View
130
Download
22
Category
Preview:
Citation preview
Segurança em Sistemas de Pagamentos
Ricardo Nuno Mendão da Silvarnsilva@student.dei.uc.pt
http://student.dei.uc.pt/~rnsilva
SSC 0607 © DEI/FCTUC 2
Índice Definição de Sistemas de Pagamento.
Modelo de elementos base. Modelo de funcionamento base.
Segurança em Sistemas de Pagamentos. Segurança em pagamentos com cartão presente.
Segurança com Banda Magnética. Segurança com SMART Card. Segurança no terminal. Segurança no servidor.
Segurança em pagamentos com cartão não presente. SET (Secure Electronic Transactions). 3D-Secure (Three Dimension Secure). Caso Português MBNet.
Conclusão. Bibliografia.
SSC 0607 © DEI/FCTUC 3
Sistemas de Pagamento Sistemas que permitem efectuar transacções
financeiras de forma segura e eficaz, entre duas entidades, independentemente da sua localização e instituição bancária, utilizando a rede pública como meio de comunicação e o cartão de crédito ou débito como ferramenta principal.
Existem basicamente dois tipos de sistemas de pagamentos: cartão presente (ex.: POS, ATM). cartão não presente (ex.: MOTO, Internet, m-Payment).
SSC 0607 © DEI/FCTUC 4
Sistema de Pagamentos Modelo base
SSC 0607 © DEI/FCTUC 5
Sistema de Pagamentos
Modelo de Funcionamento.
1. Utilizador apresenta o cartão.
2. Comerciante pede autorização ao acquirer.
3. Acquirer consulta o emissor.
4. Emissor dá resposta ao acquirer.
5. O acquirer dá a resposta ao Comerciante.
6. Comerciante entrega os bens/serviços.
7. Acquirer paga ao comerciante.
8. Compensação entre emissor e acquirer.
9. Emissor debita ao utilizador.
10. Utilizador paga ao emissor.
SSC 0607 © DEI/FCTUC 6
Segurança em Sistemas de Pagamentos Visa garantir:
Privacidade. Autenticação. Integridade. Não-repúdio.
Inimigo Número Um: Fraude:
Fraude por parte do comerciante. Fraude por parte do cliente. Fraude de uma terceira entidade.
SSC 0607 © DEI/FCTUC 7
Segurança em pagamentos com cartão presente Características de um cartão.
Dois tipos principais: Banda Magnética. Smart Card contact.
Hologramas. Foto ID. Caracteres especiais. Data de expiração. Painel de assinatura. Impressão ultra-violeta. Dois Card Verification Numbers (CVN). Card Verification Value CVV.
SSC 0607 © DEI/FCTUC 8
Segurança em pagamentos com cartão presente Segurança em Banda Magnética.
Banda magnética possuí três faixas: Codificadas. Esquematizadas segundo normas:
Faixa 1 e 2 – ISO 7813. Faixa 3 – ISO 4909.
Faixa 1 contém informação do titular. Faixa 2 contém informação do banco, detalhes do
cartão e da conta. Faixa 3 permite guardar informações adicionais de
segurança e ainda o saldo do cartão. Objecto passivo (On-line PIN – Pinblock).
SSC 0607 © DEI/FCTUC 9
Segurança em pagamentos com cartão presente SMART Card.
Contact SMART Card. Possui um circuito integrado com:
ROM (< 32KB). EEPROM ([2KB,32KB]). RAM (256bytes). CPU (5MHZ).
Possibilidade de conter várias aplicações. Bastante mais seguro. Gerido pela norma EMV (Europay,
MasterCard e VISA). Elemento activo.
SSC 0607 © DEI/FCTUC 10
Segurança em pagamentos com cartão presente Segurança no Terminal.
Módulo de Segurança: Processador + memória + bateria. Protegido por grelhas de metal banhadas a resina
epóxica. Sensores de intrusão. Mecanismos de autodestruição da informação. Contém as chaves que assinam as mensagens que
circulam entre o POS e o Servidor de pagamentos. Contém as chaves que cifram o PIN. (Pinblock)
SSC 0607 © DEI/FCTUC 11
Segurança em pagamentos com cartão presente Servidor de Sistemas de Pagamento.
Criptografia simétrica. Gera as chaves para transporte e Pinblock. Distribuição, armazenamento e revogação de
chaves. Iniciação e abate dos módulos de segurança. Acesso limitado.
SSC 0607 © DEI/FCTUC 12
Segurança em pagamentos com cartão presente Normas de Fabrico.
Normas definidas para hardware: VISA PED (VISA PIN Entry Device) SIBS MB-PED. SIBS MB-POS. EMV (SMART Cards).
Normas de funcionamento: Gestão do PIN – ISO 9564. Autenticação – ISO 8731. Gestão das chaves ISO11568.
SSC 0607 © DEI/FCTUC 13
Segurança em pagamentos com cartão não presente Teoricamente apresentam mais pontos fracos,
sendo necessário uma terceira entidade que regule, controle e tome responsabilidade pelo sistema de pagamentos.
SSC 0607 © DEI/FCTUC 14
Segurança em pagamentos com cartão não presente Segurança na comunicação
SET – Secure Electronic Transactions. Protocolo elaborado pela VISA, Mastercard, IBM, GTE,
Microsoft, Netscape entre outros em Fevereiro de 1996. Baseado em certificados digitais x.509 com chaves
RSA. Requer que o cliente instale uma aplicação específica e
possua um certificado digital. Desenhado de forma a garantir eficazmente o PAIN
(Privacidade, Autenticação, Integridade e Não-repúdio).
SSC 0607 © DEI/FCTUC 15
Segurança em pagamentos com cartão não presente Segurança na Comunicação
SET – Funcionamento.
SSC 0607 © DEI/FCTUC 16
Segurança em pagamentos com cartão não presente Segurança na Comunicação
SET – Funcionamento.
SSC 0607 © DEI/FCTUC 17
Segurança em pagamentos com cartão não presente Segurança na comunicação
3-D Secure (Three Domain Secure) Baseado na autenticação do cliente. Utiliza TLSv1. Formato XML. Abrange três domínios:
Issuer Domain. Aquirer Domain. Interoperability Domain.
Uma arma contra a fraude.
SSC 0607 © DEI/FCTUC 18
Segurança em pagamentos com cartão não presente 3D – Secure
1. O Cliente escolhe os produtos/serviços e decide comprar.
2. Verifica o nº do cartão e se aderiu ao 3D-Secure.
3. O MPI envia um Payer Authentication Request (PAReq) ao ACS.
4. O ACS autentica o cliente pedindo uma credencial.
5. O ACS envia a PARes ao MPI e regista a acção no histórico (AHS).
6. O MPI valida a resposta.7. Procede ao pagamento
de forma normal.
SSC 0607 © DEI/FCTUC 19
Segurança em pagamentos com cartão não presente MBNET
Permite efectuar pagamentos on-line. Conta associada a cartão. Credenciais de autenticação. Permite criar cartões virtuais. Plafon limitado. Maior segurança.
SSC 0607 © DEI/FCTUC 20
Conclusão
Ambos os tipos de pagamentos electrónicos usam o mesmo sistema base.
Sistemas dotados de um vasto conjunto de normas. Convergência dinâmica para o último “grito” em
sistemas de segurança. Actualmente considera-se segura a parte de
comunicação e gestão de servidores. Maior perigo actual e para o futuro:
Segurança no domínio do cliente.
SSC 0607 © DEI/FCTUC 21
Bibliografia
[PayPal06] https://www.paypal.com[Verisign06] http://www.verisign.com[Visa06] http://www.visa.com[MasterCard06] http://www.mastercard.com/index.html[wiki06] http://en.wikipedia.org/wiki/Magnetic_stripe[wiki06a] http://en.wikipedia.org/wiki/Chip_and_PIN[wiki06b] http://en.wikipedia.org/wiki/Smart_card[Unicre06] http://www.unicre.pt[RedUnicre06] http://www.redunicre.pt[MBNet06] http://www.mbnet.pt[MAS06] http://www.merchant-account-services.org/[Pearson06] http://www.phptr.com/articles/article.asp?p=26857&seqNum=3&rl=1[SIBS06] http://www.sibs.pt[Pararede06] http://www.pararede.com[Guibourg01] http://www.riksbank.se/upload/Dokument_riksbank/Kat_foa/wp_126.pdf[Guerin03] http://www.epaynews.com/downloads/fraud_in_electronic_payments_wp.pdf[Mendonça04] http://www.di.fc.ul.pt/~nuno/PAPERS/CRC2004_POS_Mendonca.pdf
SSC 0607 © DEI/FCTUC 22
Agradecimentos
Recommended