Upload
mulan
View
78
Download
1
Embed Size (px)
DESCRIPTION
PAYPAL, LA SICUREZZA NEL PAGAMENTO. Di Paolo Piersanti e Francesco Leccese. Prof. Stefano Bistarelli. CHE COSA E’ PAYPAL. Paypal è un servizio di trasferimento di denaro nato proprio per rendere più sicure le transazioni online sia per i compratori, sia per i venditori. - PowerPoint PPT Presentation
Citation preview
1
PAYPAL, LA SICUREZZA NEL
PAGAMENTO
Di Paolo Piersanti e Francesco Leccese
Prof. Stefano Bistarelli
2
CHE COSA E’ PAYPAL Paypal è un servizio di trasferimento di denaro
nato proprio per rendere più sicure le transazioni online sia per i compratori, sia per i venditori.
E’ possibile spedire e ricevere denaro in tutta sicurezza non fornendo i numeri della carta di credito ma solamente l’indirizzo e mail.
3
LE POLICY DI PAYPAL
PRIVACY POLICY
ACCETTABLE USE POLICY
DELIVERY POLICY
4
PRIVACY POLICYPer usufruire del servizio, Paypal ci obbliga a
fornire i nostri dati personali quali:1. Informazioni di contatto – nome, indirizzo,
telefono, email, Skype ID e simili
2. Informazioni finanziarie – conto corrente e/o i numeri delle carte di credito che fanno riferimento all’accout paypal
5
UTILIZZO DEI COOKIESPaypal fa uso dei cookies al fine di:
a) Riconoscere l’utente come un paypal customer
b) Collezionare informazioni sulla macchina dell’utente per mitigare il rischio, prevenire le frodi e promuovere fiducia e sicurezza
6
ACCETTABLE USE POLICYL’utilizzo di Paypal è vietato per le attività che:o infrangono qualsiasi legge o mettono a
rischio la sicurezza del consumatoreo Implicano transazioni illegali (trasferimenti
offshore, marketing piramidale, ecc.)o Implicano la vendita di prodotti considerati
fraudolenti dalle agenzie governativeo Violano le leggi vigenti sulla vendita di
farmaci e tabaccoo Coinvolgono il gioco d’azzardo
7
UTILIZZO DELLE INFORMAZIONI PERSONALI Fornire i servizi efficientemente
Elaborare le transazioni e le notifiche relative
Risolvere controversie
Prevenzione da azioni che sono vietate dalla Accettable Use Policy
Comparazione con terze parti per verifica dell’autenticità
8
DELIVERY POLICY Il sistema comunica attraverso il sito o
attraverso l’e-mail dell’utente Vengono comunicatici tutti i movimenti
(pagamenti effettuati, ricevuti, bilancio annuo)
Per usufruire del servizio di consegna è necessaria una connessione internet e una crittografia a 128 bit
L’utente ha la responsabilità di aggiornare i propri recapiti per mantenere attiva la comunicazione col servizio
9
SISTEMA MESSAGGISTICO IPN (INSTANT PAYMENT NOTIFICATION)
Cos’èIPN è un message system che in Paypal è
utilizzato per notificare ogni tipo di evento che interviene in una transazione
1) Pagamento Istantaneo2) Notifiche di spedizione3) Controversie
10
A COSA SERVE
IPN ha il compito di accelerare ed ottimizzare l’invio di messaggi tra utenti e il server PayPal
Usa un listener (detto anche handler), cioè uno script modificabile dall’utente che auto-gestisce le notifiche, le liste dei clienti, ecc.
11
COME FUNZIONA
12
PROTOCOLLO IPN
13
FRAUD MANAGEMENT FILTERS
I Filitri mitigano i tentativi antifrode Free Filters Advanced Filters
L’attività si articola in tre step:
1. Configurazione Manuale2. Revisione3. Trasferimento (o Negazione)
14
STEP DI FUNZIONAMENTO DEI FMF
ConfigurazioneManuale Revisione Trasferimento
/Negazione
15
TIPI DI FILTRI Maximum transaction amount filter
Country monitor filter
Card security code mismatch filter
Minimum transaction amount filter
16
MAXIMUM TRANSACTION AMOUNT FILTER
Entra in azione se l’importo è molto maggiore delle cifre che riguardano le transazioni di un dato venditore
Esempio: Se il volume medio delle mie transazioni è di
100 $ e mi viene proposta una transazione da 1000 $ allora il filtro entra in funzione
Usato da solo non è molto affidabile perché, se il venditore considera affidabile la fonte, può accettare la transazione
17
COUNTRY MONITOR FILTER Consente la creazione di una Black list di
Paesi ritenuti poco affidabili
Se il Paese che origina il pagamento fa parte di questa lista allora il pagamento viene automaticamente annullato senza dover chiedere il consenso all’utente
18
MINIMUM AMOUNT TRANSACTION FILTER
Serve ad ottimizzare l’azione del sistema FMF. Deve essere impostata una soglia minima.
Se il pagamento è minore o uguale del valore soglia allora vi è l’immediata accettazione senza dover passare per i restanti tre filtri.
Esempio:Se la soglia minima è di 10 $ e devo ricevere un
pagamento di 10 $, il filtro convalida la transazione senza passare per gli altri tre. Se invece dovrei ricevere un pagamento di 20 $ allora entrano in azione anche gli altri filtri.
19
CARD SECURITY CODE MISMATCH FILTER
Entra in azione quando l’emettitore del pagamento fornisce un codice di sicurezza della carta di credito differente.
Se vi è incongruenza, questa viene segnalata e spetterà all’utente la decisione se accettare o meno il pagamento.
20
21
SICUREZZA DEI DATI E CRITTOGRAFIA
Paypal codifica automaticamente i dati trasferiti dal computer dell’utente attraverso il protocollo SSL (Secure Socket Layer) con una crittografia a 128 bit, la migliore in commercio.
Vengono usati AVS e CVV2 per controllare gli indirizzi di accredito
22
PROTOCOLLO SSL (SECURE SOCKETS
LAYER)
23
STRUTTURA DEL SSLSSL Handshake, permette al server e all’utente di autenticarsi a vicenda. Consente inoltre di stabilire un algoritmo di crittografia e le relative chiavi prima che il livello di applicazione trasmetta o riceva il suo primo byte.
SSL Record, è basato su di un protocollo di trasporto affidabile come il TCP. È usato per l'incapsulamento dei dati provenienti dai protocolli superiori.
24
Transmission Control Protocol: E' un protocollo di trasporto di tipo connection-oriented per la trasmissione dati tra due host, cioè offre un servizio orientato alla connessione garantendo la consegna e l'ordinamento corretto dei dati grazie all'utilizzo di sequence number e conferme di consegna. Gli host impegnati comunicano attraverso un canale che consente lo scambio interattivo delle informazioni (full-duplex). TCP segmenta e invia i dati ai protocolli superiori come un'unica sequenza (byte-stream).
STRUTTURA DEL SSL
25
Internet Protocol: fornisce un metodo di indirizzamento logico e di gestione frammentazione/riassemblaggio per la trasmissione dati tra gli host di una rete.L'IP protocol definisce una tecnica di trasmissione dati non orientata alla connessione (connectionless) e senza riscontro (non c'è garanzia che i pacchetti giungano a destinazione e nella sequenza corretta). Esso prevede che le informazioni vengano strutturate in unità chiamate datagrammi IP (IP datagram), di lunghezza massima 65535 byte, suddivise in due aree: il campo dati (data) che contiene il messaggio da inviare e l'intestazione (header) che contiene le informazioni necessarie per instradare il pacchetto.
STRUTTURA DEL SSL
26
OBIETTIVI DEL SSL Confidenzialità: I dati coinvolti in una
comunicazione vengono protetti utilizzando algoritmi di crittografia a chiave simmetrica
Autenticazione: L'autenticazione dell'identità (sia degli utenti che del server) nelle connessioni è eseguita usando la crittografia a chiave pubblica (RSA).
Integrità: Con un apposito MAC (Message Authentication Code), che utilizza funzioni hash, i dati vengono controllati e protetti da eventuali modifiche esterne.
27
VANTAGGI DELL’SSL SSL è indipendente dal protocollo di
applicazione, in tal modo un protocollo di livello più alto può interfacciarsi sul protocollo SSL in modo trasparente;
Cifratura a 128 bit nella trasmissione dati tra il Browser ed il Server;
È un protocollo con bassissimi costi di manutenzione (cosa non da poco)
28
TESTIMONIANZA DI UNA TRUFFA SUBITA CON PAYPAL
Un ragazzo vuole vendere il suo perosnaggio di World of Warcraft per 280 $ ad un certo utente chiamato BROWN.
BROWN paga con Paypal e ottiene tramite MSN user e password dell’account.
Dopo 15 minuti BROWN apre una constestazione e chiede un rimborso dell’intera cifra.
Il venditore cerca di far valere le sue ragioni dimostrando di aver spedito i dati anche tramite raccomandata.
Paypal rimborsa BROWN
29
Grazie per l’attenzione