Безопасность электронных платежных систем в интернет
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?чно блокируется на сутки , а некоторые банки-эмитенты в таких случаях могут даже дать банкомату команду на захват карты. Если карта VISA, то в этом случае карту обычно пересылают в банк-эмитент, так как банк-эквайер в этом случае получает вознаграждение. Если это MasterCard, то карта никуда не пересылается, так как вознаграждения не предусмотрено, и обычно такие захваченные карты сторонних банков через некоторое время уничтожаются, если не поступит никакой информации из банка-эмитента. Если же хранить код вместе с картой, то злоумышленнику не составит никакого труда получить деньги в любом банкомате.
При оплате в торговых точках код чаще всего вводить не требуется, однако на обратной стороне карты стоит подпись владельца. При покупке выпускается два чека . На одном покупатель расписывается и оставляет продавцу. Подписи на карте и чеке должны совпадать. Для безопасности нельзя позволять продавцу производить действия, в результате которых карта исчезает из поля зрения её владельца.
При обмене карты в связи с истечением срока действия необходимо следить, чтобы сданная карта была разрезана банковским работником как минимум пополам. Новую карту необходимо как можно быстрее активировать, то есть совершить с ней любую операцию, например, запросить в банкомате баланс счёта. При получении конверта с PIN-кодом необходимо проследить, чтобы он был запечатан.
.3 Инфраструктура безопасности электронной коммерции
По определению CNP-транзакция (Cardholder Not Present) представляет собой операцию покупки по пластиковой карте, в момент совершения которой клиент не присутствует лично в торговой точке, а сообщает торговой точке реквизиты своей карты (обычно номер карты и ее срок годности), необходимые для проведения авторизации, заочно (письмом, по телефону, сети передачи данных и т. п.).
Рис. 5. Схема операции покупки по пластиковой карте
Обычно процесс покупки выглядит следующим образом. Клиент с помощью персонального компьютера (или другого устройства), подключенного к сети Интернет, выбирает интересующие его товары в виртуальной витрине товаров сайта торговой точки. Подтвердив выбор товаров и согласие с их стоимостью, клиент сообщает торговой точке о желании заплатить за покупку с помощью пластиковой карты.
Далее происходит диалог между торговой точкой и владельцем карты, целью которого является получение реквизитов карты покупателя для их представления в сеть в виде стандартного авторизационного запроса. В течение этого диалога торговая точка и покупатель иногда имеют возможность аутентифицировать друг друга, что обеспечивает безопасность транзакции.
Полученные от клиента данные о реквизитах карты (кстати, торговая точка может и не видеть эти данные) торговая точка передает своему обслуживающему банку, который на основе этих данных формирует и представляет в сеть авторизационный запрос. Начиная с этого момента, транзакция обрабатывается по тем же правилам, что и обычная операция покупке по пластиковой карте. Авторизационный запрос обслуживающего банка в виде сообщения в формате, принятом в соответствующей платежной системе, передается банку-эмитенту клиента, который авторизует транзакцию и о результате авторизации сообщает обслуживающему банку. Обслуживающий банк передает торговой точке решение эмитента, которое сообщается владельцу карты. В случае успешного завершения транзакции клиент получает электронный чек, содержащий адрес торговой точки в Интернете, ее название, сумму покупки и т. п.
Способы решения проблемы безопасности транзакций в электронной коммерции
С самого начала внедрения электронной коммерции стало очевидно, что методы идентификации владельца карты, применяемых в обычных транзакциях, являются неудовлетворительными для транзакций электронной коммерции.
Действительно, при совершении операции покупки в физическом магазине продавец имеет право рассмотреть предъявляемую для расчета пластиковую карту на предмет ее соответствия требованиям платежным системам (в частности проверить наличие голограммы, специальных секретных символов, сверить подписи на панели и торговом чеке и т. п.). Кроме того, продавец может потребовать от покупателя документ, удостоверяющий его личность. Все это делает мошенничество по поддельной карте достаточно дорогим предприятием.
В случае транзакции в электронной коммерции все, что требуется от мошенника - знание реквизитов карты. Затраты, связанные с изготовлением поддельной физической карты, в этом случае не требуется.
Рис. 6. Схема способа выполнения транзакций через Интернет.
В мире пластиковых карт с магнитной полосой самым надежным способом защиты транзакции от мошенничества является использование PIN-кода для идентификации владельца карты его банком-эмитентом. Секретной информацией, которой обладает владелец карты, является PIN-код. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. PIN-код применяется всегда п