Segurança em Sistemas de Pagamentos

Ricardo Nuno Mendão da Silvarnsilva@student.dei.uc.pt

http://student.dei.uc.pt/~rnsilva

SSC 0607 © DEI/FCTUC 2

Índice Definição de Sistemas de Pagamento.

Modelo de elementos base. Modelo de funcionamento base.

Segurança em Sistemas de Pagamentos. Segurança em pagamentos com cartão presente.

Segurança com Banda Magnética. Segurança com SMART Card. Segurança no terminal. Segurança no servidor.

Segurança em pagamentos com cartão não presente. SET (Secure Electronic Transactions). 3D-Secure (Three Dimension Secure). Caso Português MBNet.

Conclusão. Bibliografia.

SSC 0607 © DEI/FCTUC 3

Sistemas de Pagamento Sistemas que permitem efectuar transacções

financeiras de forma segura e eficaz, entre duas entidades, independentemente da sua localização e instituição bancária, utilizando a rede pública como meio de comunicação e o cartão de crédito ou débito como ferramenta principal.

Existem basicamente dois tipos de sistemas de pagamentos: cartão presente (ex.: POS, ATM). cartão não presente (ex.: MOTO, Internet, m-Payment).

SSC 0607 © DEI/FCTUC 4

Sistema de Pagamentos Modelo base

SSC 0607 © DEI/FCTUC 5

Sistema de Pagamentos

Modelo de Funcionamento.

1. Utilizador apresenta o cartão.

2. Comerciante pede autorização ao acquirer.

3. Acquirer consulta o emissor.

4. Emissor dá resposta ao acquirer.

5. O acquirer dá a resposta ao Comerciante.

6. Comerciante entrega os bens/serviços.

7. Acquirer paga ao comerciante.

8. Compensação entre emissor e acquirer.

9. Emissor debita ao utilizador.

10. Utilizador paga ao emissor.

SSC 0607 © DEI/FCTUC 6

Segurança em Sistemas de Pagamentos Visa garantir:

Privacidade. Autenticação. Integridade. Não-repúdio.

Inimigo Número Um: Fraude:

Fraude por parte do comerciante. Fraude por parte do cliente. Fraude de uma terceira entidade.

SSC 0607 © DEI/FCTUC 7

Segurança em pagamentos com cartão presente Características de um cartão.

Dois tipos principais: Banda Magnética. Smart Card contact.

Hologramas. Foto ID. Caracteres especiais. Data de expiração. Painel de assinatura. Impressão ultra-violeta. Dois Card Verification Numbers (CVN). Card Verification Value CVV.

SSC 0607 © DEI/FCTUC 8

Segurança em pagamentos com cartão presente Segurança em Banda Magnética.

Banda magnética possuí três faixas: Codificadas. Esquematizadas segundo normas:

Faixa 1 e 2 – ISO 7813. Faixa 3 – ISO 4909.

Faixa 1 contém informação do titular. Faixa 2 contém informação do banco, detalhes do

cartão e da conta. Faixa 3 permite guardar informações adicionais de

segurança e ainda o saldo do cartão. Objecto passivo (On-line PIN – Pinblock).

SSC 0607 © DEI/FCTUC 9

Segurança em pagamentos com cartão presente SMART Card.

Contact SMART Card. Possui um circuito integrado com:

ROM (< 32KB). EEPROM ([2KB,32KB]). RAM (256bytes). CPU (5MHZ).

Possibilidade de conter várias aplicações. Bastante mais seguro. Gerido pela norma EMV (Europay,

MasterCard e VISA). Elemento activo.

SSC 0607 © DEI/FCTUC 10

Segurança em pagamentos com cartão presente Segurança no Terminal.

Módulo de Segurança: Processador + memória + bateria. Protegido por grelhas de metal banhadas a resina

epóxica. Sensores de intrusão. Mecanismos de autodestruição da informação. Contém as chaves que assinam as mensagens que

circulam entre o POS e o Servidor de pagamentos. Contém as chaves que cifram o PIN. (Pinblock)

SSC 0607 © DEI/FCTUC 11

Segurança em pagamentos com cartão presente Servidor de Sistemas de Pagamento.

Criptografia simétrica. Gera as chaves para transporte e Pinblock. Distribuição, armazenamento e revogação de

chaves. Iniciação e abate dos módulos de segurança. Acesso limitado.

SSC 0607 © DEI/FCTUC 12

Segurança em pagamentos com cartão presente Normas de Fabrico.

Normas definidas para hardware: VISA PED (VISA PIN Entry Device) SIBS MB-PED. SIBS MB-POS. EMV (SMART Cards).

Normas de funcionamento: Gestão do PIN – ISO 9564. Autenticação – ISO 8731. Gestão das chaves ISO11568.

SSC 0607 © DEI/FCTUC 13

Segurança em pagamentos com cartão não presente Teoricamente apresentam mais pontos fracos,

sendo necessário uma terceira entidade que regule, controle e tome responsabilidade pelo sistema de pagamentos.

SSC 0607 © DEI/FCTUC 14

Segurança em pagamentos com cartão não presente Segurança na comunicação

SET – Secure Electronic Transactions. Protocolo elaborado pela VISA, Mastercard, IBM, GTE,

Microsoft, Netscape entre outros em Fevereiro de 1996. Baseado em certificados digitais x.509 com chaves

RSA. Requer que o cliente instale uma aplicação específica e

possua um certificado digital. Desenhado de forma a garantir eficazmente o PAIN

(Privacidade, Autenticação, Integridade e Não-repúdio).

SSC 0607 © DEI/FCTUC 15

Segurança em pagamentos com cartão não presente Segurança na Comunicação

SET – Funcionamento.

SSC 0607 © DEI/FCTUC 16

Segurança em pagamentos com cartão não presente Segurança na Comunicação

SET – Funcionamento.

SSC 0607 © DEI/FCTUC 17

Segurança em pagamentos com cartão não presente Segurança na comunicação

3-D Secure (Three Domain Secure) Baseado na autenticação do cliente. Utiliza TLSv1. Formato XML. Abrange três domínios:

Issuer Domain. Aquirer Domain. Interoperability Domain.

Uma arma contra a fraude.

SSC 0607 © DEI/FCTUC 18

Segurança em pagamentos com cartão não presente 3D – Secure

1. O Cliente escolhe os produtos/serviços e decide comprar.

2. Verifica o nº do cartão e se aderiu ao 3D-Secure.

3. O MPI envia um Payer Authentication Request (PAReq) ao ACS.

4. O ACS autentica o cliente pedindo uma credencial.

5. O ACS envia a PARes ao MPI e regista a acção no histórico (AHS).

6. O MPI valida a resposta.7. Procede ao pagamento

de forma normal.

SSC 0607 © DEI/FCTUC 19

Segurança em pagamentos com cartão não presente MBNET

Permite efectuar pagamentos on-line. Conta associada a cartão. Credenciais de autenticação. Permite criar cartões virtuais. Plafon limitado. Maior segurança.

SSC 0607 © DEI/FCTUC 20

Conclusão

Ambos os tipos de pagamentos electrónicos usam o mesmo sistema base.

Sistemas dotados de um vasto conjunto de normas. Convergência dinâmica para o último “grito” em

sistemas de segurança. Actualmente considera-se segura a parte de

comunicação e gestão de servidores. Maior perigo actual e para o futuro:

Segurança no domínio do cliente.

SSC 0607 © DEI/FCTUC 21

Bibliografia

[PayPal06] https://www.paypal.com[Verisign06] http://www.verisign.com[Visa06] http://www.visa.com[MasterCard06] http://www.mastercard.com/index.html[wiki06] http://en.wikipedia.org/wiki/Magnetic_stripe[wiki06a] http://en.wikipedia.org/wiki/Chip_and_PIN[wiki06b] http://en.wikipedia.org/wiki/Smart_card[Unicre06] http://www.unicre.pt[RedUnicre06] http://www.redunicre.pt[MBNet06] http://www.mbnet.pt[MAS06] http://www.merchant-account-services.org/[Pearson06] http://www.phptr.com/articles/article.asp?p=26857&seqNum=3&rl=1[SIBS06] http://www.sibs.pt[Pararede06] http://www.pararede.com[Guibourg01] http://www.riksbank.se/upload/Dokument_riksbank/Kat_foa/wp_126.pdf[Guerin03] http://www.epaynews.com/downloads/fraud_in_electronic_payments_wp.pdf[Mendonça04] http://www.di.fc.ul.pt/~nuno/PAPERS/CRC2004_POS_Mendonca.pdf

SSC 0607 © DEI/FCTUC 22

Agradecimentos