Защита информации в электронных платежных системах — в помощь студенту

Инфоурок › Информатика ›Презентации›Презентация к исследовательской работе на тему: «Новшества в области информационных технологий: системы электронных платежей»

alt

Узнай стоимость своей работы

Бесплатная оценка заказа!

Оценим за полчаса!

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Защита информации в электронных платежных системах - в помощь студенту

Описание презентации по отдельным слайдам:

1 слайд Описание слайда:

Научно-исследовательская работа на тему:   «Новшества в области информационных технологий: системы электронных платежей» Автор работы: Рогозина Анастасия Группа: № 105 Специальность: 080201 «Менеджмент в торговле» Научный руководитель: М.С. Дариенко

2 слайд Описание слайда:

Цель работы: проследить за развитием электронных платежных систем. Для достижения цели были поставлены следующие задачи: рассмотреть понятие электронных платежных систем, их развитие и классификацию; выявить наиболее популярные платежные системы Интернета; выяснить, на каком этапе развития находятся системы электронных платежей в ПМР.

alt

Узнай стоимость своей работы

Бесплатная оценка заказа!
Читайте также:  Элементы комбинаторики и теории вероятностей - в помощь студенту

Оценим за полчаса!

3 слайд Описание слайда:

Этапы развития электронных денег Электронные деньги — основа электронных платежных систем . 1980-е 1990-е 2000-е 2010-е

4 слайд Описание слайда:

Всего существует четыре основных типа платежных систем для сайта: Платежные системы карт VISA и MasterCard; Системы электронных кошельков; Платежные посредники аккумулирующие средства; Универсальные системы и «агрегаторы». Электронные платежные системы Интернета

5 слайд Описание слайда:

Платежная система карты VISA

6 слайд Описание слайда:

Платежная система карты MasterCard

7 слайд Описание слайда:

Система электронных кошельков WebMoney

8 слайд Описание слайда:

Система электронных кошельков Яндекс-деньги

9 слайд Описание слайда:

Система электронных кошельков QIWI

10 слайд Описание слайда:

Платёжная система PayPal

11 слайд Описание слайда:

Электронная платёжная система Skrill

12 слайд Описание слайда:

1999 г. положение ПРБ «О правилах обмена электронными документами между ПРБ, банками ПМР (филиалами) при осуществлении расчётов через систему электронных платежей Приднестровского республиканского банка». С 17 января 2000 г.

электронные платежи стали единственным способом совершения платежей в приднестровских рублях через электронную расчётную палату ПРБ. Участниками системы электронных платежей тогда стали 10 коммерческих банков республики.

Системы электронных платежей в Приднестровье

13 слайд Описание слайда:

С середины 2000 г. в республике начали функционировать платёжные системы с использованием банковских платёжных карт и денежных переводов. К концу 2014 г. стали функционировать карточные платёжные системы «Радуга», «Партнёр», «Мастер-карт», «Виза-карт», «Золотая корона», «Моя карта», «Дайнерз клаб». Системы электронных платежей в Приднестровье

14 слайд Описание слайда:

Объём выпущенных в обращение банковских карт в период с 2005 по 2014 гг.

15 слайд Описание слайда:

Виды сервисов онлайн-платежей: «Клиент-банк» «Интернет-банк».

«Приднестровский Республиканский Банк», ЗАО «Приднестровский Сберегательный Банк» предлагают услуги электронных платежей «Клиент-банк» только для юридических лиц, однако ЗАО «Агропромбанк», ОАО «ЭксимБанк», СЗАО АКБ «Ипотечный», ЗАО «Тираспромстройбанк» предоставляют возможность и физическим лицам пользоваться сервисом «Интернет-банк». Обзор услуг электронных платежей банков в ПМР

16 слайд Описание слайда:

Получение заработной платы и пенсии; Кредит «до зарплаты»; Перевод на счет по номеру карты РАДУГА; Денежные переводы; Оплата коммунальных платежей; Интернет-деньги; Покупка топлива; Пополнение международных карт других банков. ЗАО «Агропромбанк» предоставляет комплекс современных банковских услуг посредством карты РАДУГА:

17 слайд
18 слайд
19 слайд
20 слайд Описание слайда:

Результаты анкетирования

21 слайд Описание слайда:

Результаты анкетирования Использование видов электронных платежей в семьях студентов ТТК

22 слайд Описание слайда:

Результаты анкетирования Цели использования электронных платежей в семьях студентов ТТК

23 слайд Описание слайда:

Результаты анкетирования Время использования электронных платежей в семьях студентов ТТК

24 слайд Описание слайда:

Результаты анкетирования Считаете ли вы электронные платежи безопасными от взломов и воровства? В будущем все платежи будут происходить ИСКЛЮЧИТЕЛЬНО в электронном виде?

25 слайд Описание слайда:

Результаты анкетирования Отношение к электронным платежам в семьях студентов ТТК

26 слайд Описание слайда:

Выводы Электронные платежные системы — это наиболее удобный и современный способ оплаты. Скорость распространения электронных платежей зависит не только от развития самих электронных платежных систем, но и от расширения доступа населения к Интернету и грамотности граждан в вопросе об электронных платежах.

27 слайд Описание слайда:

Семьи студентов техникума используют электронные платежи в своей жизни. Наиболее значимую позицию занимает карта РАДУГА ЗАО «Агропромбанк». Чаще всего используется сервис «Интернет-банк» при оплате коммунальных услуг, услуг связи, интернета, образовательных услуг, а также покупок в интернет-магазинах.

Большинство наших студентов положительно настроено на использование электронных платежных систем, доверяют нетрадиционным способам оплаты товаров и услуг, но всё же считают, что в будущем не все платежи станут исключительно электронными. Системы электронных платежей уже вполне прижились в нашем регионе. Ими пользуются сотни тысяч людей в Приднестровье.

Именно поэтому проявляется большой потенциал развития электронных платежных систем. Выводы

28 слайд Описание слайда:

Спасибо за внимание!

Краткое описание документа:

Общая информация

Оставьте свой комментарий

Авторизуйтесь, чтобы задавать вопросы.

Источник: https://infourok.ru/prezentaciya_k_issledovatelskoy_rabote_na_temu_novshestva_v_oblasti_informacionnyh_tehnologiy-477557.htm

Безопасность электронных платежей и электронные системы

Защита информации в электронных платежных системах - в помощь студенту

  • СОДЕРЖАНИЕ
  • Безналичные расчеты с использованием сети интернет
  • Электронные деньги
  • Основные виды электронной подписи
  • Техническое обеспечение безопасности транзакций
  • Криптографические методы шифрования
  • Аутентификация

С каждым годом пользователей интернета становится все больше. Множатся и расширяются многочисленные сервисы, внедряются новые технологии. Во Всемирную сеть вышла торговля, через интернет, стали предоставляться разнообразные платные услуги. Это вызвало развитие электронных платежных систем.

Система электронных платежей – это система безналичных расчетов, заключение контрактов и перевода денег между продавцами и покупателями, банками и их клиентами с помощью средств электронной коммуникации с применением средств кодировании информации и ее автоматической обработки.

Безналичные расчеты с использованием сети интернет

Тенденции совершенствования информационных технологий определяют развитие и реформирование системы осуществления безналичных платежей с использованием сети интернет. Под интернетом понимается «объединенные между собой компьютерные сети, глобальная мировая система передачи информации с помощью информационно-вычислительных ресурсов».

Безналичные расчеты с использованием сети интернет подразумевают под собой осуществление операций по оплате товаров, работ или услуг, посредством перечисления электронных денежных средств по счетам в банках или платежных систем и зачетов взаимных требований.

Использование формы безналичных  расчетов посредством электронных денежных средств регулируется нормами Федерального закона от 27.06.2011 г. № 161-ФЗ «О национальной платежной системе».

Согласно данному нормативному акту под электронными денежными средствами понимаются «денежные средства, которые предварительно предоставлены одним лицом другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета, для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа».

Под платежной системой в Федеральном законе от 27.06.2011 г.

№ 161-ФЗ «О национальной платежной системе» понимается «совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств».

Наиболее популярными и широко используемыми международными платежными системами являются такие системы как: Visa, Europay, American Express, Diners Card, JCB, электронные карты Visa Electron, Cirrus Maestro. В России наиболее популярными отечественными платежными системами являются: WebMoney, Qiwi,  Яндекс.Деньги, МИР [16].

  1. Безналичные расчеты с использованием сети интернет могут осуществляться несколькими способами:
  2. — через платежные системы  с  использованием банковских пластиковых карт;
  3. — через платежные системы с использованием электронных денежных средств.
  4. Банковская пластиковая карта является персонифицированным платежное средство, которое предназначено для оплаты товаров, работ, услуг, а также получения наличных денег в банковских учреждениях и банкоматах.
  5. Под платежной системой с использованием банковских пластиковых карт понимается совокупность форм, методов и субъектов, которые регулируют и реализуют данную систему расчетов, обеспечивают необходимые условия для использования пластиковых карт как стандарта в качестве платежного средства.
  6. Под платежной системой с использованием электронных денежных средств понимается совокупность форм, методов и субъектов, которые регулируют и реализуют систему расчетов с помощью электронных денежных средств, обеспечивают необходимые условия для использования электронных денег как средства в качестве платежа.
  7. Основными преимуществами осуществления таких видов расчетов являются:
  8. — уменьшение объема использования в расчетов наличных денежных средств;
  9. — увеличение скорости расчетных операций;
  10. — возможность приобретения товара или услуги на длительных расстояниях от продавца.
  11. Основными недостатками осуществления безналичных расчетов с использованием сети интернет являются:
  12. — наличие технических проблем (сбоев) в организации перевода электронных платежей;
  13. — наличие довольно большого числа участников платежного процесса, что усложняет правовую возможность  возмещения убытков в ходе осуществления таких операций.

Электронные деньги

  • Электронные деньги — это денежные обязательства организации, которая их выпустила (эмитента), находящиеся на электронных носителях в управлении пользователей.
  • Основные признаки электронных денег:
  • — осуществление эмиссии в электронном виде;
  • — хранение на электронных носителях;
  • — гарантии эмитента по их обеспечению обычными денежными средствами;
  • — признание их в качестве платежного средства не только эмитентом, а и рядом других организаций.
  • Для чёткого понимания того, что представляют собой электронные деньги, нужно отличать их от безналичной формы традиционных денежных средств (выпуск последних, производят центральные банки различных стран, они же устанавливают правила их обращения).

Никакого отношения к электронным деньгам не имеют и кредитные карты, являющиеся лишь средством управления банковским счётом. Все операции при использовании карт производятся с обычными деньгами, пусть и в безналичной форме.

Идея электронных платёжных систем появилась в 80-е годы ХХ века. Её основой послужили изобретения Дэвида Шаума, который основал в США компанию «DigiCash», основной задачей которой было внедрение технологий обращения электронных денег.

Замысел был довольно прост. В системе осуществляются операции с электронными монетами, представляющими собой файлы-обязательства эмитента с его электронной подписью. Предназначение подписи было аналогично предназначению элементов защиты бумажных купюр.

Принципы функционирования электронных денежных систем

Для успешной работы данного платёжного инструмента, необходима готовность организаций, продающих товары и оказывающих услуги, принимать в качестве оплаты электронные деньги. Это условие было обеспечено гарантиями эмитента по выплате сумм в реальной валюте в обмен на электронные монеты, введённые им в обращение.

  1. В упрощённом виде схему функционирования системы можно представить следующим образом:
  2. Клиент переводит на счёт эмитента реальную валюту, получая взамен файл-банкноту (монету) на такую же сумму за вычетом комиссии. Этот файл подтверждает долговые обязательства эмитента перед его держателем;
  3. Электронными монетами клиент оплачивает товары и услуги в организациях, которые готовы их принимать;
  4. Последние возвращают эти файлы эмитенту, получая от него взамен реальные деньги.

При такой организации работы у каждой из сторон возникает выгода. Эмитент получает свою комиссию. Торгующие предприятия экономят на издержках, связанных с обращением наличности (хранение, инкассация, работа кассиров). Клиенты получают скидки, обусловленные снижением издержек у продавцов.

При наличии авторитетного эмитента электронные деньги не только не хуже традиционных, а обладают ещё и рядом преимуществ.

Преимущества электронных денег:

Объединяемость и делимость. При осуществлении расчетов отсутствует потребность в сдаче.

Компактность. Хранение не требует дополнительного места и специальных устройств механической защиты.

Отсутствие нужды в пересчете и перевозке. Эта функция выполняется инструментами осуществления платежей и хранения электронных денег автоматически.

Минимальные затраты на эмиссию. Нет необходимости в чеканке монет и печатании банкнот.

  • Неограниченный срок службы из-за неподверженности износу.
  • Преимущества очевидны, но и без сложностей, как водится, не бывает.
  • Недостатки:
  • Обращение электронных денег не регламентируется едиными законами, что повышает вероятность злоупотреблений и произвола;
  • Необходимость наличия специальных инструментов осуществления платежей и хранения;
  • За сравнительно малый срок эксплуатации не разработаны надёжные средства безопасности хранения и защиты электронных денег от подделок;
  • Ограниченность применения вследствие неготовности всех продавцов принимать электронные платежи;
  • Затруднительность конвертации средств одной электронной платёжной системы в другую;
  • Отсутствие государственных гарантий, подтверждающих надежность эмитента и электронных денег как таковых.
Читайте также:  Неолит и бронзовый век на территории европы - в помощь студенту

Основные виды электронной подписи

Электронные платежные системы являются одним из самых популярных видов работы с электронной валютой. С каждым годом они развиваются все активнее, занимая довольно большую долю рынка по работе с валютой. Вместе с ними развиваются и технологии обеспечения их безопасности.

Поскольку на сегодняшний день ни одна электронная платежная система не может существовать без хороших технологий и систем безопасности, которые в свою очередь обеспечивают безопасную транзакцию денежных операций. Самих электронных платежных систем, собственно, как и технологий по защите, существует очень много.

Каждая из них имеет различные принципы и технологии работы, а также свои достоинства и недостатки.

Каждая электронная платежная системы использует свои методы, алгоритмы шифрования, протоколы передачи данных для выполнения безопасных транзакций и передачи данных.

Одни системы используют алгоритм шифрования RSA и протокол передачи HTTPs, другие используют алгоритм DES и протокол SSL для передачи зашифрованных данных.

В основу идеи написания статьи положено то, чтобы изучить и проанализировать ряд популярных платежных систем, а именно технологии безопасности, используемые в них, и выяснить какая наиболее совершенная.

В ходе написания реферата, были проведены исследования платежных систем, анализ безопасности существующих платежных систем. Были проанализированы четыре платежные системы (Webmoney, «Яндекс.Деньги», РауРа1 и E-Port) по одним и тем же критериям. Оценивания систем проводилось по многоуровневой системе, которая включает вложенные параметры.

Разумеется, все эти критерии относятся к сфере информационной безопасности. Есть два основных критерия: техническое обеспечение информационной безопасности платежей и организационно-правовое обеспечение. Каждый из двух этих параметров оценивался по трехбалльной системе.

Шкала оценок именно такая, поскольку нынешнее развитие электронных платежных систем в нашей стране находится на таком уровне, что большинство их параметров можно описать только словами «да или нет». Соответственно если система электронных платежей максимально соответствует какому-либо параметру, она получает высший балл (3), если совсем не отвечает — минимальный (0).

Если в системе этого критерия в его явном виде нет, но если присутствуют какие сервисы или возможности, связанные с отсутствующим, присуждаем промежуточный балл — единицу или двойку.

Оценивая системы электронных платежей, следует помнить о том, что при различных условиях значение одного и того же параметра неодинаковы.

Например, несколько сервисов, которые значительно повышают уровень защиты, могут быть реализованы пользователем только добровольно, дополнительно — ценное само наличие этих сервисов в системе.

Человеческий фактор никто не отменял и никогда не отменит, поэтому учитывается, что сервис может быть как реализован, так и нереализованный.

Техническое обеспечение безопасности транзакций

Это первый из критериев — набор параметров, обеспечивающий, как ясно из его названия, техническую сторону защиты информации. До этого параметра включены: криптографические методы шифрования, аутентификации и доступ с помощью специального аппаратного обеспечения (в самом примитивном случае — с помощью USB-ключей).

Ни для кого не секрет, что основным критерием защиты информации в техническом плане является, конечно, шифрование данных, а конкретнее — криптографические алгоритмы, с помощью которых они реализованы.

Известно также, что чем больше длина ключа, тем труднее расшифровать его и соответственно получить доступ к конфиденциальной информации. Три из испытуемых систем используют широко известный и широко уважаемый алгоритм RSA: Webmoney, «Яндекс.Деньги», PayPal.

В E-Port применяется шифрование через SSL-протокол версии 3.0.Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны, они генерируются во время сессии, так и названы сеансового ключа.

Длина SSL-ключа в системе E-Port варьируется в пределах от 40 до 128-ми бит, что вполне достаточно для приемлемого уровня безопасности транзакций.

Следующий параметр в техническом обеспечении информационной безопасности транзакций — аутентификация, т.е. совокупность решений, которые нужны пользователю для доступа к его собственной персональной информации. Здесь все просто. В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port — только один.

В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ.Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек. Во всех остальных систем доступ осуществляется по паролю.

Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента (и любого другого участника системы) должен иметь специальный цифровой сертификат, полученный от одной из уполномоченных компаний. Этот сертификат используется для аутентификации web-сервера клиента.

Механизм защиты сертификата, который используется в E-Port, сертифицированный компанией RSA Security. Третий и последний параметр в данном исследовании критерии — доступ к системе с помощью специального аппаратного обеспечения, например USB-ключей.

Криптографические методы шифрования

Webmoney и «Яндекс.Деньги» применяется ключ длиной 1024 бита (очень высокий показатель, взломать такой ключ методом простого перебора практически невозможно), а в PayPal используется ключ в два раза короче — 512 бит.Соответственно для первых двух систем по этому критерию получаем максимальный балл — 3.

PayPal, потому что применяет ключ шифрования меньшей длины, получает два балла. Остается только оценить по этому параметру E-Port.

Несмотря на использование в ней SSL-протокола и даже на длину ключа до 128-ми битов, в E-Port есть некоторая потенциальная уязвимость: много старых версий браузеров поддерживают шифрование с ключами меньшей длины, поэтому существует возможность взломать полученные данные; соответственно, для тех, кто использует браузер как клиент для платежной системы, необходимо работать с его последней версией (конечно, это не всегда удобно и возможно). Однако в графе «шифрование» можно выставить для E-Port 1,7 балла: система заслужила такую ​​оценку благодаря применению прогрессивного протокола PGP для шифрования сообщений электронной почты.

Аутентификация

В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port — только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ.

Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек.Во всех остальных систем доступ осуществляется по паролю. Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента.

Согласно Webmoney и «Яндекс.Деньги» получают здесь по три балла, PayPal — 0 баллов, E-Port — один.

Здесь еще проще, чем с предыдущими параметрами. Подобную дополнительную опцию из всех систем имеет лишь Webmoney PayPal, последние не предоставляют такой возможности. Таким образом, с учетом весового коэффициента, Webmoney и PayPal получили по этому параметру 1,5 балла, все остальные — по нулю.

После оценки двух критериев можно подвести итоги. По сумме рассмотренных параметров безопасной оказалась Webmoney.

Действительно, если пользователь задействует все предоставляемые ею сервисы обеспечения безопасности, он может остаться фактически неуязвимым для мошенников. Второе место заняла система «Яндекс.

Деньги», третье — PayPal (эта система идеально подойдет юридическим лицам за значительной юридическую прозрачность платежей), а последнее место присуждено системе E-Port.

Кроме того, подведя итог анализа платежных систем, можно сказать, что, выбор электронной платежной системы осуществляется вовсе не по одному параметру безопасности, пусть даже он один из самых важных. Системы электронных платежей также отличаются наличием сервисов, удобством использования — есть множество других факторов.

  1. Проблемы денежных суррогатов, криптовалют и бездокументарных ценных бумаг
  2. Список литературы деньги, кредит, банки

Источник: https://abium24.ru/bezopasnost-elektronnykh-platezhej-i-elektronnye-sistemy

Защита информации в электронных платежных системах

Защита информации в электронных платежных системах - в помощь студенту

Сегодня сложно представить себе серьезный — и не обязательно крупный — бизнес без интернет-поддержки в виде собственного ресурса, продающей странички или интернет-магазина. Превратить обычный электронный каталог в действующий виртуальный магазин с возможностью подобрать на сайте продавца товар и заплатить за него, позволяет платежная система. Неудивительно, что вопрос эффективной организации безопасности электронных платежей важен для владельца любого интернет-сервиса, специализирующегося на финансовых расчетах.

Защита информации в электронных платежных системах предполагает выполнение следующих условий:

  • конфиденциальность — в процессе интернет-расчетов данные покупателя (номер пластиковой кредитной карты или других расчетных средств) должны оставаться известны только учреждениям и структурам, обладающим законным правом на это;
  • аутентификация — чаще всего PIN-код или сообщение, благодаря которому клиент (или продавец) может удостовериться в том, что второй участник сделки именно тот, за кого себя выдает;
  • авторизация — дает возможность до начала перечисления денег определить наличие у покупателя достаточной суммы для того, чтобы оплатить заказ.

Все это нацелено на обеспечение безопасного платежного алгоритма, который сможет минимизировать риски электронных финансовых взаиморасчетов как для покупателя, так и для продавца.

Современные методы защиты информации электронных платежных систем

Сегодня защита информации электронных платежных систем осуществляется, главным образом, с помощью:

  • моментальной авторизации плательщика;
  • шифрования финансовой информации в интернет-сети;
  • специальных сертификатов.

Предусматривая одновременное взаимодействие с тысячами пользователей, современные приложения чисто коммерческого характера не могут работать с классическими «однозначными» системами — как с действующими исключительно на открытых ключах, так и с функционирующими только на закрытых. Перехват злоумышленниками хотя бы одного ключа полностью «закрытой» системы автоматически ведет к полному вскрытию всей ее цепи защиты. В свою очередь, шифрование только открытыми ключами нуждается в значительных затратах вычислительных ресурсов.

В связи с этим, сегодня безопасность платежных систем в э-коммерции обеспечивает одновременное применение протоколов с закрытыми и открытыми ключами. Информация, которая передается по сетям, шифруется с использованием закрытого ключа. При этом его генерация осуществляется динамически, и он передается второму участнику сделки с шифром на основе открытого ключа.

Как правило, шифрование проводится посредством протокола Seсure Sockets Layer (SSL), а также Secure Electronic Transaction (SET) — его разработкой занимались финансовые гиганты MasterCard, VISA. Первый протокол выполняет шифровку на уровне канала, а второй шифрует непосредственно финансовые данные.

В процессе использования приложений с протоколом SET применяется алгоритм двойной электронной подписи.

Ее одна часть высылается продавцу, а другая — банку.

Благодаря такой схеме покупателю доступны все данные по заказам, но он не имеет доступа к расчетным реквизитам продающей стороны, а банку, в свою очередь, открыты все финансовые данные обоих участников сделки при полном отсутствии информации о составе заказа.

Улучшить защиту виртуальных сделок призваны также виртуальные центры сертификации, выдающие представителям э-коммерции уникальные «сертификаты» электронного формата с подписанным персональным открытым ключом.

Электронный сертификат выдается центром на основе идентификационных документов сторон сделки и действителен на протяжении определенного времени. С подобным сертификатом участник коммерческой сделки может совершать финансовые операции, проверяя действительность открытых ключей других участников.

Источник: https://www.interkassa.com/blog/zahist-nformac-v-elektronnih-platzhnih-sistemah/

Безопасность электронных платежей | Платежные системы

Основные правила, которые стоит соблюдать покупателю

  1. Никогда никому не сообщайте ваш пароль, включая сотрудников платежных систем.
  2. Проверяйте, что соединение действительно происходит в защищенном режиме SSL — в правом нижнем углу вашего браузера должен быть виден значок закрытого замка;
  3. Проверяйте, что соединение установлено именно с адресом платежной системы или интернет-банка;
  4. Никогда не сохраняйте информацию о вашем пароле на любых носителях, в том числе и на компьютере. Если у вас возникли подозрения, что кто-либо получил доступ к вашему личному кабинету, смените пароль или заблокируйте ваш счет/аккаунт;
  5. После окончания работы обязательно нажимайте кнопку Выход;
  6. Убедитесь, что компьютер не поражен какими-либо вирусами. Установите и активизируйте антивирусные программы. Старайтесь их постоянно обновлять, так как действие вирусов может быть направлено на передачу третьим лицам информации о вашем пароле;
  7. Используйте программное обеспечение из проверенных и надежных источников, выполняйте регулярные обновления.

Статистика
По статистике, чаще всего подвергаются атакам следующие системы: терминалы (32%), сервера баз данных (30%), серверы приложений (12%), веб-серверы (10%).

На рабочие станции, серверы аутентификации, серверы резервного копирования, файловые хранилища и прочее приходится только 10%.

Из данной статистики наглядно видна актуальность безопасности именно сайтов и приложений, так как через их уязвимости чаще всего становится возможным получение доступа к данным.

Что обеспечивает безопасность платежных систем

Защита информации в электронных платежных системах - в помощь студентуБезопасные/зашифрованные интернет-соединения

  • В настоящее время наличие SSL сертификата на сайте не является достаточным условием для безопасного проведения интернет-платежей. Только комплексный подход, сертифицированный по современным международным стандартам, позволяет говорить о том, что безопасность обработки интернет-платежей обеспечивается на самом высоком уровне.

Клиентская защита

  • Логин/пароль доступа для входа в систему, который проходит тестирование на сложность;
  • Комбинация номера банковской карты, срока действия, имени держателя карты, CVV/CVC кодов;
  • Возможность создания виртуальной карты, дублирующей основную, для проведения интернет-платежей;

Техническая защита

  • Привязка платежного сервиса к фиксированному IP-адресу и телефонному номеру клиента;
  • Осуществление клиентского доступа в систему по зашифрованному протоколу HTTPS/SSL;
  • Возможность использования виртуальной клавиатуры для набора данных идентификации (противодействие перехвату личных данных);
  • Разделение каналов формирования транзакций и канала авторизации транзакций:
    • авторизация транзакций осуществляется через специальный код, который при совершении платежа клиент получает от системы на свой мобильный телефон по SMS (случайная комбинация букв и цифр, действующая только в течение нескольких минут).

Защита пластиковых карт
Злоумышленники чаще всего пытаются получить доступ к карточным данным. В отчетах исследований специалистов в области платежной безопасности — компаний Verizon и Trustwave указывается статистика: в 85-ти и 98-ми случаев из 100 соответственно, целью атаки были именно карточные данные.

Сертификация платежных систем
Сертификация сервис-провайдеров и владельцев бизнеса (мерчантов) с количеством транзакций более 6 млн. в год подлежит сертификации Qualified Security Assessor (QSA), которые в России выдаются компаниями IBM, NVision Group, Deiteriy, Digital Security, TrustWave, ЕВРААС ИТ, Информзащита, Инфосистемы Джет, Крок Инкорпорейтед.

  1. Сертификат соответствия стандарту Payment Card Industry Data Security Standard (PCI DSS);
  2. Сертификат безопасности на соответствие международным требованиям к менеджменту информационной безопасности в сфере разработки, внедрения и сопровождения программных средств ISO/IEC 27001:2005;
  3. Использование электронно-цифровой подписи (ЭЦП);
  4. Лицензии на право осуществления деятельности по предоставлению, техническому обслуживанию, распространению шифровальных (криптографических) средств.

Начиная с 1 июля 2012 года использование несертифицированных приложений компаниями, попадающими под действие стандарта PCI DSS, будет запрещено.


PCI DSS стандарт защиты информации в индустрии платёжных карт был разработан международными платёжными системами Visa и MasterCard и представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Читайте также:  Расселение восточных славян к viii веку - в помощь студенту

Уязвимые места и способы защиты
С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

  1. Пересылка платежных и других сообщений между банком и клиентом и между банками;
  2. Обработка информации внутри организаций отправителя и получателя сообщений;
  3. Доступ клиентов к средствам, аккумулированным на счетах.
  4. Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом.

Защита при пересылке платежных сообщений:

  1. Внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
  2. Взаимодействие отправителя и получателя электронного документа осуществляется опосредовано – через канал связи.

Проблемы, решаемые при организации защиты платежей:

  • взаимное опознавание абонентов (проблема установления взаимной подлинности при установлении соединения);
  • защита электронных документов, передаваемых по каналам связи (проблемы обеспечения конфиденциальности и целостности документов);
  • защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
  • обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).

Обеспечение безопасности платежных систем
Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

  • управление доступом на оконечных системах;
  • контроль целостности сообщения;
  • обеспечение конфиденциальности сообщения;
  • взаимная аутентификация абонентов;
  • невозможность отказа от авторства сообщения;
  • гарантии доставки сообщения;
  • невозможность отказа от принятия мер по сообщению;
  • регистрация последовательности сообщений;
  • контроль целостности последовательности сообщений.

Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты.

Платежная система — это система взаимодействия участников
С организационной точки зрения ядром платежной системы является ассоциация банков, объединенная договорными обязательствами.

Кроме того, в состав электронной платежной системы входят предприятия торговли и сервиса, образующие сеть точек обслуживания.

Для успешного функционирования платежной системы необходимы и специализированные организации, осуществляющие техническую поддержку обслуживания карт: процессинговые и коммуникационные центры, центры технического обслуживания и т.п.

Источник: http://pay2.ru/payment-security/

Принципы функционирования электронных платежных систем

Современная практика банковских операций, торговых сделок и взаимных платежей невозможна без использования в качестве пла­тежного средства пластиковых карт (персонифицированных платеж­ных инструментов). Они предоставляют пользующимся ими лицам воз­можность безналичной оплаты товаров и услуг и обналичивания в бан­ковских автоматах и отделениях банков.

Совокупность методов и реализующих их субъектов, обеспечи­вающих применение этих карт, называют электронной платежной сис­темой (ЭПС). С организационной точки зрения ее ядром является ассо­циация банков, объединенная договорными обязательствами.

Кроме то­го, в состав ЭПС входят предприятия торговли и сервиса, и отделения банков, принимающие карту в качестве платежного инструмента и об­разующие приемную сеть точек обслуживания. Для успешного функ­ционирования ЭПС необходимы и специализированные организации, осуществляющие техническую поддержку обслуживания карт.

Это процессинговые и коммуникационные центры, центры технического об­служивания и т. п.

  • Существует два типа процедур приема платежа с помощью карты: неавтоматизированные, с помощью чеков-слипов; автоматизированные, с помощью торговых POS-терминалов и банкоматов.
  • В первом случае кассир должен проделать следующее:
  • • прежде всего убедиться в подлинности карты;
  • • при оплате с помощью копировальной пере­нести реквизиты карты клиента на специальный чек, называемый слипом;

• занести в него сумму, на которую была совершена покупка или оказана услуга;

• получить подпись клиента.

В целях обеспечения безопасности операций ЭПС рекомендуется не превышать нижние лимиты сумм, по которым можно проводить рас­четы без авторизации. При превышении лимитной суммы или в случае возникновения сомнения в личности клиента предприятию необходимо провести процедуру авторизации.

Во втором случае широкую популярность приобрели POS-терминалы (Point-Of-Sale — оплата в точке продажи) и банкоматы.

При использова­нии POS-терминалов нет необходимости в заполнении слипов, так как реквизиты пластиковых карт считываются с ее магнитной дорожки на POS-терминале считывателе.

Клиент вводит в терминал свой PIN-код (Personal Identification Number — персональный идентификационный но­мер), известный только ему. Элементы PIN-кода включаются в общий алгоритм шифрования записи на магнитной полосе и служат электрон­ной подписью владельца карты.

  1. С точки зрения защиты информации в ЭПС существуют следую­щие уязвимые места:
  2. • пересылка платежных и других сообщений между банком и клиен­том, между банками, между банком и банкоматом;
  3. • обработка информации внутри организаций отправителя и получа­теля сообщений;
  4. • доступ клиентов к средствам, аккумулированным на счетах. Уязвимость пересылки определяется необходимостью защиты как оконечных систем, так и канала связи, через которые осуществляется взаимодействие отправителя и получателя электронного документа, что порождает следующие проблемы:
  5. • взаимное опознавание абонентов (взаимная аутентификация);
  • • проблема обеспечения конфиденциальности и целостности доку­ментов при передаче по каналу связи;
  • • проблема доказательства отправления и доставки документа;
  • • обеспечение выполнения документа (проблема недоверия между отправителем и получателем из-за их независимости и принадлеж­ности к разным организациям).
  • Для обеспечения функций защиты информации на отдельных узлах ЭПС должны быть реализованы следующие механизмы защиты:
  • • управление доступом на оконечных системах;
  • • контроль целостности сообщения;
  • • обеспечение конфиденциальности сообщения;
  • • взаимная аутентификация абонентов;
  • • невозможность отказа от авторства сообщения;
  • • гарантии доставки сообщения;
  • • невозможность отказа от принятия мер по сообщению;
  • • регистрация последовательности сообщении;

• контроль целостности последовательности сообщений. Качество решения обозначенных проблем определяется рацио­нальным выбором криптографических средств при реализации меха­низмов защиты.

Дата добавления: 2018-05-12; просмотров: 209;

Источник: https://studopedia.net/5_28834_printsipi-funktsionirovaniya-elektronnih-platezhnih-sistem.html

Защита информации электронных платежных систем

Банковские операции, торговых сделок и взаимных платежей невозможно вообразить без расчетов с применением пластиковых карт. Система безналичных расчетов с помощью пластиковых карт называется электронной платежной системой. Что бы обеспечить нормальную работу электронной платежной системы она должна быть надежно защищена[7].

  • Считается, что в информационной безопасности в системах электронных платежей имеются уязвимые места:
  • Пересылка платежных и остальных сообщений между банками, между банком и банкоматом, между банком и клиентом;
  • Обработка информации организацией отправителя и получателя;
  • Доступ покупателей к средствам, расходованным на счетах.
  • Пересылка платежных и остальных сообщений соединена с такими особенностями:
  • Внутренние системы организаций отправителя и получателя обязаны обеспечить подходящую защиту при обработке электронных документов (защита оконечных систем);
  • Взаимодействие отправителя и получателя электронного документа исполняется прямо через канал связи.
  • Эти особенности вызывают трудности:
  • Взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);
  • Защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности);
  • Защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
  • обеспечение выполнение акта (проблема взаимного недоверия между отправителем и получателем вследствие их принадлежности к разным организациям и обоюдной независимости).
  • Для обеспечения функций защиты информации в некоторых узлах системы электронных платежей обязаны быть реализованы механизмы защиты:
  • Управление доступом на начальных системах;
  • Контроль целостности сообщения;
  • Обеспечение конфиденциальности сообщения;
  • Взаимная аутентификация клиентов;
  • Невыполнимость отказа от авторства сообщения;
  • Гарантия доставки сообщения;
  • Невыполнимость отказа от принятия мер по сообщения;
  • Регистрация последовательности сообщений;
  • Контроль целостности последовательности сообщений [8].
  • В качестве платежных средств в электронных платежных системах используются электронные пластиковые карты.
  • Электронная пластиковая карта — это носитель определенной информации, который идентифицирует пользователя и хранит определенные данные.
  • Различение кредитной и дебетовой карты.

Электронные карты являются более распространенным видом пластиковых карт. Электронные карты используются для оплаты различных товаров и услуг.

При оплате с помощью кредитной карты банк клиента открывает ему кредит на сумму приобретения, а после через некоторое время присылает счет по почте на сумму сделанной покупки. Покупатель должен возвратить оплаченный чек назад в банк.

Разумеется, схожую схему банк может рекомендовать лишь более состоятельным и проверенным из собственных клиентов, которые имеют неплохую кредитную историю перед банком или значимые вклады в банк в виде депозитов, ценностей или недвижимости[12].

Пластиковая карта представляет собой пластинку, изготовленную из особой пластмассы, устойчивой к механическим и термическим действиям. По стандарту ISO 9001 все пластиковые карты имеют габариты 85.6Ч53.9Ч0.76 мм.

  1. Для идентификации владельца на пластиковую карту наносятся:
  2. логотип банка-эмитента;
  3. логотип платежной системы, обслуживающей эту карту;
  4. имя владельца карты;
  5. номер счета владельца карты;

срок действия карты и т.п.

Кроме такого, на карте может находиться фото владельца и его подпись.

Алфавитно-цифровые данные (имя, номер счета и др.) могут быть эмбоссированы, т.е. нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства — импринтера, осуществляющего «прокатывание» карты[9].

По принципу действия различают пассивные и активные пластиковые карты. Пассивные пластиковые карты всего лишь только хранят информацию. К ним относятся пластиковые карты с магнитной полосой.

Карты с магнитной полосой являются пока более распространенными — в обращении находится выше двух миллиардов карт аналогово типа. Магнитная полоса размещается на обратной стороне карты и, в согласии со стандартом ISO 7811, состоит из 3-х дорожек.

Из них первые две предусмотрены для хранения идентификационных данных, а на третью дорожку разрешено вписывать информацию (например: текущее значение лимита дебетовой карты).

Однако из-за низкой надежности неоднократно повторяемого процесса записи/считывания запись на магнитную полосу обычно не практикуется.

Карты с магнитной полосой относительно уязвимы для мошенничества. Для повышения защищенности своих карт системы Visa и MasterCard/Europay используют дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования.

Эмбоссеры (устройства для тиснения рельефа на карте) выпускает ограниченный круг изготовителей. В ряде стран Запада законодательно запрещена свободная продажа эмбоссеров.

Специальные символы, подтверждающие принадлежность карты к той или иной платежной системе, поставляются владельцу эмбоссера только с разрешения руководящего органа платежной системы[10].

Платежные системы с подобными картами требуют on-line авторизации в торговых точках и, как следствие, наличия разветвленных, высококачественных средств коммуникации (телефонных линий).

Отличительная особенность активной пластиковой карты — наличие встроенной в нее электронной микросхемы. Стандарт ISO 7816 определяет основные требования к картам на интегральных микросхемах или чиповым картам.

  • Карты с микросхемой можно классифицировать по двум признакам.
  • Первый признак — принцип взаимодействия со считывающим устройством. Основные типы:
  • карты с контактным считыванием;
  • карты с бесконтактным (индукционным) считыванием.

Карта с контактным считыванием имеет на своей поверхности от 8 до 10 контактных пластин. Размещение контактных пластин, их количество и назначение выводов различны у разных производителей и естественно, что считыватели для карт данного типа различаются между собой.

Обмен данными между картой с бесконтактным считыванием и считывающим устройством производится индукционным способом. Очевидно, что такие карты надежнее и долговечнее.

  1. Второй признак — функциональные возможности карты. Основные типы:
  2. карты-счетчики;
  3. карты с памятью;
  4. карты с микропроцессором.

Карты-счетчики применяются, как правила, в тех случаях, когда та или иная платежная операция требует уменьшения остатка на счете держателя карты на некоторую фиксированную сумму.

Подобные карты используются в специализированных приложения с предоплатой (плата за использование телефона-автомата, оплата автостоянки и т.д.).

Очевидно, что применение карт со счетчиком ограничено и не имеет большой перспективы.

Карты с памятью являются переходными между картами-счетчиками и картами с микропроцессором. Карта с памятью — это перезаписываемая карта-счетчик, в которой приняты меры, повышающие ее защищенность от атак злоумышленников. Простейшие карты с памятью имеют объем памяти от 32 байт до 16 Кбайт. Эта память может быть организована в виде:

  • программируемого постоянного запоминающего устройства ППЗУ (EPROM), которое допускает однократную запись и многократное считывание;
  • электрически стираемого программируемого постоянного запоминающего устройства ЭСППЗУ (EEPROM), которое допускает многократную запись и многократное считывание.
  • Карты с памятью можно подразделить на два типа:
  • с незащищенной (полнодоступной) памятью;
  • с защищенной памятью.

В картах первого типа нет никаких ограничений на чтение и запись данных. Эти карты нельзя использовать в качестве платежных, так как их достаточно просто «взломать».

Карты второго типа имеют область идентификационных данных и одну или несколько прикладных областей. Идентификационная область допускает лишь однократную запись при персонализации и дальше доступна только для считывания. Доступ к прикладным областям регламентируется и осуществляется только при выполнении определенных операций, в частности при вводе секретного PIN-кода.

Уровень защиты карт с памятью выше, чем у магнитных карт. В качестве платежного средства карты с памятью используются для оплаты таксофонов общего пользования, проезда в транспорте, в локальных платежных системах (клубные карты). Карты с памятью применяются также в системах допуска в помещения и доступа к ресурсам компьютерных сетей (идентификационные карты).

  1. Смарт-карта обеспечивает широкий набор функций:
  2. разграничение полномочий доступа к внутренним ресурсам;
  3. шифрование данных с применением различных алгоритмов;
  4. формирование электронной цифровой подписи;
  5. ведение ключевой системы;
  6. выполнение всех операций взаимодействия владельца карты, банка и торговца.
  7. Некоторые смарт-карты обладают режимом «самоблокировки» при попытке несанкционированного доступа.
  8. Важными этапами подготовки и применения пластиковой карты являются персонализация и авторизация.

Персонализация происходит при выдаче карты покупателю. На карту записываются данные, позволяющие определить карту и ее владельца, а также осуществлять проверку платежеспособности карты при оплате или выдаче наличных. Первоначальным способом персонализации было эмбоссирование.

К персонализации относятся кодирование магнитной полосы и программирование микросхемы.

Кодирование магнитной полосы изготавливается, как правило, на том же оборудовании, что и эмбоссирование. При этом часть информации о карте, хранящая номер карты и время ее действия, одинаковая как на магнитной полосе, так и на рельефе.

Но бывают, случаются ситуации, когда после первичного кодирования требуется дополнительно внести информацию на магнитную полосу. В таком случае используются специальные устройства с функцией «чтение-запись».

Это возможно, в частности, когда PIN-код для пользования картой не формируется специальной программой, а выбирается клиентом по своему усмотрению.

Программирование микросхемы не требует особых технологических приемов, но зато имеет некоторые организационные особенности. Так операции по программированию отдельных областей микросхемы разнесены территориально и разграничены по правам различных сотрудников. Обычно эта процедура разбивается на три этапа:

  • на первом рабочем месте выполняется активация карты (ввод ее в действие);
  • на втором рабочем месте выполняются операции, связанные с обеспечением безопасности;
  • на третьем рабочем месте производится собственно персонализация.
  • Такие меры повышают безопасность и исключают возможные злоупотребления.

Источник: https://studwood.ru/1398472/finansy/zaschita_informatsii_elektronnyh_platezhnyh_sistem

Ссылка на основную публикацию