicre.pt
[MBNet06] http://www.mbnet.pt
[MAS06] http://www.merchant-account-services.org/
[Pearson06] http://www.phptr.com/articles/article.asp?p=26857&seqNum=3&rl=1
[SIBS06] http://www.sibs.pt
[Pararede06] http://www.pararede.com
[Guibourg01] http://www.riksbank.se/upload/Dokument_riksbank/Kat_foa/wp_126.pdf
[Guerin03] http://www.epaynews.com/downloads/fraud_in_electronic_payments_wp.pdf
[Mendonça04] http://www.di.fc.ul.pt/~nuno/PAPERS/CRC2004_POS_Mendonca.pdf
SSC 0607 © DEI/FCTUC
21
Agradecimentos
SSC 0607 © DEI/FCTUC
22