SlideShare ist ein Scribd-Unternehmen logo
1 von 17
Downloaden Sie, um offline zu lesen
Икономически университет – Варна
    Център „Магистърско обучение”




                               Тема:

 Сигурност при онлайн разплащания
        с 3D Secure на Visa




Изготвил:                              Проверил:
Владимир Валентинов Венков,            Доц. д-р Стефан. Дражев
спец. „Информатика”, V курс,
ф. № 8972
Съдържание
1. Увод
1.1 История на онлайн разплащанията
1.2 Опасност при електронните разплащания в Интернет
2. Verified by Visa
2.1 Ползи от Verified by Visa
2.2 Предимства за търговците
2.3 Предимства за Търговците от маркетингова гледна точка
3. 3D Secure
3.1 Участници и ролята им в VbV
3.2 Софтуерни компоненти
3.3 Поток на транзакциите
4. Заключение
5. Използвана литература
1. Увод
През 21 век все по-широка става употребата на Интернет и електронните приложения и
услуги, като основни средства за осъществяване на бизнес дейности и контакти, във
всички сектори на обществения живот. Все повече се засилва преходът от
индустриална към глобална цифрова икономика.

Компаниите все по-широко използват Интернет като основно средство за делови
комуникации и за осъществяване на своя бизнес. Днес глобалната мрежа е най-
предпочитаният способ за взаимодействие на различни организации и фирми чрез
средства и технологии, които са в максимална степен съобразени с изискванията на
отделните бизнес процеси.

Развитието на информационните технологии дава своето отражение и върху сферата
на банковите услуги. От една страна информационните технологии спомага за
намаляването на разходите за управление на информацията (събиране, съхранение,
обработване и предаване) при банковите операции. Това се постига чрез заместването
на традиционните методи с автоматизирани. От друга страна се променят начините за
достъп на клиентите до банковите услуги и продукти - достъпът се осъществява чрез
автоматизирани канали - т. нар. отдалечено банкиране или електронно/онлайн
банкиране. Именно това налага и все по-силното преминаване на банките от нормален
тип банкиране към електронно банкиране, с цел да задоволят нарастващите нужди на
потребителите от мобилност и бързина на обслужване.


1.1 История на онлайн разплащанията
Различните видове комуникации започват да се използват от банките още през 80-те
години на миналия век. През 1983 г. за първи път е приложена системата на
отдалечено банкиране Homelink чрез съвместното участие на Банката на Шотландия и
телефонната компания British Telecom и изпробвана от строителното дружество
Nottingham Building Society. През онези години оптимистичните прогнози за
прилагането на Интернет и на специалните електронни мрежи в банковото дело
изглеждат нереални. Системата, която са използват била базирана на съществуващата
вече Pestle system, която позволявала онлайн да бъдат давани сведения за финансови
отчети, банкови трансфери и транзакции по сметки. За осъществяването на банковите
трансфери и транзакции по сметки, предварително трябвало да бъдат пратени писмени
инструкции, даващи подробна информация за получателя. Те по-късно са били качвани
от NBS в новата Homelink система. Обикновено получателите били телефонни,
електрически и газ компании.

1.2 Опасност при електронните разплащания в Интернет
Един от основните въпроси в електронната търговия е този за сигурността на
разплащанията. Трансферът на информация за кредитни карти, за пароли за достъп до
банкови сметки и за дебитни карти е лесно да бъде засечен от недоброжелатели.
С развитието на технологиите и софтуерните продуки се развива и увеличава
опасността в интернет пространството. Пред потребителите в интернет се появява нова
заплаха – кибер престъпността. Това са действия на специалисти в IT сектора, които
използват знанията и уменията си, както и развитите софтуерни продуки с цел да
навредят на потребителите. Основната цел на кибер атаките е информацията. Разбира
се това е информация за потребителите, която е строго лична и която е пряко или не-
пряко свързана със парични средства – кредитни карти, електронно банкиране.

Всеки един притежател на кредитна карта може да пазарува в интернет. Заплащането
става с въвеждане на основните данни на кредитната карта в процеса на пазаруване.
По електронен път се „заплаща” за избраните стоки от електронния магазин и процеса
на онлайн пазаруване е завършен.

Съществуват много на брой техники и практики за „кражба” на лични данни в интернет.
Кибер разбойниците се увеличават постоянно. Потребителите стават несигурни в
мрежата и започват да гледат с недоверие. Страхуват се въвеждат лична и важна
информация в интернет.

Финансовите институции постоянно се борят с кибер атаките и се стремят повишаване
сигурността на системите. Едно от последните технологии, разработено заедно от
екипи на MasterCard, Visa и JBC е 3D Secure протокола. Платформата се използва при
онлайн разплащания извършени в електронни магазини в интернет. За различните
компании системата за сигурност се нарича по различен начин, но идейно и
функционално имплементира една и съща идея:
      MasterCard – SecureCode
      Visa – Verified by Visa




                            2. Verified by Visa

Verified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакции с
безопасно пазаруване в интернет чрез идентификация на самоличността на
картодържателя в момента на покупката, преди търговецът да подаде заявка за
упълномощаване.
VbV е изграден върху технологичната платформа наречена Three-Domain (3-D) Secure.
Целта на VbV е да се създаде ниво на доверие на потребителите в онлайн
пазаруването, подобна на тази във физическата среда на пазаруване. Той е проектиран
да подобри сигурността както на картодържателят, така и към търговеца. Да се повиши
доверието в интернет пазаруването и да се намалят измамите, свързани с
използването на разплащателни карти Visa.
VbV се поддържа от различни интернет устройства за достъп, включително персонални
компютри, безжични устройства, като мобилни телефони, персонални цифрови и
телевизионни приставки. VbV може да работи с множество технологии – пароли за
достъп, цифрови сертификати, както и чип карти. VbV се прилага в световен мащаб чрез
Visa потребители и търговци.
2.1 Ползи от Verified by Visa
Verified by Visa е разработен в полза на всички участници в онлайн платежните
транзакция.

Предимства за търговци
• Повишаване на доверието на потребителите в онлайн покупки, които могат да
доведат до увеличаване на обема на продажбите
• Намаляване на риска от измамни сделки
• Гарантирано заплащане за заверени сделки
• Намаляване на оперативните разходи, поради по-малкия брой успорвани сделки

Ползи за емитенти(Issuers)
• Увеличаване на продажбите на дребно
• Значително добавена стойност на съществуващите продуктови оферти, като дава
възможност на истинността на Интернет транзакции. По този начин се намалява на
броя на измамните сделки
• Подобрена качеството на данните със заверен сделки

Ползи за картодържатели
• Повишаване на доверието на потребителите при покупки по интернет
• Не са необходими специални софтуерни приложения
• Лесна употреба
• Контрол върху картата използваna за онлайн покупки



2.2 Предимства за търговците
Приемането на онлайн разплащания с карти предоставя много голяма полза за
търговците, но същевременно може също да доведе до някои предизвикателства и
проблеми, с които всеки търговец трябва да се справи.

      нежелание от страна на картодържателя за закупуване на стоки и услуги онлайн,
      защото все още е общоприето схващането, че покупки онлайн не са сигурни.

      Разходите, свързани с измами с неотиризирани картодържатели.

      Оперативни разходи, свързани с обработка за спорове на на транакции от
      картодържателя.


VbV успешно решева тези проблеми и осигурява сигурността на картодаржателите:

      Повишаване на доверието на потребителите
      Проучване показва че основния проблем при онлайн пазаруването е
      сигурността на картодаржателя и поверителността на информацията. VbV дава
      възможност на издателя да удостовери автентичността един картодържател по
време на онлайн покупката.
      С подобряването на сигурността, картодържатели ще станат по-уверени в
      онлайн покупките, като по този начин потенциално ще се увеличи обема на
      продажбите в интернет.

      Намаляване измамите и Гарантирано плащане
      VbV дава възможност на издателите да удостоверява самоличността на
      картодържателя по време на всяка транзакция, като предоставя високо ниво на
      сигурност.

      Намаляване на Оперативните разход
      Разходите за обслужване на клиенти, свързани с обработка на спора могат да
      бъдат значителни за сметка търговците. Намаляването на измамите и
      оперативните разходи дава на търговците преки икономии на финансови
      средства.



2.3 Предимства за Търговците от маркетингова гледна
точка
Програмата VbV изпраща силно послание към потребителите, информирайки ги че
търговците, които участват в програмата са ангажирани с провеждането на Интернет
търговия по сигурен начин. Това създава следните възможности за търговците:
      Visa разработи “Verified by Visa” марка предназначена за сайтовете на
      търговците, като по този начин се покаже нивото на сигурност пред
      потребителите
      Търговците могат да използват извадка от VbV с маркетингови послания.
      Търговците могат да бъдат представени на регионалните сайтове на Visa.


Verified by Visa - лого




Verified by Visa (VbV) е името на програмата, която потребителите свързват с
възможността за Интернет автентификация, предлагана от техния издател. Участващите
търговци могат да използват марката VbV на своите интернет страници за подкрепа на
програмата.
3. 3D Secure
3-D Secure е спецификация, разработена от VISA, за да подобри онлайн сигурността на
при пазаруване и да се ускори развитието на електронната търговия. Verified by Visa
(VbV) е удостоверяване на програма, основана на 3-D Secure спецификацията.

3-D Secure протокол е техническа платформа, която включва технически спецификации
и изисквания към издателя, аcquirers(финансова инситутиция която извършва
транзакциите) , и търговци. В допълнение се използва интернет технология Secure
Sockets Layer (SSL) криптиране за защита на информацията в процеса на разплащане с
карти по интернет. 3-D Secure се „допитва” до картодържателя да провери и потвърди
автентичността на покупката.

3.1 Участници и ролята им в VbV
      Издател(Issuer) - Финансова институция, която издава Visa карти на
      Картодържателите.
      Управлява участието на на картодържателите в програмата VbV; утвърждава
      Картодържателя по време на всяка поръчка през Интернет; предвижда цифрово
      подписан отговор на търговец за всяки заверена сделка.
      Картодържател - Титуляр на сметката за разплащане с Visa карта
      Използва карта за заплащане на покупки по интернет. Предоставя лична парола
      в момента на покупката.
      Acquirer - финансова институция сключваща договор с търговците за приемане
      на разплащания с карти Visa
      Регистрираните търговци с VbV гарантира, че произхода на интернет
      транзакциите са действащи в рамките на търговското споразумение с
      придобило в съответствие с бизнес правилата и техническите изисквания за
      програмата VbV.
      Търговец - Приема плащания за покупка на стоки от интернет сайт от
      Картодържатели на Visa, който прави покупки по интернет.
      Използва специален софтуер реализиране на VbV програмата – Merchant Server
      Plug-in (MPI).
      VisaNet - Системи и услуги, включващи интегрирана система за плащане и Base II


3.2Софтуерни компоненти
3-D Secure протокол се състои от три части – домейна в съответствие с включените
участници:
 Issuer Domain                                   Issuers and Cardholders
 Acquirer Domain                                 Acquirers and Merchants
 Interoperability Domain                         Visa-operated systems that
                                                 connect the Issuer and Acquirer
                                                 Domains
Фигура 1. Схема на 3-D Secure


       Issuer Domain – Сървър с регистрирани Картодържатели със отворени сметки и
       информация за тях. Осигурява достъп до информация и потвърждение на
       информация за картодаржателите.
       Acquirer Domain – това е частта на търговеца със неговия електронен магазин и
       специалният софтуер – MPI който осъществява и изпълнява връзката със
       електрония магазин и Issuer Domain.
       Interoperability Domain – осъществява връзката между търговецът с данните за
       картодаржателите съхранени във Виза.



3.3 Поток на транзакциите
Verified by Visa (VbV) програма включва двa етапа:

               Регистриране на картодържатлите за програмата VbV;
               Потвърждаване и верифициране на картодържателите по време на
               онлайн пазаруване.
Всеки картодържател на Visa има възможност да се регистрира за програмата VbV. При
регистрицията се изисква парола, която потребителя ще използва за неговата
идентификация.
След включването на картодържателя към VbV той е готов и може да използва
системата при онлайн пазаруване.




Фиг. 2. Схема на потоците от данни при онлайн пазаруване.
Стъпка 1. Картодържателят завършва покупка.
След избиране на продуктите за закопуване от сайта на търговеца, потребителя е готов
да плати за избраните от него стоки. Картодържателят въвежда необходимата
информация за заплащане – PAN, CVC и дата на валидност за картата.
Стъпка 2. Merchant Server Plug-In
Започва работата на MPI системата. MPI проверява, ако е наличен кеш от рангове на
панове, за автентичност на текущата VISA карта. Ако картата е в диапазона,
процедурата с VbV продължава. Ако не, то тогава MPI сигнализира че неможе да се
изпълни VbV и се продължава към стъпка 12.
Стъпка 3. Visa Directory Server processes request.
Установява се връзка и се проверява автентичността на търговеца както и дали е
възможно да се продължи по VbV за въпросния PAN от кредитната карта на
картодържателя. Ако не е възможно се продължава със стъпка 5 и на сайта на
търговеца чрез MPI се връща специално дефинирано съобщение с информацията.
Стъпка 4. ACS отговаря на Visa Server Directory.
ACS определя е на разположение удостоверяване за PAN, подготвя се отговор и се
изпраща на Visa Directory Server
Стъпка 5. Visa Directory Server връща отговор.
Visa Directory Server препраща отговор от ACS (или самостоятелно генериран) на MPI.
Ако удостоверяването е на разположение, отговорът включва URL на ACS, за които
Merchant ще изпрати Payer Authentication Request.
Стъпка 6. MPI изпраща Payer Authentication Request.
Ако удостоверяването не е възможно, MPI „съветва” търговеца да продължи със стъпка
12. Ако е възможно MPI изпраща Payer Authentication Request до ACS.
Стъпка 7. ACS получава Payer Authentication Request.

Стъпка 8. ACS удостоверява Картодържателя.
Потребителя въвежда детайли за покупката. Вевежда своите данни във формата за
потвърждение и се извършва удостверяването на потребителя.




Фиг3. Потребителски интерфейс за въвежда на парола и завършване на плащането.
Стъпка 9. ACS изпраща резултатите.
Стъпка 10. MPI получава идентификация за Payer Authentication Response.
Стъпка 11. MPI валидира данните за платеца и изпраща очакван резултат към сайта
на търговеца.
Стъпка 12. Финализиране на плащането.
От получената информация от верифицирането на потребителя, търговския електронен
магазин решава как да завърши пазаруването. MPI предава няколко важни
параметара, като най-важните от които са:
      Electronic Commerce Indicator (ECI)
      CAVV - Cardholder Authentication Verification Value
Според стойностите които съдържат въпросните параметри, електрония магазин на
търговеца решава как да процедира с покупката. Възможно е да се плати с VbV
платфорамта, или да се плати без 3D secure. Както е възможно и търговеца да откаже
плащането.




Фиг. 4. Схема на процесите при VbV и възможните потоци и резултати.
3.4 Заявки и резултати при 3D Secure
1. Изпращане на VEReq Message:

След натискане на бутона „плати” от електрония магазин, системата PIT изпраща VEReq
заявка до сървъра на VISA. Съобщението съдържа PAN от посочената кредитна карта на
потребителя както и основни данни за търговеца.

<ThreeDSecure>
 <Message id="001">
  <VEReq>
   <version>1.0.2</version>
   <pan>0000000000001112</pan>
   <Merchant>
    <acqBIN>999999</acqBIN>
    <merID>123456790</merID>
    <password>password</password>
   </Merchant>
  </VEReq>
 </Message>
</ThreeDSecure>



2. Резултата от VEReq Message – VERes message

<ThreeDSecure>
 <Message id="001">
  <VERes>
   <version>1.0.2</version>
   <CH>
    <enrolled>Y</enrolled>
    <acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID>
   </CH>
   <url>https://dropit.3dsecure.net:9443/PIT/ACS</url>
   <protocol>ThreeDSecure</protocol>
  </VERes>
 </Message>
</ThreeDSecure>


Резултатът от VEReq заявката се нарича – VERes. Той съдържа информация за
въпросната кредитна карта. Основния таг в примерния отговор е тагът- “enrolled”.
Съдържанието на тага може да бъде – “Y” или “N”:
      Y – картата е „абонирана” за 3DSecure.
      N – картата не е „абонирана” за 3DSecure. Стъпките по протокола на 3D Secure
      завършват до тук и се преминава към плащане без 3D Secure.
3. Изпращане на втора заявка – PAReq

<ThreeDSecure>
 <Message id="11292007120208046">
  <PAReq>
   <version>1.0.2</version>
   <Merchant>
    <acqBIN>999999</acqBIN>
    <merID>123456790</merID>
    <name>TEST_MERCHANT</name>
    <country>840</country>
    <url>http://www.testmerchant.com/</url>
   </Merchant>
   <Purchase>
    <xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid>
    <date>20110425 11:21:32</date>
    <amount>$72.56</amount>
    <purchAmount>7256</purchAmount>
    <currency>840</currency>
    <exponent>2</exponent>
   </Purchase>
   <CH>
    <acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID>
    <expiry>115</expiry>
   </CH>
  </PAReq>
 </Message>
</ThreeDSecure>


След като се установи че каратата е абонирана за 3DSecure, се изпраща PAReq заявка,
съдържаща подробна информация, необходима за извършване на разплащането.
Същевременно потребителя се препраща(redirect) към уеб-адрес съдържащ се в VERes
отговора. Това е адрес на issuer-a на картата. На този адрес потребителя въвежда
парола, с която потвърждава плащането и отново се препраща към електрония магазин
на търговеца(фиг 3). След успешното потвърждаване на потребителя, системата
препраща отново към сайта на търговеца. Изпраща се и резултат от действието на
потребителя във съобщение - PARes



2. Резултата от PAReq Message – PARes message

<?xml version="1.0" encoding="UTF-8"?>
<ThreeDSecure>
<Message id="11292007120208046">
  <PARes id="45809976">
   <version>1.0.2</version>
   <Merchant>
    <acqBIN>999999</acqBIN>
    <merID>123456790</merID>
   </Merchant>
   <Purchase>
    <xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid>
    <date>20110425 11:21:32</date>
    <purchAmount>7256</purchAmount>
    <currency>840</currency>
    <exponent>2</exponent>
   </Purchase>
   <pan>0000000000001112</pan>
   <TX>
    <time>20110425 11:21:08</time>
    <status>Y</status>
    <cavv>AAECAwQFBgcICQoLDA0ODxAREhM=</cavv>
    <eci>05</eci>
    <cavvAlgorithm>2</cavvAlgorithm>
   </TX>
  </PARes>
  …
 </Message>
</ThreeDSecure>



Това е последния отговор от ACS. Резултатът съдържа две ключови стойности – CAAV и
ECI, MPI модулът преценява дали е успешно потвърждаването на потребителя или
разплащането не може да се извърши.

Ако получените резултати са в допустимите стойности, то се извършва финансова
транзакция, като се изпращат и въпросните параметри – CAAV и ECI.

Модулът на VISA – BASE 1 получава заявката за плащане и сравнява получените
параметри с тези, които са генерирани при потвърждаването на потребителя. Ако
съвпадат транзакцията се извършва.

Така приключва едно разплащане по 3D Secure протокола на Visa.
4.Заключение

Verified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакции
с безопасно пазаруване в интернет. VbV е изграден върху технологичната платформа
наречена Three-Domain (3-D) Secure. Със Verified by Visa се създава високо ниво на
доверие на потребителите в онлайн пазаруването. VbV се поддържа от различни
интернет устройства за достъп, включително персонални компютри, безжични
устройства, като мобилни телефони, персонални цифрови и телевизионни приставки.
5. Източници
1.   http://www.visa.com/
2.   http://www.wikipedia.org/
3.   http://www.visaeurope.com/
4.   https://dropit.3dsecure.net/PIT/

Weitere ähnliche Inhalte

Ähnlich wie Visa security 8972

Развитие на финансовите приложения от транзакционни услуги към комплексно реш...
Развитие на финансовите приложения от транзакционни услуги към комплексно реш...Развитие на финансовите приложения от транзакционни услуги към комплексно реш...
Развитие на финансовите приложения от транзакционни услуги към комплексно реш...beITconference
 
Start UP 2008: Monetaize a new web site - Anton Gavrailov
Start UP 2008: Monetaize a new web site - Anton GavrailovStart UP 2008: Monetaize a new web site - Anton Gavrailov
Start UP 2008: Monetaize a new web site - Anton GavrailovRock'n'Roll.bg
 
Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...
Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...
Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...Netpeak
 
Abstract - SSL Certificates
Abstract - SSL CertificatesAbstract - SSL Certificates
Abstract - SSL CertificatesAnita Nestorova
 
Симетрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияСиметрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияKaloyan Kosev
 
VET4SBO Level 2 module 6 - unit 4 - v1.0 bg
VET4SBO Level 2   module 6 - unit 4 - v1.0 bgVET4SBO Level 2   module 6 - unit 4 - v1.0 bg
VET4SBO Level 2 module 6 - unit 4 - v1.0 bgKarel Van Isacker
 
Fintech Forum Sofia, April 2018 open banking presentation
Fintech Forum Sofia, April 2018   open banking presentationFintech Forum Sofia, April 2018   open banking presentation
Fintech Forum Sofia, April 2018 open banking presentationGoran Angelov
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиVqra Velinova
 
Online payments and how they engage customers experience - Martin Bogdanov @ ...
Online payments and how they engage customers experience - Martin Bogdanov @ ...Online payments and how they engage customers experience - Martin Bogdanov @ ...
Online payments and how they engage customers experience - Martin Bogdanov @ ...ecommcongress
 
Електронните подписи - теория и практика в България
Електронните подписи - теория и практика в БългарияЕлектронните подписи - теория и практика в България
Електронните подписи - теория и практика в БългарияAby Radev
 
резервационна система амадеус
резервационна система амадеусрезервационна система амадеус
резервационна система амадеусelincetoo
 
Лекция на Анатоли Атанасов от Oracle по време на UniCredit App Challenge
Лекция на Анатоли Атанасов от Oracle по време на UniCredit App ChallengeЛекция на Анатоли Атанасов от Oracle по време на UniCredit App Challenge
Лекция на Анатоли Атанасов от Oracle по време на UniCredit App ChallengeBulbank
 
Onlinet introduction bg_2010
Onlinet introduction bg_2010Onlinet introduction bg_2010
Onlinet introduction bg_2010nickpenev
 
Презентация за хотелиери
Презентация за хотелиериПрезентация за хотелиери
Презентация за хотелиериmin4ev
 

Ähnlich wie Visa security 8972 (20)

Развитие на финансовите приложения от транзакционни услуги към комплексно реш...
Развитие на финансовите приложения от транзакционни услуги към комплексно реш...Развитие на финансовите приложения от транзакционни услуги към комплексно реш...
Развитие на финансовите приложения от транзакционни услуги към комплексно реш...
 
Start UP 2008: Monetaize a new web site - Anton Gavrailov
Start UP 2008: Monetaize a new web site - Anton GavrailovStart UP 2008: Monetaize a new web site - Anton Gavrailov
Start UP 2008: Monetaize a new web site - Anton Gavrailov
 
Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...
Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...
Офлайн взаимодействие с дигиталната среда и анализ на офлайн продажби, инциир...
 
VPN Security
VPN SecurityVPN Security
VPN Security
 
Abstract - SSL Certificates
Abstract - SSL CertificatesAbstract - SSL Certificates
Abstract - SSL Certificates
 
Симетрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияСиметрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информация
 
VET4SBO Level 2 module 6 - unit 4 - v1.0 bg
VET4SBO Level 2   module 6 - unit 4 - v1.0 bgVET4SBO Level 2   module 6 - unit 4 - v1.0 bg
VET4SBO Level 2 module 6 - unit 4 - v1.0 bg
 
Lyubomir Rusanov, CEO at Superhosting.bg / oa conf-live2021
Lyubomir Rusanov, CEO at Superhosting.bg / oa conf-live2021Lyubomir Rusanov, CEO at Superhosting.bg / oa conf-live2021
Lyubomir Rusanov, CEO at Superhosting.bg / oa conf-live2021
 
Phishing and Anti-Phishing
Phishing and Anti-PhishingPhishing and Anti-Phishing
Phishing and Anti-Phishing
 
Fintech Forum Sofia, April 2018 open banking presentation
Fintech Forum Sofia, April 2018   open banking presentationFintech Forum Sofia, April 2018   open banking presentation
Fintech Forum Sofia, April 2018 open banking presentation
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
 
Online payments and how they engage customers experience - Martin Bogdanov @ ...
Online payments and how they engage customers experience - Martin Bogdanov @ ...Online payments and how they engage customers experience - Martin Bogdanov @ ...
Online payments and how they engage customers experience - Martin Bogdanov @ ...
 
Електронните подписи - теория и практика в България
Електронните подписи - теория и практика в БългарияЕлектронните подписи - теория и практика в България
Електронните подписи - теория и практика в България
 
Konstantin zankov tm_18.06
Konstantin zankov tm_18.06Konstantin zankov tm_18.06
Konstantin zankov tm_18.06
 
резервационна система амадеус
резервационна система амадеусрезервационна система амадеус
резервационна система амадеус
 
Virtual Private Networks Security Presents
Virtual Private Networks Security PresentsVirtual Private Networks Security Presents
Virtual Private Networks Security Presents
 
B trust e-invoice 26.9.11
B trust e-invoice 26.9.11B trust e-invoice 26.9.11
B trust e-invoice 26.9.11
 
Лекция на Анатоли Атанасов от Oracle по време на UniCredit App Challenge
Лекция на Анатоли Атанасов от Oracle по време на UniCredit App ChallengeЛекция на Анатоли Атанасов от Oracle по време на UniCredit App Challenge
Лекция на Анатоли Атанасов от Oracle по време на UniCredit App Challenge
 
Onlinet introduction bg_2010
Onlinet introduction bg_2010Onlinet introduction bg_2010
Onlinet introduction bg_2010
 
Презентация за хотелиери
Презентация за хотелиериПрезентация за хотелиери
Презентация за хотелиери
 

Mehr von LogMan Graduate School on Knowledge Economy

Компютърни технологии в рекламата и медийните комуникации - Седмица 1.
Компютърни технологии в рекламата и медийните комуникации - Седмица 1.Компютърни технологии в рекламата и медийните комуникации - Седмица 1.
Компютърни технологии в рекламата и медийните комуникации - Седмица 1.LogMan Graduate School on Knowledge Economy
 

Mehr von LogMan Graduate School on Knowledge Economy (20)

The Best Securely Communication Software
The Best Securely Communication SoftwareThe Best Securely Communication Software
The Best Securely Communication Software
 
The Start SSL Free
The Start SSL FreeThe Start SSL Free
The Start SSL Free
 
The Best Security Resources for RussStudents at UE
The Best Security Resources for RussStudents at UEThe Best Security Resources for RussStudents at UE
The Best Security Resources for RussStudents at UE
 
My Digital Shadows and Personal Security
My Digital Shadows and Personal SecurityMy Digital Shadows and Personal Security
My Digital Shadows and Personal Security
 
Security mti2014the3a
Security mti2014the3aSecurity mti2014the3a
Security mti2014the3a
 
Информационна сигурност - интро
Информационна сигурност - интро Информационна сигурност - интро
Информационна сигурност - интро
 
Инфоструктура Web 2.0
Инфоструктура Web 2.0Инфоструктура Web 2.0
Инфоструктура Web 2.0
 
Real time web - week2
Real time web - week2Real time web - week2
Real time web - week2
 
Лекция първа Security
Лекция първа SecurityЛекция първа Security
Лекция първа Security
 
Компютърни технологии в рекламата и медийните комуникации - Седмица 1.
Компютърни технологии в рекламата и медийните комуникации - Седмица 1.Компютърни технологии в рекламата и медийните комуникации - Седмица 1.
Компютърни технологии в рекламата и медийните комуникации - Седмица 1.
 
MOOC and Higher Education
MOOC and Higher EducationMOOC and Higher Education
MOOC and Higher Education
 
6 pluspresent2012secondweek
6 pluspresent2012secondweek6 pluspresent2012secondweek
6 pluspresent2012secondweek
 
ICT in Int'l Business Relations
ICT in Int'l Business RelationsICT in Int'l Business Relations
ICT in Int'l Business Relations
 
Отчет на НП46/Етап 1
Отчет на НП46/Етап 1Отчет на НП46/Етап 1
Отчет на НП46/Етап 1
 
Human factors and security
Human factors and securityHuman factors and security
Human factors and security
 
Security Log Management
Security Log  ManagementSecurity Log  Management
Security Log Management
 
PHP Security
PHP SecurityPHP Security
PHP Security
 
What Is Spam?
What  Is Spam?What  Is Spam?
What Is Spam?
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
 
ICT Security - Phishing
ICT Security - PhishingICT Security - Phishing
ICT Security - Phishing
 

Visa security 8972

  • 1. Икономически университет – Варна Център „Магистърско обучение” Тема: Сигурност при онлайн разплащания с 3D Secure на Visa Изготвил: Проверил: Владимир Валентинов Венков, Доц. д-р Стефан. Дражев спец. „Информатика”, V курс, ф. № 8972
  • 2. Съдържание 1. Увод 1.1 История на онлайн разплащанията 1.2 Опасност при електронните разплащания в Интернет 2. Verified by Visa 2.1 Ползи от Verified by Visa 2.2 Предимства за търговците 2.3 Предимства за Търговците от маркетингова гледна точка 3. 3D Secure 3.1 Участници и ролята им в VbV 3.2 Софтуерни компоненти 3.3 Поток на транзакциите 4. Заключение 5. Използвана литература
  • 3. 1. Увод През 21 век все по-широка става употребата на Интернет и електронните приложения и услуги, като основни средства за осъществяване на бизнес дейности и контакти, във всички сектори на обществения живот. Все повече се засилва преходът от индустриална към глобална цифрова икономика. Компаниите все по-широко използват Интернет като основно средство за делови комуникации и за осъществяване на своя бизнес. Днес глобалната мрежа е най- предпочитаният способ за взаимодействие на различни организации и фирми чрез средства и технологии, които са в максимална степен съобразени с изискванията на отделните бизнес процеси. Развитието на информационните технологии дава своето отражение и върху сферата на банковите услуги. От една страна информационните технологии спомага за намаляването на разходите за управление на информацията (събиране, съхранение, обработване и предаване) при банковите операции. Това се постига чрез заместването на традиционните методи с автоматизирани. От друга страна се променят начините за достъп на клиентите до банковите услуги и продукти - достъпът се осъществява чрез автоматизирани канали - т. нар. отдалечено банкиране или електронно/онлайн банкиране. Именно това налага и все по-силното преминаване на банките от нормален тип банкиране към електронно банкиране, с цел да задоволят нарастващите нужди на потребителите от мобилност и бързина на обслужване. 1.1 История на онлайн разплащанията Различните видове комуникации започват да се използват от банките още през 80-те години на миналия век. През 1983 г. за първи път е приложена системата на отдалечено банкиране Homelink чрез съвместното участие на Банката на Шотландия и телефонната компания British Telecom и изпробвана от строителното дружество Nottingham Building Society. През онези години оптимистичните прогнози за прилагането на Интернет и на специалните електронни мрежи в банковото дело изглеждат нереални. Системата, която са използват била базирана на съществуващата вече Pestle system, която позволявала онлайн да бъдат давани сведения за финансови отчети, банкови трансфери и транзакции по сметки. За осъществяването на банковите трансфери и транзакции по сметки, предварително трябвало да бъдат пратени писмени инструкции, даващи подробна информация за получателя. Те по-късно са били качвани от NBS в новата Homelink система. Обикновено получателите били телефонни, електрически и газ компании. 1.2 Опасност при електронните разплащания в Интернет Един от основните въпроси в електронната търговия е този за сигурността на разплащанията. Трансферът на информация за кредитни карти, за пароли за достъп до банкови сметки и за дебитни карти е лесно да бъде засечен от недоброжелатели. С развитието на технологиите и софтуерните продуки се развива и увеличава опасността в интернет пространството. Пред потребителите в интернет се появява нова
  • 4. заплаха – кибер престъпността. Това са действия на специалисти в IT сектора, които използват знанията и уменията си, както и развитите софтуерни продуки с цел да навредят на потребителите. Основната цел на кибер атаките е информацията. Разбира се това е информация за потребителите, която е строго лична и която е пряко или не- пряко свързана със парични средства – кредитни карти, електронно банкиране. Всеки един притежател на кредитна карта може да пазарува в интернет. Заплащането става с въвеждане на основните данни на кредитната карта в процеса на пазаруване. По електронен път се „заплаща” за избраните стоки от електронния магазин и процеса на онлайн пазаруване е завършен. Съществуват много на брой техники и практики за „кражба” на лични данни в интернет. Кибер разбойниците се увеличават постоянно. Потребителите стават несигурни в мрежата и започват да гледат с недоверие. Страхуват се въвеждат лична и важна информация в интернет. Финансовите институции постоянно се борят с кибер атаките и се стремят повишаване сигурността на системите. Едно от последните технологии, разработено заедно от екипи на MasterCard, Visa и JBC е 3D Secure протокола. Платформата се използва при онлайн разплащания извършени в електронни магазини в интернет. За различните компании системата за сигурност се нарича по различен начин, но идейно и функционално имплементира една и съща идея: MasterCard – SecureCode Visa – Verified by Visa 2. Verified by Visa Verified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакции с безопасно пазаруване в интернет чрез идентификация на самоличността на картодържателя в момента на покупката, преди търговецът да подаде заявка за упълномощаване. VbV е изграден върху технологичната платформа наречена Three-Domain (3-D) Secure. Целта на VbV е да се създаде ниво на доверие на потребителите в онлайн пазаруването, подобна на тази във физическата среда на пазаруване. Той е проектиран да подобри сигурността както на картодържателят, така и към търговеца. Да се повиши доверието в интернет пазаруването и да се намалят измамите, свързани с използването на разплащателни карти Visa. VbV се поддържа от различни интернет устройства за достъп, включително персонални компютри, безжични устройства, като мобилни телефони, персонални цифрови и телевизионни приставки. VbV може да работи с множество технологии – пароли за достъп, цифрови сертификати, както и чип карти. VbV се прилага в световен мащаб чрез Visa потребители и търговци.
  • 5. 2.1 Ползи от Verified by Visa Verified by Visa е разработен в полза на всички участници в онлайн платежните транзакция. Предимства за търговци • Повишаване на доверието на потребителите в онлайн покупки, които могат да доведат до увеличаване на обема на продажбите • Намаляване на риска от измамни сделки • Гарантирано заплащане за заверени сделки • Намаляване на оперативните разходи, поради по-малкия брой успорвани сделки Ползи за емитенти(Issuers) • Увеличаване на продажбите на дребно • Значително добавена стойност на съществуващите продуктови оферти, като дава възможност на истинността на Интернет транзакции. По този начин се намалява на броя на измамните сделки • Подобрена качеството на данните със заверен сделки Ползи за картодържатели • Повишаване на доверието на потребителите при покупки по интернет • Не са необходими специални софтуерни приложения • Лесна употреба • Контрол върху картата използваna за онлайн покупки 2.2 Предимства за търговците Приемането на онлайн разплащания с карти предоставя много голяма полза за търговците, но същевременно може също да доведе до някои предизвикателства и проблеми, с които всеки търговец трябва да се справи. нежелание от страна на картодържателя за закупуване на стоки и услуги онлайн, защото все още е общоприето схващането, че покупки онлайн не са сигурни. Разходите, свързани с измами с неотиризирани картодържатели. Оперативни разходи, свързани с обработка за спорове на на транакции от картодържателя. VbV успешно решева тези проблеми и осигурява сигурността на картодаржателите: Повишаване на доверието на потребителите Проучване показва че основния проблем при онлайн пазаруването е сигурността на картодаржателя и поверителността на информацията. VbV дава възможност на издателя да удостовери автентичността един картодържател по
  • 6. време на онлайн покупката. С подобряването на сигурността, картодържатели ще станат по-уверени в онлайн покупките, като по този начин потенциално ще се увеличи обема на продажбите в интернет. Намаляване измамите и Гарантирано плащане VbV дава възможност на издателите да удостоверява самоличността на картодържателя по време на всяка транзакция, като предоставя високо ниво на сигурност. Намаляване на Оперативните разход Разходите за обслужване на клиенти, свързани с обработка на спора могат да бъдат значителни за сметка търговците. Намаляването на измамите и оперативните разходи дава на търговците преки икономии на финансови средства. 2.3 Предимства за Търговците от маркетингова гледна точка Програмата VbV изпраща силно послание към потребителите, информирайки ги че търговците, които участват в програмата са ангажирани с провеждането на Интернет търговия по сигурен начин. Това създава следните възможности за търговците: Visa разработи “Verified by Visa” марка предназначена за сайтовете на търговците, като по този начин се покаже нивото на сигурност пред потребителите Търговците могат да използват извадка от VbV с маркетингови послания. Търговците могат да бъдат представени на регионалните сайтове на Visa. Verified by Visa - лого Verified by Visa (VbV) е името на програмата, която потребителите свързват с възможността за Интернет автентификация, предлагана от техния издател. Участващите търговци могат да използват марката VbV на своите интернет страници за подкрепа на програмата.
  • 7. 3. 3D Secure 3-D Secure е спецификация, разработена от VISA, за да подобри онлайн сигурността на при пазаруване и да се ускори развитието на електронната търговия. Verified by Visa (VbV) е удостоверяване на програма, основана на 3-D Secure спецификацията. 3-D Secure протокол е техническа платформа, която включва технически спецификации и изисквания към издателя, аcquirers(финансова инситутиция която извършва транзакциите) , и търговци. В допълнение се използва интернет технология Secure Sockets Layer (SSL) криптиране за защита на информацията в процеса на разплащане с карти по интернет. 3-D Secure се „допитва” до картодържателя да провери и потвърди автентичността на покупката. 3.1 Участници и ролята им в VbV Издател(Issuer) - Финансова институция, която издава Visa карти на Картодържателите. Управлява участието на на картодържателите в програмата VbV; утвърждава Картодържателя по време на всяка поръчка през Интернет; предвижда цифрово подписан отговор на търговец за всяки заверена сделка. Картодържател - Титуляр на сметката за разплащане с Visa карта Използва карта за заплащане на покупки по интернет. Предоставя лична парола в момента на покупката. Acquirer - финансова институция сключваща договор с търговците за приемане на разплащания с карти Visa Регистрираните търговци с VbV гарантира, че произхода на интернет транзакциите са действащи в рамките на търговското споразумение с придобило в съответствие с бизнес правилата и техническите изисквания за програмата VbV. Търговец - Приема плащания за покупка на стоки от интернет сайт от Картодържатели на Visa, който прави покупки по интернет. Използва специален софтуер реализиране на VbV програмата – Merchant Server Plug-in (MPI). VisaNet - Системи и услуги, включващи интегрирана система за плащане и Base II 3.2Софтуерни компоненти 3-D Secure протокол се състои от три части – домейна в съответствие с включените участници: Issuer Domain Issuers and Cardholders Acquirer Domain Acquirers and Merchants Interoperability Domain Visa-operated systems that connect the Issuer and Acquirer Domains
  • 8. Фигура 1. Схема на 3-D Secure Issuer Domain – Сървър с регистрирани Картодържатели със отворени сметки и информация за тях. Осигурява достъп до информация и потвърждение на информация за картодаржателите. Acquirer Domain – това е частта на търговеца със неговия електронен магазин и специалният софтуер – MPI който осъществява и изпълнява връзката със електрония магазин и Issuer Domain. Interoperability Domain – осъществява връзката между търговецът с данните за картодаржателите съхранени във Виза. 3.3 Поток на транзакциите Verified by Visa (VbV) програма включва двa етапа: Регистриране на картодържатлите за програмата VbV; Потвърждаване и верифициране на картодържателите по време на онлайн пазаруване.
  • 9. Всеки картодържател на Visa има възможност да се регистрира за програмата VbV. При регистрицията се изисква парола, която потребителя ще използва за неговата идентификация. След включването на картодържателя към VbV той е готов и може да използва системата при онлайн пазаруване. Фиг. 2. Схема на потоците от данни при онлайн пазаруване. Стъпка 1. Картодържателят завършва покупка. След избиране на продуктите за закопуване от сайта на търговеца, потребителя е готов да плати за избраните от него стоки. Картодържателят въвежда необходимата информация за заплащане – PAN, CVC и дата на валидност за картата. Стъпка 2. Merchant Server Plug-In Започва работата на MPI системата. MPI проверява, ако е наличен кеш от рангове на панове, за автентичност на текущата VISA карта. Ако картата е в диапазона, процедурата с VbV продължава. Ако не, то тогава MPI сигнализира че неможе да се изпълни VbV и се продължава към стъпка 12. Стъпка 3. Visa Directory Server processes request. Установява се връзка и се проверява автентичността на търговеца както и дали е възможно да се продължи по VbV за въпросния PAN от кредитната карта на
  • 10. картодържателя. Ако не е възможно се продължава със стъпка 5 и на сайта на търговеца чрез MPI се връща специално дефинирано съобщение с информацията. Стъпка 4. ACS отговаря на Visa Server Directory. ACS определя е на разположение удостоверяване за PAN, подготвя се отговор и се изпраща на Visa Directory Server Стъпка 5. Visa Directory Server връща отговор. Visa Directory Server препраща отговор от ACS (или самостоятелно генериран) на MPI. Ако удостоверяването е на разположение, отговорът включва URL на ACS, за които Merchant ще изпрати Payer Authentication Request. Стъпка 6. MPI изпраща Payer Authentication Request. Ако удостоверяването не е възможно, MPI „съветва” търговеца да продължи със стъпка 12. Ако е възможно MPI изпраща Payer Authentication Request до ACS. Стъпка 7. ACS получава Payer Authentication Request. Стъпка 8. ACS удостоверява Картодържателя.
  • 11. Потребителя въвежда детайли за покупката. Вевежда своите данни във формата за потвърждение и се извършва удостверяването на потребителя. Фиг3. Потребителски интерфейс за въвежда на парола и завършване на плащането. Стъпка 9. ACS изпраща резултатите. Стъпка 10. MPI получава идентификация за Payer Authentication Response. Стъпка 11. MPI валидира данните за платеца и изпраща очакван резултат към сайта на търговеца. Стъпка 12. Финализиране на плащането. От получената информация от верифицирането на потребителя, търговския електронен магазин решава как да завърши пазаруването. MPI предава няколко важни параметара, като най-важните от които са: Electronic Commerce Indicator (ECI) CAVV - Cardholder Authentication Verification Value Според стойностите които съдържат въпросните параметри, електрония магазин на търговеца решава как да процедира с покупката. Възможно е да се плати с VbV
  • 12. платфорамта, или да се плати без 3D secure. Както е възможно и търговеца да откаже плащането. Фиг. 4. Схема на процесите при VbV и възможните потоци и резултати.
  • 13. 3.4 Заявки и резултати при 3D Secure 1. Изпращане на VEReq Message: След натискане на бутона „плати” от електрония магазин, системата PIT изпраща VEReq заявка до сървъра на VISA. Съобщението съдържа PAN от посочената кредитна карта на потребителя както и основни данни за търговеца. <ThreeDSecure> <Message id="001"> <VEReq> <version>1.0.2</version> <pan>0000000000001112</pan> <Merchant> <acqBIN>999999</acqBIN> <merID>123456790</merID> <password>password</password> </Merchant> </VEReq> </Message> </ThreeDSecure> 2. Резултата от VEReq Message – VERes message <ThreeDSecure> <Message id="001"> <VERes> <version>1.0.2</version> <CH> <enrolled>Y</enrolled> <acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID> </CH> <url>https://dropit.3dsecure.net:9443/PIT/ACS</url> <protocol>ThreeDSecure</protocol> </VERes> </Message> </ThreeDSecure> Резултатът от VEReq заявката се нарича – VERes. Той съдържа информация за въпросната кредитна карта. Основния таг в примерния отговор е тагът- “enrolled”. Съдържанието на тага може да бъде – “Y” или “N”: Y – картата е „абонирана” за 3DSecure. N – картата не е „абонирана” за 3DSecure. Стъпките по протокола на 3D Secure завършват до тук и се преминава към плащане без 3D Secure.
  • 14. 3. Изпращане на втора заявка – PAReq <ThreeDSecure> <Message id="11292007120208046"> <PAReq> <version>1.0.2</version> <Merchant> <acqBIN>999999</acqBIN> <merID>123456790</merID> <name>TEST_MERCHANT</name> <country>840</country> <url>http://www.testmerchant.com/</url> </Merchant> <Purchase> <xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid> <date>20110425 11:21:32</date> <amount>$72.56</amount> <purchAmount>7256</purchAmount> <currency>840</currency> <exponent>2</exponent> </Purchase> <CH> <acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID> <expiry>115</expiry> </CH> </PAReq> </Message> </ThreeDSecure> След като се установи че каратата е абонирана за 3DSecure, се изпраща PAReq заявка, съдържаща подробна информация, необходима за извършване на разплащането. Същевременно потребителя се препраща(redirect) към уеб-адрес съдържащ се в VERes отговора. Това е адрес на issuer-a на картата. На този адрес потребителя въвежда парола, с която потвърждава плащането и отново се препраща към електрония магазин на търговеца(фиг 3). След успешното потвърждаване на потребителя, системата препраща отново към сайта на търговеца. Изпраща се и резултат от действието на потребителя във съобщение - PARes 2. Резултата от PAReq Message – PARes message <?xml version="1.0" encoding="UTF-8"?> <ThreeDSecure>
  • 15. <Message id="11292007120208046"> <PARes id="45809976"> <version>1.0.2</version> <Merchant> <acqBIN>999999</acqBIN> <merID>123456790</merID> </Merchant> <Purchase> <xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid> <date>20110425 11:21:32</date> <purchAmount>7256</purchAmount> <currency>840</currency> <exponent>2</exponent> </Purchase> <pan>0000000000001112</pan> <TX> <time>20110425 11:21:08</time> <status>Y</status> <cavv>AAECAwQFBgcICQoLDA0ODxAREhM=</cavv> <eci>05</eci> <cavvAlgorithm>2</cavvAlgorithm> </TX> </PARes> … </Message> </ThreeDSecure> Това е последния отговор от ACS. Резултатът съдържа две ключови стойности – CAAV и ECI, MPI модулът преценява дали е успешно потвърждаването на потребителя или разплащането не може да се извърши. Ако получените резултати са в допустимите стойности, то се извършва финансова транзакция, като се изпращат и въпросните параметри – CAAV и ECI. Модулът на VISA – BASE 1 получава заявката за плащане и сравнява получените параметри с тези, които са генерирани при потвърждаването на потребителя. Ако съвпадат транзакцията се извършва. Така приключва едно разплащане по 3D Secure протокола на Visa.
  • 16. 4.Заключение Verified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакции с безопасно пазаруване в интернет. VbV е изграден върху технологичната платформа наречена Three-Domain (3-D) Secure. Със Verified by Visa се създава високо ниво на доверие на потребителите в онлайн пазаруването. VbV се поддържа от различни интернет устройства за достъп, включително персонални компютри, безжични устройства, като мобилни телефони, персонални цифрови и телевизионни приставки.
  • 17. 5. Източници 1. http://www.visa.com/ 2. http://www.wikipedia.org/ 3. http://www.visaeurope.com/ 4. https://dropit.3dsecure.net/PIT/