1 Carteiras Eletrônicas Frank Meylan [email protected] LSI Escola Politécnica da USP - EPUSP

1

Carteiras Eletrônicas

Frank Meylan

[email protected]

LSIEscola Politécnica da USP - EPUSP

2

Agenda

Introdução Problemas no Pagamento Carteiras Eletrônicas Participantes e seus Interesses Tipos de Carteiras Considerações sobre Segurança Considerações sobre Privacidade

3

Introdução

A Internet pretende, através do comércio eletrônico, fornecer elevada conveniência e facilidade para que os consumidores possam fazer suas compras.

4

Introdução

Esta intenção não é atingida atualmente pelo fato dos consumidores efetuarem o pagamento através de “procedimentos manuais”. Ou seja, digitando as informações do número do cartão de crédito, validade, endereço de entrega, etc.

A cada nova compra este procedimento é repetido.

InternetInternet

5

Introdução

Esta rotina repetitiva e exaustiva elimina o “impulso da compra” por parte do cliente quando este encontra um produto que o agrada.

O usuário não tem como listar as compras já realizadas nos diferentes estabelecimentos comerciais.

As emissoras de cartão de crédito não tem como se proteger do repúdio das transações

6

Problemas no Pagamento

Atualmente, grande parte dos pagamentos na Internet são feitos, preenchendo-se um formulário (através de uma conexão SSL) onde é informado:

O nome do portador do cartão A validade do cartão O endereço do proprietário do cartão O endereço de entrega da mercadoria O número do cartão de crédito

Para cada nova compra, este procedimento é repetido

7


Dados comuns a todos

os formulários

Conexão SSL

8


Desvantagens desta forma de pagamento:

O comerciante tem de confiar que todas as informações fornecidas são verdadeiras e corretas;

O comprador deve confiar no comerciante ou no prestador de serviço de pagamento ao informar o número de seu cartão de crédito;

Este mecanismo não permite transações com cartão de débito, uma vez que não se pode digitar a senha do cartão em uma conexão SSL. Se isto ocorresse, o comerciante teria acesso a esta informação;

Não é possível a utilização de SmartCards.

9


Utiliza SSL: O SSL provê um canal seguro (criptografado) somente entre dois participantes de uma comunicação, por exemplo entre o comprador e o comerciante. Um compra na Internet pode envolver mais participantes, por exemplo: comprador, comerciante e instituição financeira.

CompradorComprador

ComercianteComerciante

InstituiçãoInstituiçãoFinanceiraFinanceira

InternetInternet

?

10


Como no mundo físico, as carteiras são utilizadas para armazenar: Informações do seu proprietário;

NomeEndereço

Informações sobre os métodos de pagamento que o usuário possui;Cartão Visa, número: 12345678, Val.: 02/02Cartão Mastercard, número: 87654321, Val.: 01/02

Informações sobre as compras realizadas;

11


As carteiras eletrônicas possibilitam transações seguras na Internet. Para isso podem utilizar tanto o SSL - Secure Socket Layer, quanto o SET - Secure Electronic Transaction.

Uma carteira eletrônica pode possuir espaços utilizados para propagandas. Por exemplo: logo do emissor, de lojas conveniadas, etc.

Sempre que o cliente realizar uma compra na Internet, estará com o logo do banco, por exemplo, na sua frente.

12

Tipos de Carteiras Eletrônicas

De acordo com a sua implementação, quatro diferentes tipos de carteiras eletrônicas são identificados:

Site Wallets - Carteira implementada no site da instituição comercial;

Remote Wallets - Carteira implementada em um site próprio, diferente da instituição comercial;

Distributed Wallets - Carteira implementada parte em um site próprio, parte no cliente;

Personal Wallets - Carteira implementada totalmente na estação do cliente.

13

Tipos de Carteiras Eletrônicas

Pergunta tradicional:

Qual é a melhor ?Qual é a melhor ?

Resposta tradicional:

Depende dos interesses envolvidos.Depende dos interesses envolvidos.

14

Participantes e seus Interesses

Os participantes de uma transação de carteira eletrônica depende do tipo de carteira que está sendo utilizado. Genericamente, temos os seguintes participantes:

Instituições Financeiras Emissoras de Cartões de Crédito Instituições Comerciais Clientes ou Consumidores

15


Instituições Financeiras

São motivadas pelo crescimento das transações através da Internet e pelo valor que estas transações representam;

Tem grande interesse de em associar sua marca com compras pela Internet conquistando, desta forma, a confiança de seus clientes tradicionais e atraindo novos;

Impor concorrência aos provedores de acesso e portais que atraem milhões de usuários.

16


Emissoras de Cartão de Crédito

Diminuir o risco de fraude nas transações através da Internet. Estatísticas da Mastercard:1997 - 1998 Aumento de 48% de fraudes envolvendo

MOTO (Mail Order, Telephone Order, que inclui transações pela Internet)

Compras cujos produtos são entregues através da Internet (ex. programas) tem índice de fraude muito alto: 16% dos pedidos contra menos de 1% de “entregas físicas”

17


Instituições Comerciais

Desejam ter o controle total do processo e da aparência do site para destacarem-se dos concorrentes;

Automatizar o processo de pagamento para minimizar a ocorrência de erros de digitação no endereço de entrega, número do cartão de crédito, etc.;

Minimizar o repúdio de compras;

Permitir o comércio globalizado.

18


Clientes ou Consumidores

Conveniência: reutilização das informações comuns: nome, endereço, etc;

Portabilidade: possibilidade de utilizar qualquer browser ou equipamento conectado à Internet (PC’s, palm-tops, celulares);

Flexibilidade: o mesmo mecanismo de compra deve funcionar com qualquer instituição comercial;

Privacidade: suas informações pessoais não devem ser divulgadas sem sua prévia autorização

Segurança: o risco de perda devido a uma fraude deve ser baixo.

19


Como comparar os tipos de carteiras eletrônicas ?

Rsp. Deve-se analisar:

Forma de implementação; Vantagens e desvantagens para o emissor da carteira; Possibilidades de espaço dedicado para publicidade; Considerações de prática de negócios; Considerações sobre o desenvolvimento, manutenção e

distribuição das carteiras eletrônicas.

20

Tipos de Carteiras - Site Wallets

Site Wallets: são carteiras eletrônicas implementadas no próprio site do comerciante.

Utilizam os formulários em uma página Web para obter as informações do cliente e dos métodos de pagamento suportados.

Normalmente as conexões são feitas através do protocolo SSL - Secure Sockets Layer

21


Identificação do

cliente

já cadastrado

Conexão SSL

22


Vantagens:

Armazena as informações de um comprador freqüente para posterior reutilização;

Não instala nenhum software na máquina do usuário, porém pode carregar cookies para sua identificação;

Mantém o aspecto visual do restante do site;

Pode armazenar as compras dos clientes para posterior análise e criação de perfis individualizados.

23


Desvantagens: A necessidade de cadastro pode ser um empecilho para

uma “compra casual”; Não suporta operações “off-line”. Por exemplo: listar as

compras realizadas; Bastante discutível a segurança dos cookies; As informações cadastradas não podem ser reutilizadas

em outros sites; Forçam os usuários a guardarem um código e senha; A privacidade das informações do cliente é de

responsabilidade do comerciante;

24


Desvantagens:

Conforme o site cresce, mais associados terão os seus dados cadastrados, entre eles o número do cartão de crédito. Consequentemente, o site torna-se atrativo para um ataque de hacker.

Internet

25


Publicidade:

As carteiras instaladas diretamente no site do comerciante estão sob o seu controle, de forma que podem ser aproveitadas para anúncios, promoções, etc que estejam diretamente relacionados com o seu negócio;

Podem ainda negociar este espaço com parceiros de negócios.

26


Práticas de Negócios:

As carteiras instaladas no site não permitem a utilização de cartões de débito, nem SmartCards. Este fato pode limitar bastante sua utilidade em um futuro próximo.

27


Desenvolvimento, Operação e Distribuição:

O cliente não precisa instalar nenhum software adicional em sua máquina. Isto facilita a atualização do software no servidor;

Para manter o cadastro dos clientes, comprovantes das compras realizadas, realizar as transações financeiras, manutenção da disponibilidade e redundância dos servidores é exigido elevadas somas de dinheiro para instalar e manter o sistema.

Internet

Web Server

Database ServerCommerce ServerFirewall

DMZ

Firewall

28

Tipos de Carteiras - Remote Wallets

Remote Wallets: São carteiras de pagamento também baseadas em interface WEB, porém não ficam no site do comerciante.

Este tipo de carteira pode ser implementado em provedores de acesso ou portais, fornecendo para seus usuários um mecanismo de pagamento para as lojas conveniadas.

Também podem ser sites próprios na Internet. Mesmo assim, devem manter relacionamento com clientes e lojas conveniadas. Ex. CyberCash, BlueMoney, eWallet

29


CompradorComprador



Internet

Remote Remote WalletWallet

1. Inicia Pagamento

2. Usuário autentica-se e seleciona método de

pagamento

3. Envia informações do pagamento

4. Processa o pagamento

5. Pagamento Completo

6. Armazena informações sobre a compra

30


Vantagens:

Agrega mais usuários do que as carteiras instaladas no site do comerciante;

Pode servir vários comerciantes simultaneamente; É portável. Para o seu funcionamento só é necessário

um browser; O usuário não precisa carregar ou atualizar o software

da carteira; Todo o processamento ocorre remotamente;

31


Desvantagens:

A assinatura de uma carteira remota diminui a possibilidade de Instituições Financeiras a explorarem como veículo de propaganda;

Usuários podem ser limitados a somente utilizar os cartões conveniados com o prestador de serviço;

O risco associado com a utilização de carteiras remotas é difícil de ser avaliado.

Para a utilização de carteiras remotas tanto o cliente quanto o comerciante devem possuir um acordo com o provedor da carteira;

32


Desvantagens:

Para que a a carteira remota seja rentável e interessante de ser utilizada, é necessário que exista um número de clientes e comerciantes suficientes para justificar as taxas cobradas.

Para trabalhar com uma carteira remota, o comerciante deve aceitar os protocolos específicos desta.

A carteira remota só funciona quando o usuário está conectado ao servidor. Desta forma, não é possível realizar tarefas como editar as contas, listar as compras, exportar arquivos para outros programas (Excel, Money)

33


Desvantagens:

Não suportam SmartCards nem cartões de débito. Concentram milhões de números de cartões de crédito,

tornando-se um alvo muito interessante para os hackers. Deve-se investir grandes somas de dinheiro na infra-estrutura de segurança e pessoal altamente qualificado.

Os clientes podem ter dúvidas em relação às garantias fornecidas quanto a privacidade das suas informações pessoais.

34


Publicidade:

O proprietário do servidor de carteira remota é o grande favorecido em relação às oportunidades de negociação dos espaços publicitários.

Porém, a propaganda só é vista quando o usuário esta on-line e no momento de pagamento de uma compra.

35



A forma de atuação, as responsabilidades e obrigações não são definidas neste tipo de carteira eletrônica.

Por exemplo: O operador da carteira remota pode ser: banco;

grande comerciante; Supondo que fosse um emissor de cartão de crédito, é

possível que ele não permitisse compras com o cartão concorrente

Também não é fácil calcular o risco envolvido em transações deste tipo

emissor de cartão de crédito;provedor de acesso à Internet;

36


Desenvolvimento, operação e distribuição:

Devido à necessidade de:suportar milhares de clientes simultaneamente;atender diversos comerciantescomunicar-se com várias entidades financeiras funcionamento 24x7x365 (redundância total -

máquinas, linhas de acesso, softwares, energia) O custo de instalação e manutenção de um provedor de

carteira remota é bastante alto No entanto, não existe o problema da distribuição de

software para ser instalado no cliente

37

Tipos de Carteiras - Distributed Wallets

Distributed Wallets: funcionamento semelhante às carteiras remotas, porém utilizam um programa cliente (plug’in, por exemplo) na máquina do usuário e outro, servidor, no provedor de carteira eletrônica.

Toda a comunicação entre o cliente e o comerciante é feita através da carteira. Não existe comunicação direta entre o comerciante e o emissor da carteira no processo de pagamento.

Também requerem a existência de um vínculo entre a entidade comercial e o provedor de carteira eletrônica.

38


CompradorComprador



Internet

4. Usuário autentica-se e seleciona método de

pagamento

6. Processa o pagamento

7. Pagamento Completo

8. Armazena informações sobre a compra

1. Cliente clica em “Comprar”

2. Inicia Pagamento

3. Dispara a Carteira

5. Envia informações do pagamento

Wallet Wallet ServerServer

39


Vantagens:

Agrega mais usuários do que as carteiras instaladas no site do comerciante;

Pode servir vários comerciantes simultaneamente; Pode ser instalada em equipamentos com pouca

capacidade computacional como celulares, palms, set-top boxes, smart cards, etc;

Relativa portabilidade. É necessário um equipamento que suporte a parte cliente da carteira;

Podem suportar transações com smart cards e cartões de débito.

40


Desvantagens:

Podem ser desenvolvidas para suportar somente cartões com os quais o emissor da carteira mantenha relacionamento.

Tem o seu mecanismo de funcionamento muito mais complexo do que as carteiras remotas.

Não existe padronização de protocolos que permita que uma carteira (cliente) transacione com outros servidores.

As mesmas desvantagens das carteiras remotas ...

41


Publicidade:

Da mesma forma que as carteiras remotas, as distribuídas também beneficiam o emissor da carteira em relação às oportunidades de propaganda.

Enquanto o cliente não estiver conectado na Internet, a carteira pode estar ativa e apresentando as mensagens publicitárias.

42


Mesmo quando

o usuário não está

fazendo compras,

a carteira pode

ser utilizada para

publicidade ou

informações

43


Práticas de Negócios: Semelhante à carteiras remotas ... A forma de atuação, as responsabilidades e obrigações

não são definidas neste tipo de carteira eletrônica. Por exemplo: O operador da carteira remota pode ser:

banco;

grande comerciante; Supondo que fosse um emissor de cartão de crédito,

provavelmente não seria permitido compras com o cartão concorrente

Também não é fácil calcular o risco envolvido em transações deste tipo

emissor de cartão de crédito;provedor de acesso à Internet;

44



Pelos mesmos motivos da carteira remota, é muito custoso implementar e manter um sistema de carteira distribuída.

Com um agravante: a porção cliente da carteira deve ser desenvolvida para uma grande variedade de plataformas de hardware e sistema operacional.

45

Tipos de Carteiras - Personal Wallets

Personal Wallet: É um programa ou associação de equipamento + programa que é executado no computador do usuário.

Não existe “servidor de carteira eletrônica” nem qualquer outro tipo de intermediário envolvido em uma transação.

Conforme é requerido no SET, somente o cliente é detentor de suas informações pessoais e de pagamento.

46


Personal Wallets

armazenam os

dados do usuário

na própria estação

47


Vantagens:

O emissor da carteira disporá de um poderoso veículo de publicidade, que poderá ser modelado de acordo com as necessidades do negócio.

Os custos para a distribuição das carteiras pessoais, dependerá do mecanismo utilizado para que o cliente obtenha o programa. Se for utilizada a distribuição pela rede (download) este custo é minimizado.

Algumas funções da carteira podem ser executas mesmo o usuário estando desconectado da rede. Por exemplo: relatórios de compras. Isto faz com que o tempo em que ele é exposto à publicidade aumente.

48


Vantagens:

Podem permitir transações que necessitem de PIN, por exemplo cartões de débito e SmartCards.

Os papéis entre os envolvidos em um pagamento com carteira eletrônica pessoal são bem definidos, portanto é fácil dimensionar o risco de uma transação deste tipo.

49


Desvantagens:

O software da carteira eletrônica pessoal é muito mais complexo que o das outras carteiras. Logo o tamanho deste software pode chegar a 10 Mb.

O elevado tamanho do software acarreta em um tempo elevado para o seu download a partir de uma linha discada, por exemplo.

O elevado tamanho do software e a necessidade de recursos computacionais impedem sua utilização em equipamentos móveis como celulares e palm-tops.

50


Desvantagens:

Portabilidade: é necessário ter a carteira pessoal para uma grande quantidade de plataforma de hardware e sistema operacional. A menos que se utilize Plug’in para browsers já difundidos.

O certificado digital e as chaves de criptografia são instalados no disco da estação do usuário. Desta forma, não é trivial a compra, utilizando uma carteira pessoal, em diferentes estações. Por exemplo em casa e no escritório. É esperado que com a utilização de SmartCards este problema seja resolvido logo.

51


Publicidade:

Dependendo de quem estiver distribuindo a carteira, esta pode conter o logo do: fabricante;emissor do cartão; ISP;portal da Internet; instituição financeira;etc.

52



As carteiras pessoais seguem as práticas usuais de negócios:O emissor da carteira não mantém um banco de

dados com os dados pessoais do usuárioO usuário é quem detém a carteira que contém os

seus dados pessoais e números de cartão de crédito;O usuário é o responsável pelo controle de acesso

aos dados armazenados no disco de sua estação e protegidos com senha;

Não fica restrito a um único emissor de cartão;

53



Não é necessário implantar uma infra-estrutura de equipamentos, banco de dados e segurança tão sofisticada e complexa como no caso das carteiras remota e distribuídas;

A manutenção, porém, é bem mais complexa do que nos outros tipos de carteiras, pois a cada nova versão, o cliente deve fazer o download e a instalação do novo programa.

54

Considerações sobre Segurança

As carteiras remotas, distribuídas ou baseadas em um site são atrativas para hackers. A “quebra” de uma destas carteiras resultaria na obtenção de milhares de números de cartões de crédito.

A quebra de uma carteira pessoal resulta na obtenção de alguns poucos números.

55

Considerações sobre Segurança

Normalmente, as carteiras se utilizam de senhas para liberarem sua utilização. Senhas podem ser “adivinhadas” ou, por força bruta, quebradas.

Não adianta a implementação de criptografia “forte” nos servidores de carteira eletrônica se para a utilização da carteira o usuário utiliza uma senha “fraca”.

Como as carteiras pessoais são de responsabilidade do usuário, o risco que o emissor da carteira assume é muito menor.

56

Considerações sobre Privacidade

A privacidade das informações pessoais dos usuários é motivo de preocupação destes.

Isto se deve ao fato de ser muito mais fácil de traçar um perfil de compras, preferências, etc dos consumidores na Internet do que no mundo real.

InternetInternet

57

Considerações sobre Privacidade

As carteiras remotas mantém um banco de dados contendo registros sobre todas as compras realizadas pelos diversos clientes.

Desta forma, o operador deste servidor de carteiras eletrônica pode obter o comportamento, o perfil de compras, o valor médio mensal das compras, etc de qualquer cliente.

58

Exercícios

Acompanhe a simulação de uma compra utilizando Carteira Eletrônica em:

www.mastercard.com/shoponline/set/demo.html

59

Exercícios

Classifique as carteiras das empresas relacionadas abaixo em relação ao seu tipo de implementação: pessoal; remota; distribuída; site.

Carteira Eletrônica Bradesco: ________________Unibanco e-Card : ________________Microsoft Passport : ________________Carteira EntryPoint : ________________Carteira Mastercard : _________________

60

Bibliografia

M. Merkow, J. Breithaupt, K.L. Wheeler, “Building SET Applications for Secure Transactions”, John Wiley & Sons, 1998

Internet Wallet Choices and Answers for Business and Technical Managers, IBM, 1999

Documents

1 Carteiras Eletrônicas Frank Meylan [email protected] LSI Escola Politécnica da USP - EPUSP