visa security 8972
DESCRIPTION
Three-Domain (3-D) SecureTRANSCRIPT
Икономически университет – Варна
Център „Магистърско обучение”
Тема:
Сигурност при онлайн разплащания с 3D Secure на Visa
Изготвил:
Владимир Валентинов Венков,
спец. „Информатика”, V курс,
ф. № 8972
Проверил:
Доц. д-р Стефан. Дражев
Съдържание
1. Увод
1.1 История на онлайн разплащанията
1.2 Опасност при електронните разплащания в Интернет
2. Verified by Visa
2.1 Ползи от Verified by Visa
2.2 Предимства за търговците
2.3 Предимства за Търговците от маркетингова гледна точка
3. 3D Secure
3.1 Участници и ролята им в VbV
3.2 Софтуерни компоненти
3.3 Поток на транзакциите
4. Заключение
5. Използвана литература
1. Увод През 21 век все по-широка става употребата на Интернет и електронните приложения и услуги, като основни средства за осъществяване на бизнес дейности и контакти, във всички сектори на обществения живот. Все повече се засилва преходът от индустриална към глобална цифрова икономика. Компаниите все по-широко използват Интернет като основно средство за делови комуникации и за осъществяване на своя бизнес. Днес глобалната мрежа е най-предпочитаният способ за взаимодействие на различни организации и фирми чрез средства и технологии, които са в максимална степен съобразени с изискванията на отделните бизнес процеси. Развитието на информационните технологии дава своето отражение и върху сферата на банковите услуги. От една страна информационните технологии спомага за намаляването на разходите за управление на информацията (събиране, съхранение, обработване и предаване) при банковите операции. Това се постига чрез заместването на традиционните методи с автоматизирани. От друга страна се променят начините за достъп на клиентите до банковите услуги и продукти - достъпът се осъществява чрез автоматизирани канали - т. нар. отдалечено банкиране или електронно/онлайн банкиране. Именно това налага и все по-силното преминаване на банките от нормален тип банкиране към електронно банкиране, с цел да задоволят нарастващите нужди на потребителите от мобилност и бързина на обслужване. 1.1 История на онлайн разплащанията Различните видове комуникации започват да се използват от банките още през 80-те години на миналия век. През 1983 г. за първи път е приложена системата на отдалечено банкиране Homelink чрез съвместното участие на Банката на Шотландия и телефонната компания British Telecom и изпробвана от строителното дружество Nottingham Building Society. През онези години оптимистичните прогнози за прилагането на Интернет и на специалните електронни мрежи в банковото дело изглеждат нереални. Системата, която са използват била базирана на съществуващата вече Pestle system, която позволявала онлайн да бъдат давани сведения за финансови отчети, банкови трансфери и транзакции по сметки. За осъществяването на банковите трансфери и транзакции по сметки, предварително трябвало да бъдат пратени писмени инструкции, даващи подробна информация за получателя. Те по-късно са били качвани от NBS в новата Homelink система. Обикновено получателите били телефонни, електрически и газ компании.
1.2 Опасност при електронните разплащания в Интернет Един от основните въпроси в електронната търговия е този за сигурността на разплащанията. Трансферът на информация за кредитни карти, за пароли за достъп до банкови сметки и за дебитни карти е лесно да бъде засечен от недоброжелатели. С развитието на технологиите и софтуерните продуки се развива и увеличава опасността в интернет пространството. Пред потребителите в интернет се появява нова
заплаха – кибер престъпността. Това са действия на специалисти в IT сектора, които използват знанията и уменията си, както и развитите софтуерни продуки с цел да навредят на потребителите. Основната цел на кибер атаките е информацията. Разбира се това е информация за потребителите, която е строго лична и която е пряко или не-пряко свързана със парични средства – кредитни карти, електронно банкиране. Всеки един притежател на кредитна карта може да пазарува в интернет. Заплащането става с въвеждане на основните данни на кредитната карта в процеса на пазаруване. По електронен път се „заплаща” за избраните стоки от електронния магазин и процеса на онлайн пазаруване е завършен. Съществуват много на брой техники и практики за „кражба” на лични данни в интернет. Кибер разбойниците се увеличават постоянно. Потребителите стават несигурни в мрежата и започват да гледат с недоверие. Страхуват се въвеждат лична и важна информация в интернет. Финансовите институции постоянно се борят с кибер атаките и се стремят повишаване сигурността на системите. Едно от последните технологии, разработено заедно от екипи на MasterCard, Visa и JBC е 3D Secure протокола. Платформата се използва при онлайн разплащания извършени в електронни магазини в интернет. За различните компании системата за сигурност се нарича по различен начин, но идейно и функционално имплементира една и съща идея:
MasterCard – SecureCode
Visa – Verified by Visa
2. Verified by Visa
Verified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакции с безопасно пазаруване в интернет чрез идентификация на самоличността на картодържателя в момента на покупката, преди търговецът да подаде заявка за упълномощаване.
VbV е изграден върху технологичната платформа наречена Three-Domain (3-D) Secure. Целта на VbV е да се създаде ниво на доверие на потребителите в онлайн пазаруването, подобна на тази във физическата среда на пазаруване. Той е проектиран да подобри сигурността както на картодържателят, така и към търговеца. Да се повиши доверието в интернет пазаруването и да се намалят измамите, свързани с използването на разплащателни карти Visa.
VbV се поддържа от различни интернет устройства за достъп, включително персонални компютри, безжични устройства, като мобилни телефони, персонални цифрови и телевизионни приставки. VbV може да работи с множество технологии – пароли за достъп, цифрови сертификати, както и чип карти. VbV се прилага в световен мащаб чрез Visa потребители и търговци.
2.1 Ползи от Verified by Visa Verified by Visa е разработен в полза на всички участници в онлайн платежните транзакция. Предимства за търговци • Повишаване на доверието на потребителите в онлайн покупки, които могат да доведат до увеличаване на обема на продажбите • Намаляване на риска от измамни сделки • Гарантирано заплащане за заверени сделки • Намаляване на оперативните разходи, поради по-малкия брой успорвани сделки Ползи за емитенти(Issuers) • Увеличаване на продажбите на дребно • Значително добавена стойност на съществуващите продуктови оферти, като дава възможност на истинността на Интернет транзакции. По този начин се намалява на броя на измамните сделки • Подобрена качеството на данните със заверен сделки Ползи за картодържатели • Повишаване на доверието на потребителите при покупки по интернет • Не са необходими специални софтуерни приложения • Лесна употреба • Контрол върху картата използваna за онлайн покупки
2.2 Предимства за търговците Приемането на онлайн разплащания с карти предоставя много голяма полза за търговците, но същевременно може също да доведе до някои предизвикателства и проблеми, с които всеки търговец трябва да се справи.
нежелание от страна на картодържателя за закупуване на стоки и услуги онлайн, защото все още е общоприето схващането, че покупки онлайн не са сигурни.
Разходите, свързани с измами с неотиризирани картодържатели.
Оперативни разходи, свързани с обработка за спорове на на транакции от картодържателя.
VbV успешно решева тези проблеми и осигурява сигурността на картодаржателите:
Повишаване на доверието на потребителите Проучване показва че основния проблем при онлайн пазаруването е сигурността на картодаржателя и поверителността на информацията. VbV дава възможност на издателя да удостовери автентичността един картодържател по
време на онлайн покупката. С подобряването на сигурността, картодържатели ще станат по-уверени в онлайн покупките, като по този начин потенциално ще се увеличи обема на продажбите в интернет.
Намаляване измамите и Гарантирано плащане VbV дава възможност на издателите да удостоверява самоличността на картодържателя по време на всяка транзакция, като предоставя високо ниво на сигурност.
Намаляване на Оперативните разход Разходите за обслужване на клиенти, свързани с обработка на спора могат да бъдат значителни за сметка търговците. Намаляването на измамите и оперативните разходи дава на търговците преки икономии на финансови средства.
2.3 Предимства за Търговците от маркетингова гледна точка Програмата VbV изпраща силно послание към потребителите, информирайки ги че търговците, които участват в програмата са ангажирани с провеждането на Интернет търговия по сигурен начин. Това създава следните възможности за търговците:
Visa разработи “Verified by Visa” марка предназначена за сайтовете на търговците, като по този начин се покаже нивото на сигурност пред потребителите
Търговците могат да използват извадка от VbV с маркетингови послания.
Търговците могат да бъдат представени на регионалните сайтове на Visa.
Verified by Visa - лого
Verified by Visa (VbV) е името на програмата, която потребителите свързват с възможността за Интернет автентификация, предлагана от техния издател. Участващите търговци могат да използват марката VbV на своите интернет страници за подкрепа на програмата.
3. 3D Secure 3-D Secure е спецификация, разработена от VISA, за да подобри онлайн сигурността на при пазаруване и да се ускори развитието на електронната търговия. Verified by Visa (VbV) е удостоверяване на програма, основана на 3-D Secure спецификацията. 3-D Secure протокол е техническа платформа, която включва технически спецификации и изисквания към издателя, аcquirers(финансова инситутиция която извършва
транзакциите) , и търговци. В допълнение се използва интернет технология Secure Sockets Layer (SSL) криптиране за защита на информацията в процеса на разплащане с карти по интернет. 3-D Secure се „допитва” до картодържателя да провери и потвърди автентичността на покупката.
3.1 Участници и ролята им в VbV Издател(Issuer) - Финансова институция, която издава Visa карти на
Картодържателите. Управлява участието на на картодържателите в програмата VbV; утвърждава Картодържателя по време на всяка поръчка през Интернет; предвижда цифрово подписан отговор на търговец за всяки заверена сделка.
Картодържател - Титуляр на сметката за разплащане с Visa карта Използва карта за заплащане на покупки по интернет. Предоставя лична парола в момента на покупката.
Acquirer - финансова институция сключваща договор с търговците за приемане на разплащания с карти Visa Регистрираните търговци с VbV гарантира, че произхода на интернет транзакциите са действащи в рамките на търговското споразумение с придобило в съответствие с бизнес правилата и техническите изисквания за програмата VbV.
Търговец - Приема плащания за покупка на стоки от интернет сайт от Картодържатели на Visa, който прави покупки по интернет. Използва специален софтуер реализиране на VbV програмата – Merchant Server Plug-in (MPI).
VisaNet - Системи и услуги, включващи интегрирана система за плащане и Base II
3.2Софтуерни компоненти 3-D Secure протокол се състои от три части – домейна в съответствие с включените участници:
Issuer Domain Issuers and Cardholders
Acquirer Domain Acquirers and Merchants
Interoperability Domain Visa-operated systems that connect the Issuer and Acquirer Domains
Фигура 1. Схема на 3-D Secure
Issuer Domain – Сървър с регистрирани Картодържатели със отворени сметки и
информация за тях. Осигурява достъп до информация и потвърждение на
информация за картодаржателите.
Acquirer Domain – това е частта на търговеца със неговия електронен магазин и
специалният софтуер – MPI който осъществява и изпълнява връзката със
електрония магазин и Issuer Domain.
Interoperability Domain – осъществява връзката между търговецът с данните за
картодаржателите съхранени във Виза.
3.3 Поток на транзакциите
Verified by Visa (VbV) програма включва двa етапа:
Регистриране на картодържатлите за програмата VbV;
Потвърждаване и верифициране на картодържателите по време на
онлайн пазаруване.
Всеки картодържател на Visa има възможност да се регистрира за програмата VbV. При
регистрицията се изисква парола, която потребителя ще използва за неговата
идентификация.
След включването на картодържателя към VbV той е готов и може да използва
системата при онлайн пазаруване.
Фиг. 2. Схема на потоците от данни при онлайн пазаруване.
Стъпка 1. Картодържателят завършва покупка.
След избиране на продуктите за закопуване от сайта на търговеца, потребителя е готов
да плати за избраните от него стоки. Картодържателят въвежда необходимата
информация за заплащане – PAN, CVC и дата на валидност за картата.
Стъпка 2. Merchant Server Plug-In
Започва работата на MPI системата. MPI проверява, ако е наличен кеш от рангове на
панове, за автентичност на текущата VISA карта. Ако картата е в диапазона,
процедурата с VbV продължава. Ако не, то тогава MPI сигнализира че неможе да се
изпълни VbV и се продължава към стъпка 12.
Стъпка 3. Visa Directory Server processes request.
Установява се връзка и се проверява автентичността на търговеца както и дали е
възможно да се продължи по VbV за въпросния PAN от кредитната карта на
картодържателя. Ако не е възможно се продължава със стъпка 5 и на сайта на
търговеца чрез MPI се връща специално дефинирано съобщение с информацията.
Стъпка 4. ACS отговаря на Visa Server Directory.
ACS определя е на разположение удостоверяване за PAN, подготвя се отговор и се
изпраща на Visa Directory Server
Стъпка 5. Visa Directory Server връща отговор.
Visa Directory Server препраща отговор от ACS (или самостоятелно генериран) на MPI.
Ако удостоверяването е на разположение, отговорът включва URL на ACS, за които
Merchant ще изпрати Payer Authentication Request.
Стъпка 6. MPI изпраща Payer Authentication Request.
Ако удостоверяването не е възможно, MPI „съветва” търговеца да продължи със стъпка
12. Ако е възможно MPI изпраща Payer Authentication Request до ACS.
Стъпка 7. ACS получава Payer Authentication Request.
Стъпка 8. ACS удостоверява Картодържателя.
Потребителя въвежда детайли за покупката. Вевежда своите данни във формата за
потвърждение и се извършва удостверяването на потребителя.
Фиг3. Потребителски интерфейс за въвежда на парола и завършване на плащането.
Стъпка 9. ACS изпраща резултатите.
Стъпка 10. MPI получава идентификация за Payer Authentication Response.
Стъпка 11. MPI валидира данните за платеца и изпраща очакван резултат към сайта
на търговеца.
Стъпка 12. Финализиране на плащането.
От получената информация от верифицирането на потребителя, търговския електронен магазин решава как да завърши пазаруването. MPI предава няколко важни параметара, като най-важните от които са:
Electronic Commerce Indicator (ECI)
CAVV - Cardholder Authentication Verification Value
Според стойностите които съдържат въпросните параметри, електрония магазин на търговеца решава как да процедира с покупката. Възможно е да се плати с VbV
платфорамта, или да се плати без 3D secure. Както е възможно и търговеца да откаже плащането.
Фиг. 4. Схема на процесите при VbV и възможните потоци и резултати.
3.4 Заявки и резултати при 3D Secure
1. Изпращане на VEReq Message:
След натискане на бутона „плати” от електрония магазин, системата PIT изпраща VEReq
заявка до сървъра на VISA. Съобщението съдържа PAN от посочената кредитна карта на
потребителя както и основни данни за търговеца.
<ThreeDSecure>
<Message id="001">
<VEReq>
<version>1.0.2</version>
<pan>0000000000001112</pan>
<Merchant>
<acqBIN>999999</acqBIN>
<merID>123456790</merID>
<password>password</password>
</Merchant>
</VEReq>
</Message>
</ThreeDSecure>
2. Резултата от VEReq Message – VERes message
<ThreeDSecure>
<Message id="001">
<VERes>
<version>1.0.2</version>
<CH>
<enrolled>Y</enrolled>
<acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID>
</CH>
<url>https://dropit.3dsecure.net:9443/PIT/ACS</url>
<protocol>ThreeDSecure</protocol>
</VERes>
</Message>
</ThreeDSecure>
Резултатът от VEReq заявката се нарича – VERes. Той съдържа информация за
въпросната кредитна карта. Основния таг в примерния отговор е тагът- “enrolled”.
Съдържанието на тага може да бъде – “Y” или “N”:
Y – картата е „абонирана” за 3DSecure.
N – картата не е „абонирана” за 3DSecure. Стъпките по протокола на 3D Secure
завършват до тук и се преминава към плащане без 3D Secure.
3. Изпращане на втора заявка – PAReq
<ThreeDSecure>
<Message id="11292007120208046">
<PAReq>
<version>1.0.2</version>
<Merchant>
<acqBIN>999999</acqBIN>
<merID>123456790</merID>
<name>TEST_MERCHANT</name>
<country>840</country>
<url>http://www.testmerchant.com/</url>
</Merchant>
<Purchase>
<xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid>
<date>20110425 11:21:32</date>
<amount>$72.56</amount>
<purchAmount>7256</purchAmount>
<currency>840</currency>
<exponent>2</exponent>
</Purchase>
<CH>
<acctID>HiFTEuEkGjUud32dwyCL8Q==</acctID>
<expiry>115</expiry>
</CH>
</PAReq>
</Message>
</ThreeDSecure>
След като се установи че каратата е абонирана за 3DSecure, се изпраща PAReq заявка,
съдържаща подробна информация, необходима за извършване на разплащането.
Същевременно потребителя се препраща(redirect) към уеб-адрес съдържащ се в VERes
отговора. Това е адрес на issuer-a на картата. На този адрес потребителя въвежда
парола, с която потвърждава плащането и отново се препраща към електрония магазин
на търговеца(фиг 3). След успешното потвърждаване на потребителя, системата
препраща отново към сайта на търговеца. Изпраща се и резултат от действието на
потребителя във съобщение - PARes
2. Резултата от PAReq Message – PARes message
<?xml version="1.0" encoding="UTF-8"?>
<ThreeDSecure>
<Message id="11292007120208046">
<PARes id="45809976">
<version>1.0.2</version>
<Merchant>
<acqBIN>999999</acqBIN>
<merID>123456790</merID>
</Merchant>
<Purchase>
<xid>ICAgMTEyOTIwMDcxMjAyMDgwNDY=</xid>
<date>20110425 11:21:32</date>
<purchAmount>7256</purchAmount>
<currency>840</currency>
<exponent>2</exponent>
</Purchase>
<pan>0000000000001112</pan>
<TX>
<time>20110425 11:21:08</time>
<status>Y</status>
<cavv>AAECAwQFBgcICQoLDA0ODxAREhM=</cavv>
<eci>05</eci>
<cavvAlgorithm>2</cavvAlgorithm>
</TX>
</PARes>
…
</Message>
</ThreeDSecure>
Това е последния отговор от ACS. Резултатът съдържа две ключови стойности – CAAV и
ECI, MPI модулът преценява дали е успешно потвърждаването на потребителя или
разплащането не може да се извърши.
Ако получените резултати са в допустимите стойности, то се извършва финансова
транзакция, като се изпращат и въпросните параметри – CAAV и ECI.
Модулът на VISA – BASE 1 получава заявката за плащане и сравнява получените
параметри с тези, които са генерирани при потвърждаването на потребителя. Ако
съвпадат транзакцията се извършва.
Така приключва едно разплащане по 3D Secure протокола на Visa.
4.Заключение
Verified by Visa (VbV) е онлайн програма, предназначена за извършване на транзакции
с безопасно пазаруване в интернет. VbV е изграден върху технологичната платформа
наречена Three-Domain (3-D) Secure. Със Verified by Visa се създава високо ниво на
доверие на потребителите в онлайн пазаруването. VbV се поддържа от различни
интернет устройства за достъп, включително персонални компютри, безжични
устройства, като мобилни телефони, персонални цифрови и телевизионни приставки.
5. Източници
1. http://www.visa.com/
2. http://www.wikipedia.org/
3. http://www.visaeurope.com/
4. https://dropit.3dsecure.net/PIT/