Segurança e Sistemas
Electronicos de Pagamentos
© Prentice Hall, 2000
1
Objetivos
Descrever sistemas de pagamento para ecommerce
Identificar os requisitos de segurança para
pagamentos eletrônicos seguros
Descrever os esquemas típicos de segurança
utilizados para atingir os requisitos
Identificar os participantes e os procedimentos do
sistema eletrônico de carões de crédito na Internet
Discutir os protocolos SSL e SET
Fonte: Livro Turban
2
Objetivos
Discutir as relações entre Eletronic
Fund Transfer e cartão de débito
Descrever as características dos
cartões de valor armazenado
Classificar e descrever os tipos de
cartões utilizados em pagamentos
Discutir as características dos
sistemas eletrónicos de cheques
Fonte: Livro Turban
3
SSL Vs. SET: Quem ganhará?
Uma parte do SSL (Secure Socket
Layer) está disponível nos browsers
É basicamente um mecanismo de
encrição para pedidos, perguntas e outras
aplicações
Não protege contra riscos de segurança
É maduro, simples e amplamente usado
Fonte: Livro Turban
4
SSL Vs. SET: Quem ganhará?
SET ( Secure Electronic Transaction)
é um protocolo de segurança muito
abrangente
Fornece privacidade, autenticidade
integridade e repudiação
É pouco utilizado pela sua complexidade
e a necessidade de um leitor de cartões
Pode ser abandonado se não se
simplifica ou melhora
Fonte: Livro Turban
5
Pagamentos e Protocolos
SET Protocolo para pagamentos com cartão
de credito
Dinheiro Eletrônico e Micro-pagametnos
Electronic Fund Transfer na Internet
Cartões de valor armazenado
Sistemas de Cheques Eletrônicos
Fonte: Livro Turban
6
Pagamentos e Protocolos
Requisitos de Segurança
Autenticação: uma forma de verificar
a identidade do comprador antes de
que o pagamento seja feito
Integridade: Garantir que a
informação não seja acidentalmente ou
maliciosamente alterada ou destruída,
durante a transmissão
Fonte: Livro Turban
7
Pagamentos e Protocolos
Requisitos de Segurança
Encrição: O processo de fazer as
mensagens indecifráveis exceto para
aqueles que tem uma chave de decripção
válida
Non-repudiaçõ: Os vendedores
necessitam proteção contra a negação de
pedido por parte dos clientes. Os clientes
necessitam proteção contra a negação do
pagamento por parte dos comerciantes.
Fonte: Livro Turban
8
Esquemas de segurança
Cryptografia de chave secreta (simetrica)
Keysender (= Keyreceiver)
Mensage
Original
Enviador
Message
criptogr
Internet
Keyreceiver
Message
criptogr
Mesage
Original
Decrição Receptor
Encripção
Fonte: Livro Turban
9
Esquemas de segurança
Criptografia de Chave Pública
Public Keyreceiver
Mensage
Original
Message
Scrambled
Message
Private Keyreceiver
Internet
Scrambled
Message
Sender
Receiver
Private Keysender
Asinatura Original
Digital Message
Sender
Original
Message
Scrambled
Message
Public Keysender
Internet
Fonte: Livro Turban
Scrambled
Message
Original
Message
Receiver
10
Esquemas de segurança
Assinatura Digital
Semelhante a assinatura a mão
O remitente
criptografa uma
mensagem com a
sua chave
privada
O receptor com a
chave publica do
sender pode leer-la
Fonte: Livro Turban
11
Esquemas de segurança
Assinatura Digital
Semelhante a assinatura a mão
O receptor é a
unica pessoa que
pode leer a
mensagem e ao
mesmo tempo
garantir que foi
emitida pelo
remitente
Fonte: Livro Turban
Uma assinatura
digital e anexada pelo
remitente a uma
mensagem
criptografada na
chave pública do
receptor
12
Esquemas de segurança
 Certificados
Indentificar o portador de uma chave pública (KeyExchange)
Emitido por uma entidade certificadora confiavel
(CA)
Name : “Richard”
key-Exchange Key :
Signature Key :
Serial # : 29483756
Other Data : 10236283025273
Expires : 6/18/96
Signed : CA’s Signature
Fonte: Livro Turban
13
Esquemas de segurança
Autoridade Certificadora - e.g. VeriSign
Publica ou privada, estabelecida em
níveis de hierarquia
São serviços confiáveis fornecidos por
terceiros (Cartórios)
Emissor de certificados digitais
Verificar que uma chave pública
realmente pertence a uma certa pessoa
Fonte: Livro Turban
14
Esquemas de segurança
RCA
BCA
GCA
CCA
MCA
RCA : Root Certificate Authority
BCA : Brand Certificate Authority
GCA : Geo-political Certificate Authority
CCA : Cardholder Certificate Authority
MCA : Merchant Certificate Authority
PCA : Payment Gateway
PCA
Certificate Authority
Hierarquia da autoridades de Certificação
A autoridade de certificação necesita ser monitorada pelo governo
Ou Uma entidade confiavel ( ex., correios, Madre Teresa)
Fonte: Livro Turban
15
Cartões de crédito na Internet
Os participantes
Dono do cartão
 Vendedor
Emissor ( banco)
Banco do vendedor (Que paga para receber
depois)
Bandeira (VISA, Master Card)
Fonte: Livro Turban
16
Cartões de crédito na Internet
O processo de usar cartões de credito offline
O dono do cartão requer
um carão de uma dada
bandeira (como Visa and
MasterCard) para um
banco onde o dono do
cartão tem conta.
A autorização de
emissão do cartão pelo
banco emissor, ou pela
companhia de
bandeira
Um cartão plástico é
fisicamente enviado
por correio para o
cliente.
Fonte: Livro Turban
17
Cartões de crédito na Internet
O processo de usar cartões de credito offline
O dono do cartão o
mostra para o vendedor
para pagar a compra.
Logo o vendedor pede
aprovação a empresa da
bandeira do cartão.
O cartão começa valer
quando o dono do
cartão liga ao banco
para inicio dos
serviços e assina o
mesmo.
O banco do vende
Depois da aprovação,
o vendedor requer o
requer o pagamento
pagamento pelo banco
ao banco da bandeira
da bandeira.
Fonte: Livro Turban
para receber o valor.
18
Dono do Cartão
credit
card
Vendedor
Payment authorization,
payment data
Bandeira do Cartão
Dados Conta debito
Datos Pagamento
Dados de
pagamento
Banco Emissor
Conta do
Dono do
cartão
Quantidade
transferida
Bank Adquierente
Conta do
vendedor
Procedimento do Cartão de Crédito (offline on online)
19
Protocolo Secure Electronic
Transaction (SET)
Computator do remitente
1. A mensagem é dividida até um
comprimento prefixado de mensagem, e
o resto da operação (message diggest).
2. A mensagem é encriptada com a chave
privada do remetente e resto da
operação. Uma assinatura digital é
criada.
20
Protocolo Secure Electronic
Transaction (SET)
Computator do remitente
3. A composição da mensagem, com a assinatura e
o certificado de encrição são codificados com com
uma chave simétrica que é gerada no computador
do emitente a cada transação. O resultado é a
mensagem encritada. O protocolo SET usa o
algoritmo DES ao invés do RSA para encrição já
que o DES é mais rápido que o RSA.
4. A chave simétrica é encriptada com a chave
publica do receptor que foi enviada anteriormente
ao remitente . O resultado é um envelope digital.
Fonte: Livro Turban
21
21
Computador do Remitente
Message


Sender’s
Private
Signature Key
Message Digest
Digital Signature
+
Message
+

Encrypt
+
Symmetric
Key
Sender’s
Certificate
Receiver’s
Certificate
Encrypted
Message

Encrypt
Receiver’s
Key-Exchange
Key
Digital
Envelope
22
Protocolo Secure Electronic
Transaction (SET)
 Computador do receptor
5. A mensagem criptografada e o envelope digital são transmitidos
via Internet.
6. O envelope digital é decodificado com a chave privada do
receptor.
7. Usando a chave simétrica obtida,decifra a mensagem, a
assinatura digital e o certificado do remetente.
8. Para confirmar a integridade, da mensagem esta é divida
novamente e comparada com o resto da operação (message
digest).
9. Se comparam as duas mensagem e se são iguais a mensagem
passa na integridade.
23
Computador do Receptor
Receiver’s
Private KeyExchange Key
Decrypt

Digital
Envelope
Message

Decrypt
Symmetri
c Key
+
+
Sender’s
Certificate
Encrypted
Message

Message Digest

compare

Digital Signature
Decrypt
Sender’s Public
Signature Key
Message Digest
24
Leitor de
cartão Cliente xCliente y
Autoridade de
certificação
Electronic Shopping Center
Vendedor A Vendedor B
Payment
Gateway
Bandeira do cartão
Entitidades no Protocolo SET no E-commerce
25
SET Vs. SSL
Secure Electronic Transaction (SET) Secure Socket Layer (SSL)
Complexo
Simples
SET ajustado para pagamento via
cartão de credito.
SET oculta do cliente do cartão
informa;cão sobre o vendedor e
também oculta para os bancos
informações dos pedidos para
proteger privacidade. Este
esquema é chamado de doble
assinatura.
SSL é um protocolo para
propósitos gerais
SSL pode usar um certificado,
mais não existe um gateway de
pagamento. Então os
vendedores tem que receber
informações dos clientes e e de
credito, já que o processo inicial
de pagamento tem que ser
realizado pelos vendedores
Fonte: Livro Turban
26
SET Vs. SSL
Secure Electronic Transaction (SET)
SET oculta do cliente do
cartão informa;cão
sobre o vendedor e
também oculta para os
bancos informações dos
pedidos para proteger
privacidade. Este
esquema é chamado de
doble assinatura.
Secure Socket Layer (SSL)
SSL pode usar um
certificado, mais não
existe um gateway de
pagamento. Então os
vendedores tem que
receber informações dos
clientes e e de credito, já
que o processo inicial de
pagamento tem que ser
realizado pelos vendedores
Fonte: Livro Turban
27
Electronic Fund Transfer (EFT)
na Internet
Internet
Pagador
Cyber Bank
Gateway
De
pagamento
Receptor
Cyber Bank
Compensação
automática
Banco
Gateway
De
pagamento
Banco
VAN
VAN
Fonte: Livro Turban
Uma Arquitectura de EFT na Internet
28
Cartões de débito
São um veiculo de entrega de
dinheiro em forma eletrônica
Mondex, VisaCash aplicam esta
idéia
Podem ser anonymous ou onymous
CyberCash comercializou um cartão
de débito chamado de CyberCoin
como uma forma de realizar micropagamento na Internet
Fonte: Livro Turban
29
Electronic Cash e Micropagamentos
Cartões Inteligentes-Smart Cards
O conceito de e-cash é usado for a da Internet
Tecnologia velha: cartões de plástico com fita
magnética
Nova tecnologia chips com funções
programáveis cards “smart”
Um tipo de e-cash para cada uso!!
Recarga do cartão só em determinados locais
bancos, escritório ou quiosque. Futuro: recarga
no microcomputador
Fonte: Livro Turban
e.g. Mondex & VisaCash
30
Moeda Electrônica
DigiCash
Análoga a notas e moedas
Cara, já que cada pagamento deve ser
registrado e comunicado aos bancos
Conflitos com os Bancos Centrais Custos
de senhorio
Legalmente, DigiCash não pode emitir
dinheiro!! Só pode emitir um certificado
eletrônico de um presente!! Mais é bem
aceito em algumas lojas
Fonte: Livro Turban
31
Electronic Money (cont.)
Cartões de valor armazenado
Sem emissão de dinheiro
Cartão de Debito — fluxo de dinheiro de
forma eletrônica
Anonymous ou onymous
vantagem de um cartão anônimo
O cartão poder ser passado de uma
pessoa para outra
Implementado na Internet sem o uso de
cartão
Fonte: Livro Turban
32
Electronic Money (cont.)
e-cash baseada em Smart card
Podem ser recarregados através da Internet
Podem ser usado tanto na Internet como for a
da Internet
Limite dos valores armazenados
Para prevenir lavagem de dinheiro
Múltiplas Moedas
Podem ser usados para pagamentos
internacionais
Fonte: Livro Turban
33
IC Cartões sem contato
Proximity Card
Metro e buses em várias cidades
Cartões de reconhecimento remoto
Pedágios
Fonte: Livro Turban
34
Quantos cartões são necessarios?
Um cartão onymous
é necessario para
Manter os certificados
Para cartões, EFT
Um cartãode valor
armazenado
Pode funcionar num
Modo anomimo
Muitos cartões tendem a fornecer
as duas soluções
Fonte: Livro Turban
35
Cinco dicas de seguraça
Não revelar a senha para ninguém. Se você
acha que a sua senha foi comprometida,
troque-a imediatamente.
Não se afastar do computador no meio de uma
sessão.
Se você usou o home banking não visite outros
sites até que você deu o log-off.
Se outras pessoas usam seu computador, limpe
o cache, e reinicializa o browser para eliminar
copias das páginas visitadas.
Usar chaves de 128-bit em todas as transações
financeiras.
Fonte: Livro Turban
36
Assuntos de gerencia
Provedores de sistemas de segurança
Provedores de soluções em sistemas de
pagamento Eletrônico
Lojas eletrônicas
Bancos
Empresas de bandeira de cartões de credito
Empresas de bandeira de cartões inteligentes
Autoridades de certificação
37