Visa security 8972
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,486
On Slideshare
1,483
From Embeds
3
Number of Embeds
1

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 3

https://www.coursesites.com 3

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Икономически университет – Варна Център „Магистърско обучение” Тема: Сигурност при онлайн разплащания с 3D Secure на VisaИзготвил: Проверил:Владимир Валентинов Венков, Доц. д-р Стефан. Дражевспец. „Информатика”, V курс,ф. № 8972
  • 2. Съдържание1. Увод1.1 История на онлайн разплащанията1.2 Опасност при електронните разплащания в Интернет2. Verified by Visa2.1 Ползи от Verified by Visa2.2 Предимства за търговците2.3 Предимства за Търговците от маркетингова гледна точка3. 3D Secure3.1 Участници и ролята им в VbV3.2 Софтуерни компоненти3.3 Поток на транзакциите4. Заключение5. Използвана литература
  • 3. 1. УводПрез 21 век все по-широка става употребата на Интернет и електронните приложения иуслуги, като основни средства за осъществяване на бизнес дейности и контакти, въввсички сектори на обществения живот. Все повече се засилва преходът отиндустриална към глобална цифрова икономика.Компаниите все по-широко използват Интернет като основно средство за деловикомуникации и за осъществяване на своя бизнес. Днес глобалната мрежа е най-предпочитаният способ за взаимодействие на различни организации и фирми чрезсредства и технологии, които са в максимална степен съобразени с изискванията наотделните бизнес процеси.Развитието на информационните технологии дава своето отражение и върху сфератана банковите услуги. От една страна информационните технологии спомага занамаляването на разходите за управление на информацията (събиране, съхранение,обработване и предаване) при банковите операции. Това се постига чрез заместванетона традиционните методи с автоматизирани. От друга страна се променят начините задостъп на клиентите до банковите услуги и продукти - достъпът се осъществява чрезавтоматизирани канали - т. нар. отдалечено банкиране или електронно/онлайнбанкиране. Именно това налага и все по-силното преминаване на банките от нормалентип банкиране към електронно банкиране, с цел да задоволят нарастващите нужди напотребителите от мобилност и бързина на обслужване.1.1 История на онлайн разплащаниятаРазличните видове комуникации започват да се използват от банките още през 80-тегодини на миналия век. През 1983 г. за първи път е приложена системата наотдалечено банкиране Homelink чрез съвместното участие на Банката на Шотландия ителефонната компания British Telecom и изпробвана от строителното дружествоNottingham Building Society. През онези години оптимистичните прогнози заприлагането на Интернет и на специалните електронни мрежи в банковото делоизглеждат нереални. Системата, която са използват била базирана на съществуващатавече Pestle system, която позволявала онлайн да бъдат давани сведения за финансовиотчети, банкови трансфери и транзакции по сметки. За осъществяването на банковитетрансфери и транзакции по сметки, предварително трябвало да бъдат пратени писмениинструкции, даващи подробна информация за получателя. Те по-късно са били качваниот NBS в новата Homelink система. Обикновено получателите били телефонни,електрически и газ компании.1.2 Опасност при електронните разплащания в ИнтернетЕдин от основните въпроси в електронната търговия е този за сигурността наразплащанията. Трансферът на информация за кредитни карти, за пароли за достъп добанкови сметки и за дебитни карти е лесно да бъде засечен от недоброжелатели.С развитието на технологиите и софтуерните продуки се развива и увеличаваопасността в интернет пространството. Пред потребителите в интернет се появява нова
  • 4. заплаха – кибер престъпността. Това са действия на специалисти в IT сектора, коитоизползват знанията и уменията си, както и развитите софтуерни продуки с цел данавредят на потребителите. Основната цел на кибер атаките е информацията. Разбирасе това е информация за потребителите, която е строго лична и която е пряко или не-пряко свързана със парични средства – кредитни карти, електронно банкиране.Всеки един притежател на кредитна карта може да пазарува в интернет. Заплащанетостава с въвеждане на основните данни на кредитната карта в процеса на пазаруване.По електронен път се „заплаща” за избраните стоки от електронния магазин и процесана онлайн пазаруване е завършен.Съществуват много на брой техники и практики за „кражба” на лични данни в интернет.Кибер разбойниците се увеличават постоянно. Потребителите стават несигурни вмрежата и започват да гледат с недоверие. Страхуват се въвеждат лична и важнаинформация в интернет.Финансовите институции постоянно се борят с кибер атаките и се стремят повишаванесигурността на системите. Едно от последните технологии, разработено заедно отекипи на MasterCard, Visa и JBC е 3D Secure протокола. Платформата се използва прионлайн разплащания извършени в електронни магазини в интернет. За различнитекомпании системата за сигурност се нарича по различен начин, но идейно ифункционално имплементира една и съща идея: MasterCard – SecureCode Visa – Verified by Visa 2. Verified by VisaVerified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакции сбезопасно пазаруване в интернет чрез идентификация на самоличността накартодържателя в момента на покупката, преди търговецът да подаде заявка заупълномощаване.VbV е изграден върху технологичната платформа наречена Three-Domain (3-D) Secure.Целта на VbV е да се създаде ниво на доверие на потребителите в онлайнпазаруването, подобна на тази във физическата среда на пазаруване. Той е проектиранда подобри сигурността както на картодържателят, така и към търговеца. Да се повишидоверието в интернет пазаруването и да се намалят измамите, свързани сизползването на разплащателни карти Visa.VbV се поддържа от различни интернет устройства за достъп, включително персоналникомпютри, безжични устройства, като мобилни телефони, персонални цифрови ителевизионни приставки. VbV може да работи с множество технологии – пароли задостъп, цифрови сертификати, както и чип карти. VbV се прилага в световен мащаб чрезVisa потребители и търговци.
  • 5. 2.1 Ползи от Verified by VisaVerified by Visa е разработен в полза на всички участници в онлайн платежнитетранзакция.Предимства за търговци• Повишаване на доверието на потребителите в онлайн покупки, които могат дадоведат до увеличаване на обема на продажбите• Намаляване на риска от измамни сделки• Гарантирано заплащане за заверени сделки• Намаляване на оперативните разходи, поради по-малкия брой успорвани сделкиПолзи за емитенти(Issuers)• Увеличаване на продажбите на дребно• Значително добавена стойност на съществуващите продуктови оферти, като дававъзможност на истинността на Интернет транзакции. По този начин се намалява наброя на измамните сделки• Подобрена качеството на данните със заверен сделкиПолзи за картодържатели• Повишаване на доверието на потребителите при покупки по интернет• Не са необходими специални софтуерни приложения• Лесна употреба• Контрол върху картата използваna за онлайн покупки2.2 Предимства за търговцитеПриемането на онлайн разплащания с карти предоставя много голяма полза затърговците, но същевременно може също да доведе до някои предизвикателства ипроблеми, с които всеки търговец трябва да се справи. нежелание от страна на картодържателя за закупуване на стоки и услуги онлайн, защото все още е общоприето схващането, че покупки онлайн не са сигурни. Разходите, свързани с измами с неотиризирани картодържатели. Оперативни разходи, свързани с обработка за спорове на на транакции от картодържателя.VbV успешно решева тези проблеми и осигурява сигурността на картодаржателите: Повишаване на доверието на потребителите Проучване показва че основния проблем при онлайн пазаруването е сигурността на картодаржателя и поверителността на информацията. VbV дава възможност на издателя да удостовери автентичността един картодържател по
  • 6. време на онлайн покупката. С подобряването на сигурността, картодържатели ще станат по-уверени в онлайн покупките, като по този начин потенциално ще се увеличи обема на продажбите в интернет. Намаляване измамите и Гарантирано плащане VbV дава възможност на издателите да удостоверява самоличността на картодържателя по време на всяка транзакция, като предоставя високо ниво на сигурност. Намаляване на Оперативните разход Разходите за обслужване на клиенти, свързани с обработка на спора могат да бъдат значителни за сметка търговците. Намаляването на измамите и оперативните разходи дава на търговците преки икономии на финансови средства.2.3 Предимства за Търговците от маркетингова гледнаточкаПрограмата VbV изпраща силно послание към потребителите, информирайки ги четърговците, които участват в програмата са ангажирани с провеждането на Интернеттърговия по сигурен начин. Това създава следните възможности за търговците: Visa разработи “Verified by Visa” марка предназначена за сайтовете на търговците, като по този начин се покаже нивото на сигурност пред потребителите Търговците могат да използват извадка от VbV с маркетингови послания. Търговците могат да бъдат представени на регионалните сайтове на Visa.Verified by Visa - логоVerified by Visa (VbV) е името на програмата, която потребителите свързват свъзможността за Интернет автентификация, предлагана от техния издател. Участващитетърговци могат да използват марката VbV на своите интернет страници за подкрепа напрограмата.
  • 7. 3. 3D Secure3-D Secure е спецификация, разработена от VISA, за да подобри онлайн сигурността напри пазаруване и да се ускори развитието на електронната търговия. Verified by Visa(VbV) е удостоверяване на програма, основана на 3-D Secure спецификацията.3-D Secure протокол е техническа платформа, която включва технически спецификациии изисквания към издателя, аcquirers(финансова инситутиция която извършватранзакциите) , и търговци. В допълнение се използва интернет технология SecureSockets Layer (SSL) криптиране за защита на информацията в процеса на разплащане скарти по интернет. 3-D Secure се „допитва” до картодържателя да провери и потвърдиавтентичността на покупката.3.1 Участници и ролята им в VbV Издател(Issuer) - Финансова институция, която издава Visa карти на Картодържателите. Управлява участието на на картодържателите в програмата VbV; утвърждава Картодържателя по време на всяка поръчка през Интернет; предвижда цифрово подписан отговор на търговец за всяки заверена сделка. Картодържател - Титуляр на сметката за разплащане с Visa карта Използва карта за заплащане на покупки по интернет. Предоставя лична парола в момента на покупката. Acquirer - финансова институция сключваща договор с търговците за приемане на разплащания с карти Visa Регистрираните търговци с VbV гарантира, че произхода на интернет транзакциите са действащи в рамките на търговското споразумение с придобило в съответствие с бизнес правилата и техническите изисквания за програмата VbV. Търговец - Приема плащания за покупка на стоки от интернет сайт от Картодържатели на Visa, който прави покупки по интернет. Използва специален софтуер реализиране на VbV програмата – Merchant Server Plug-in (MPI). VisaNet - Системи и услуги, включващи интегрирана система за плащане и Base II3.2Софтуерни компоненти3-D Secure протокол се състои от три части – домейна в съответствие с включенитеучастници: Issuer Domain Issuers and Cardholders Acquirer Domain Acquirers and Merchants Interoperability Domain Visa-operated systems that connect the Issuer and Acquirer Domains
  • 8. Фигура 1. Схема на 3-D Secure Issuer Domain – Сървър с регистрирани Картодържатели със отворени сметки и информация за тях. Осигурява достъп до информация и потвърждение на информация за картодаржателите. Acquirer Domain – това е частта на търговеца със неговия електронен магазин и специалният софтуер – MPI който осъществява и изпълнява връзката със електрония магазин и Issuer Domain. Interoperability Domain – осъществява връзката между търговецът с данните за картодаржателите съхранени във Виза.3.3 Поток на транзакциитеVerified by Visa (VbV) програма включва двa етапа: Регистриране на картодържатлите за програмата VbV; Потвърждаване и верифициране на картодържателите по време на онлайн пазаруване.
  • 9. Всеки картодържател на Visa има възможност да се регистрира за програмата VbV. Прирегистрицията се изисква парола, която потребителя ще използва за неговатаидентификация.След включването на картодържателя към VbV той е готов и може да използвасистемата при онлайн пазаруване.Фиг. 2. Схема на потоците от данни при онлайн пазаруване.Стъпка 1. Картодържателят завършва покупка.След избиране на продуктите за закопуване от сайта на търговеца, потребителя е готовда плати за избраните от него стоки. Картодържателят въвежда необходиматаинформация за заплащане – PAN, CVC и дата на валидност за картата.Стъпка 2. Merchant Server Plug-InЗапочва работата на MPI системата. MPI проверява, ако е наличен кеш от рангове напанове, за автентичност на текущата VISA карта. Ако картата е в диапазона,процедурата с VbV продължава. Ако не, то тогава MPI сигнализира че неможе да сеизпълни VbV и се продължава към стъпка 12.Стъпка 3. Visa Directory Server processes request.Установява се връзка и се проверява автентичността на търговеца както и дали евъзможно да се продължи по VbV за въпросния PAN от кредитната карта на
  • 10. картодържателя. Ако не е възможно се продължава със стъпка 5 и на сайта натърговеца чрез MPI се връща специално дефинирано съобщение с информацията.Стъпка 4. ACS отговаря на Visa Server Directory.ACS определя е на разположение удостоверяване за PAN, подготвя се отговор и сеизпраща на Visa Directory ServerСтъпка 5. Visa Directory Server връща отговор.Visa Directory Server препраща отговор от ACS (или самостоятелно генериран) на MPI.Ако удостоверяването е на разположение, отговорът включва URL на ACS, за коитоMerchant ще изпрати Payer Authentication Request.Стъпка 6. MPI изпраща Payer Authentication Request.Ако удостоверяването не е възможно, MPI „съветва” търговеца да продължи със стъпка12. Ако е възможно MPI изпраща Payer Authentication Request до ACS.Стъпка 7. ACS получава Payer Authentication Request.Стъпка 8. ACS удостоверява Картодържателя.
  • 11. Потребителя въвежда детайли за покупката. Вевежда своите данни във формата запотвърждение и се извършва удостверяването на потребителя.Фиг3. Потребителски интерфейс за въвежда на парола и завършване на плащането.Стъпка 9. ACS изпраща резултатите.Стъпка 10. MPI получава идентификация за Payer Authentication Response.Стъпка 11. MPI валидира данните за платеца и изпраща очакван резултат към сайтана търговеца.Стъпка 12. Финализиране на плащането.От получената информация от верифицирането на потребителя, търговския електроненмагазин решава как да завърши пазаруването. MPI предава няколко важнипараметара, като най-важните от които са: Electronic Commerce Indicator (ECI) CAVV - Cardholder Authentication Verification ValueСпоред стойностите които съдържат въпросните параметри, електрония магазин натърговеца решава как да процедира с покупката. Възможно е да се плати с VbV
  • 12. платфорамта, или да се плати без 3D secure. Както е възможно и търговеца да откажеплащането.Фиг. 4. Схема на процесите при VbV и възможните потоци и резултати.
  • 13. 3.4 Заявки и резултати при 3D Secure1. Изпращане на VEReq Message:След натискане на бутона „плати” от електрония магазин, системата PIT изпраща VEReqзаявка до сървъра на VISA. Съобщението съдържа PAN от посочената кредитна карта напотребителя както и основни данни за търговеца.<ThreeDSecure> <Message id="001"> <VEReq> <version>1.0.2</version> <pan>0000000000001112</pan> <Merchant> <acqBIN>999999</acqBIN> <merID>123456790</merID> <password>password</password> </Merchant> </VEReq> </Message></ThreeDSecure>2. Резултата от VEReq Message – VERes message<ThreeDSecure> <Message id="001"> <VERes> <version>1.0.2</version> <CH> <enrolled>Y</enrolled> <acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID> </CH> <url>https://dropit.3dsecure.net:9443/PIT/ACS</url> <protocol>ThreeDSecure</protocol> </VERes> </Message></ThreeDSecure>Резултатът от VEReq заявката се нарича – VERes. Той съдържа информация завъпросната кредитна карта. Основния таг в примерния отговор е тагът- “enrolled”.Съдържанието на тага може да бъде – “Y” или “N”: Y – картата е „абонирана” за 3DSecure. N – картата не е „абонирана” за 3DSecure. Стъпките по протокола на 3D Secure завършват до тук и се преминава към плащане без 3D Secure.
  • 14. 3. Изпращане на втора заявка – PAReq<ThreeDSecure> <Message id="11292007120208046"> <PAReq> <version>1.0.2</version> <Merchant> <acqBIN>999999</acqBIN> <merID>123456790</merID> <name>TEST_MERCHANT</name> <country>840</country> <url>http://www.testmerchant.com/</url> </Merchant> <Purchase> <xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid> <date>20110425 11:21:32</date> <amount>$72.56</amount> <purchAmount>7256</purchAmount> <currency>840</currency> <exponent>2</exponent> </Purchase> <CH> <acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID> <expiry>115</expiry> </CH> </PAReq> </Message></ThreeDSecure>След като се установи че каратата е абонирана за 3DSecure, се изпраща PAReq заявка,съдържаща подробна информация, необходима за извършване на разплащането.Същевременно потребителя се препраща(redirect) към уеб-адрес съдържащ се в VEResотговора. Това е адрес на issuer-a на картата. На този адрес потребителя въвеждапарола, с която потвърждава плащането и отново се препраща към електрония магазинна търговеца(фиг 3). След успешното потвърждаване на потребителя, систематапрепраща отново към сайта на търговеца. Изпраща се и резултат от действието напотребителя във съобщение - PARes2. Резултата от PAReq Message – PARes message<?xml version="1.0" encoding="UTF-8"?><ThreeDSecure>
  • 15. <Message id="11292007120208046"> <PARes id="45809976"> <version>1.0.2</version> <Merchant> <acqBIN>999999</acqBIN> <merID>123456790</merID> </Merchant> <Purchase> <xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid> <date>20110425 11:21:32</date> <purchAmount>7256</purchAmount> <currency>840</currency> <exponent>2</exponent> </Purchase> <pan>0000000000001112</pan> <TX> <time>20110425 11:21:08</time> <status>Y</status> <cavv>AAECAwQFBgcICQoLDA0ODxAREhM=</cavv> <eci>05</eci> <cavvAlgorithm>2</cavvAlgorithm> </TX> </PARes> … </Message></ThreeDSecure>Това е последния отговор от ACS. Резултатът съдържа две ключови стойности – CAAV иECI, MPI модулът преценява дали е успешно потвърждаването на потребителя илиразплащането не може да се извърши.Ако получените резултати са в допустимите стойности, то се извършва финансоватранзакция, като се изпращат и въпросните параметри – CAAV и ECI.Модулът на VISA – BASE 1 получава заявката за плащане и сравнява полученитепараметри с тези, които са генерирани при потвърждаването на потребителя. Акосъвпадат транзакцията се извършва.Така приключва едно разплащане по 3D Secure протокола на Visa.
  • 16. 4.ЗаключениеVerified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакциис безопасно пазаруване в интернет. VbV е изграден върху технологичната платформанаречена Three-Domain (3-D) Secure. Със Verified by Visa се създава високо ниво надоверие на потребителите в онлайн пазаруването. VbV се поддържа от различниинтернет устройства за достъп, включително персонални компютри, безжичниустройства, като мобилни телефони, персонални цифрови и телевизионни приставки.
  • 17. 5. Източници1. http://www.visa.com/2. http://www.wikipedia.org/3. http://www.visaeurope.com/4. https://dropit.3dsecure.net/PIT/