540 likes | 927 Views
E-BUSINESS Digitális Pénzügyek II. Elektronikus fizetőeszközök, elektronikus pénz, elektronikus pénztárca (bankkártyák, chipkártyák) Internetes vásárlás, internetes fizetési módszerek Ügyfélazonosítási módszerek (smartcard, biometria). 2002. november 6. Kártyatörténet.
E N D
E-BUSINESS Digitális Pénzügyek II. • Elektronikus fizetőeszközök, elektronikus pénz, • elektronikus pénztárca • (bankkártyák, chipkártyák) • Internetes vásárlás, internetes fizetési módszerek • Ügyfélazonosítási módszerek • (smartcard, biometria) 2002. november 6.
Kártyatörténet • 1950 – első plasztikkártya (Diners Club); név, számok, kódok • 1970-es évek – mágnescsíkkal ellátott kártyák (210 bit/inch • információ = kb. 80 alfanumerikus/7 bites karakter) • A mai mágneskártyák három részre vannak felosztva: • csak olvasható információkat tárol (megfelel az eredeti • mágnescsíknak) • 40 számjegyet tárol, 75 bit/inch sűrűséggel • írható-olvasható terület, 107 számjegy tárolására • Optikai kártyák: nagyobb információ tárolási sűrűség, néhány MB • adat tárolására; főleg az egészségügyben használatos • (pl. röntgen felvételek tárolására is alkalmas) • 1979-től – chipkártyák • Fajtái: • memóriakártyák • mikroprocesszoros chipkártyák • programozható intelligens kártyák
A bankkártyákról 1/5 • Hazai bankkártyák fajtái: • Betéti (debit) kártyák: a bankkártya használata csak fedezet ellenében lehetséges • Hitel (credit) kártyák: a kártya igényléséhez és használatához nem kell betétet elhelyezni; a felhasznált hitelkeret egy részét (5-10%) ált. havonta be kell fizetni. • VRC = Variable Repayment Creditcard • Terhelési (charge) kártyák: a felhasznált pénzt teljes egészében vissza kell fizetni a számlakivonat kézhezvétele után. • FRC = Fixed Repayment Creditcard
A bankkártyákról 2/5 • A bankkártyák típusa: • Konvertibilis (nemzetközi logós): a kártya • mögötti forint fedezet az egész világon • hozzáférhető, ahol a kártyán szereplő logó fel • van tűntetve. • Belföldi kártyák: csak belföldön használható, • nem konvertibilis.
A bankkártyákról 3/5 • A bankkártyák használhatóság szerinti csoportjai: • ATM kártyák: csak bankjegykiadó automatákban • használható, kizárólag készpénzfelvételre. • Online (elektronikus) kártyák: az állandó banki • összeköttetéssel rendelkező pontokon a számlánkról • közvetlenül fizethetünk vele és ATM-ekben is • használhatók. • Elfogadóhelyek típusa: online, offline • Kártyaelfogadó berendezés: POS terminál • Offline (dombornyomású) kártyák: offline elfogadó- • helyeken, helyi ügyfélazonosítás után, bizonyos limit- • összegig használható. POS terminálokon és ATM-ekben • is használhatók. • Kártyaelfogadó berendezés: imprinter (lehúzógép)
Kártya-szervezet ATM kártya Elektronikus (online) kártya Dombornyomású (offline) kártya Europay Cirrus CirrusMaestro Eurocard Mastercard VISA VISA Plus Visa Electron VISA Classic American Express nincs nincs American Express Diners Club nincs nincs Diners Club A bankkártyákról 4/5 Nemzetközi kártyaszervezetek és bankkártyáik
A bankkártyákról 5/5 • A bankkártyák jellemzői: • fajta: betéti, hitel vagy terhelési kártya • típus: nemzetközi logós, belföldi • kibocsátó bank • készpénzfelvétel díja bankfiókban ill. postán • készpénzfelvétel díja saját vagy egyéb ATM-ben • készpénzfelvétel díja külföldi ATM-ben • vásárlás (ált. ingyenes belföldön és külföldön is) • rendelkezésre álló belföldi ill. külföldi ATM-ek száma • elfogadóhelyek száma belföldön ill. külföldön • éves tagsági díj, zárási díj • készpénzfelvételi ill. vásárlási limit
Hazai bankkártya-történet 1988 – első hazai kibocsátású bankkártya; devizaszámlához kapcsolódott, csak külföldön lehetett használni 1989 – belföldi kártyák kibocsátása; csak a kibocsátó bank hálózatán belül fogadták el 1991 – nemzetközi logós belföldi használatú kártyák; kezdetben a bankok kétoldalú megállapodás alapján fogadták el 1996 – bankkártyás fizetéseknél konvertibilissé vált a forint (forintszámlához kötődő nemzetközi logós kártyákat külföldön is lehet használni) 1997 – első hazai kibocsátású hitelkártya (Visa Classic); Diners Club kártyák magyarországi megjelenése 2001 – bankkártya internetes vásárláshoz
Biztonsági problémák • a mágneses-alapú bankkártyák könnyen hamisíthatók • (a mágnescsík egy megfelelő olvasóberendezés segítségével • éppen olyan könnyen olvasható, mint egy floppy lemez) • PIN kód megszerzésének módszerei • vékony fóliát raknak a billentyűzetre, ami megőrzi a lenyomott • billentyűk helyét • franciaországi eset: ál-automata felállítása (’90-es évek elején) • hamis vagy lopott kártyával vásárlás • (sok helyen a zsúfoltság miatt csak aláírást kérnek) • a POS-ba letöltött feketelisták nem jelentenek igazi védelmet, • ugyanis ezeket csak naponta frissítik, a lopott kártyát viszont • azonnal felhasználják • a vásárlásnál a teljes egyenleget fel lehet használni !!! • (ATM-nél csak limitált összeget)
Chipkártyák 1/5 • 1970-es évek óta vannak forgalomban • olyan bankkártya, melybe mikrochipet szerelnek, amely • chip tartalmazza az elkölthető pénzösszegről az összes • információt • ha a chipben nyilvántartott összeg elfogyott a kártya • eldobható vagy feltölthető • pótolja az ATM – bank ill. a POS – bank közötti drága • online összeköttetést • a chip több biztonságot nyújt mint az online összeköttetés, • ezért a legújabb generációs kártyarendszer offline • biztonságosabb mint a mágneskártya: védi a tárolt • információt a sérüléstől és a lopástól
Chipkártyák 2/5 • A chipkártya (intelligens kártya, smartcard) a legfejlettebb • plasztikkártya; több ezer oldalnyi adatot tud tárolni a beépített • mikrochipben. • A chip lehet: • memóriachip • mikroprocesszor • A chipkártyák és a kártyaleolvasók közötti adatátvitel szerint: • érintkezős chipkártyák • érintkező nélküli chipkártyák • kombinált chipkártyák • A mikroprocesszoros chipkártyák multifunkciósak is lehetnek. • Egyes chipkártyákon mágnescsík is van.
Chipkártyák - Memóriakártyák 3/5 • elsősorban információ tárolására alkalmas • memóriachip van beágyazva a memóriakártyákba • a tárolt adatok leolvashatók és megváltoztathatók • az értéket tároló kártyák kezdőösszeggel kerülnek • forgalomba, ami minden használat után csökken • elektronikus pénzt tárol, ami a memóriachipben • lévő számokból áll • eldobható vagy feltölthető • Optikai vagy lézerkártyák • több MB digitálissá alakított adat tárolására képes • (szöveg, kép, hang, zene, szoftver stb.)
Chipkártyák – Mikroprocesszoros chipkártyák 4/5 • mikroprocesszor van beépítve a kártyába • adattárolásra és adatfeldolgozásra is képes • SPOM chip (self-programmable one-chip microcomputer) • ehhez a mikroszámítógéphez operációs rendszer is • tartozik: multitasking, multithreaded, multi-user smart card • operating system (SCOS) • (pl. Windows for Smart Cards) • Esettanulmány: SmarTACC rendszer • www.alfagas.hu/smart_h_new.html
Chipkártyák 5/5 Érintkezős chipkártyák: csak kártyaolvasón keresztül tudnak külső készülékekkel és számítógépekkel kommunikálni Érintkező nélküli chipkártyák: rádió adó-vevő van beágyazva, mely a kártyaolvasóval vagy más készülékkel jeleket vált (nem kell bedugni) Kombinált (hibrid) chipkártyák: kontakt-chippel és rádió adó-vevővel is fel van szerelve Multifunkciós (többalkalmazású) chipkártyák: mikroprocesszoros chipkártya; többféle feladat ellátására alkalmas (pl. azonosítás, belépés-ellenőrzés, pénzügyi, egészségügyi stb. alkalmazások)
Chipkártyafelhasználás területei • pénzügyek: a forgalomban lévő plasztik kártyákat mikroprocesszoros kártyák váltják fel; az ATM-eket és a kártyaelfogadó helyeket átalakítják, hogy chipkártya elfogadására alkalmasak legyenek; elektronikus pénztárca • távközlés: Mobiltelefon: SIM kártya; olyan mobiltelefonokat fejlesztenek ki, melyekbe még egy chipkártya, a felhasználó chip- alapú bankkártyája is behelyezhető online fizetéshez (pl. Motorola StarTAC); • TV: műholdas és kábeltelevíziós szolgáltatásoknál előfizetők azonosítására • egészségügy: kórtörténet, adatok, röntgen felvételek tárolására • tömegközlekedés: menetjegy vásárláshoz • törzsvásárlói programok: vásárlók azonosításához (pl. Shell) • személyazonosítás: épületekbe, parkolókba történő belépéshez • diákigazolvány: multifunkciós kártya (beléptetés, fénymásolás, számítógépek és könyvtár használata stb.) • közigazgatás: személyi igazolvány, jogosítvány, TB kártya stb.
Elektronikus pénztárca I. • az intelligens kártyák legkorábbi felhasználása • a smart kártyát készpénz befizetése ellenében, vagy • folyószámlánk terhére adott összeggel feltöltik, és ezt • az összeget maga a kártya tárolja • fizetéskor ez az összeg csökken a kártya memóriájában • anélkül, hogy ellenőrizni kellene a hitelképességet • kis összegű fizetésekhez, gyors, offline • fizetéskor nem kell aláírás sem, tehát mindkét fél • részéről minimális a kockázat • fizetéskor az elfogadóhely nem a folyószámlán végzi a • tranzakciót • újratölthető
Elektronikus pénztárca II. • A CEPS csoport (Europay International, Visa Espana/SERMEPA, • Visa International és ZKA) 1998. december végén közzétette • azokat a specifikációkat, amelyek segítségével a világ különböző • elektronikus pénztárca programjai képesek az együttműködésre. A közös elektronikus pénztárca specifikációk (CEPS, Common Electronic Purse Specifications) létrehozása jelentős lépés a nyílt elektronikus pénztárca szabvány megteremtése felé. • A specifikáció: • megadja mik a feltételei annak, hogy egy szervezet kompatíbilis • elektronikus pénztárca programot vezessen be • megköveteli az EMV szabványokkal való kompatibilitást • megfogalmazza a rendszer funkcionális követelményeit • a fokozott biztonság érdekében külön titkosítási kulcsot alkalmaz
EMV’96 szabvány A pénzzel feltölthető fizetőkártyák (chipkártyák) 1996-ban kialakított biztonsági szabványa. 1996 végén az Europay International, a MasterCard International és a Visa International egyezségre jutott, hogy közösen készítik el a chipkártyák integrációs szabványát EMV’96 néven. Az új szabvány a biztonságos fizetési módokat támogató SET szabványcsomagon alapul. Az EMV kialakította a pénzvilág első globális chipkártya infrastruktúráját. Segítségével lehetővé vált, hogy biztonságos körülmények között vásárolhassanak a kártyatulajdonosok hálózati számítógépen, PC-n vagy mobiltelefonon keresztül.
SET (Secure Electronic Transaction) szabvány • A MasterCard és a Visa által kidolgozott SET protokollszabvány • (1996. 02.01.) a bankkártya-alapú internetes tranzakciók biztonságos • lebonyolítását segíti. Az RSA titkosítási eljáráson alapul. Az alábbi • biztonsági követelményeket elégíti ki: • a rendelési és fizetési adatok bizalmas kezelése • a kártyatulajdonos mint vásárló azonosítása • a kereskedő mint eladó azonosítása • az adatok integritásának védelme elektronikus aláírások • használatával • a letagadhatatlanság (non-repudiation) garantálása • A protokoll teszi lehetővé a tranzakciót lebonyolító felek részére a • digitális aláírás részleteinek rögzítését. A protokoll megvalósításában • valamennyi résztvevőt: a vásárlót, az eladót, a feldolgozót, az • igazolószervezetet, valamint a bankokat megfelelő informatikai • alkalmazások képviselik, amelyek közül a szolgáltatás • igénybevevőjének elég csupán egy böngészővel rendelkeznie.
A SET elődei • A nyílt hálózatokon keresztül teljesített elektronikus átutalások • biztonsága érdekében kifejlesztett adatátviteli szabványok összefoglaló • neve: SEPP (Secure Payment Protocols) • A SET szabvány a következő javaslatokat használja fel: • Mastercard: IKP (Internet Keyed Protocol) • elektronikus fizetési protokoll • IBM fejlesztés • az RSA nyílt kulcsú titkosításon alapul • Visa: STT (Secure Transaction Technology) • pénzügyi tranzakciókhoz kifejlesztett biztonsági protokoll • Microsoft javasolta, de nem valósította meg • nem avatkozik bele a bank és ügyfele,vagy a kereskedő és • vásárlója közti üzleti kapcsolatba • digitális aláírást használ
Smartcard előnyei • olcsóbb kezelőberendezés mint a mágnescsíkos kártyáknál • könnyű áttelepíthetőség, mobilitás (nincs szükség online • kapcsolatra a bankkal) • széleskörű felhasználhatóság • tároló kapacitás • gyorsabb vásárlás (kis összeg esetén) • (nem kell ellenőrizni a kártya fizetőképességét) • nincs tranzakciós költsége • biztonságos • a kártya másolása nehezebb, költségesebb • a vonal nem lehallgatható, mert nincs vonali kapcsolat • információ-hozzáféréshez biztonsági szinteket rendelhetünk Smartcard hátránya • drágább mint a mágnescsíkos kártya
Biztonsági rés a smart kártyákban A feltöréshez egy vaku és egy mikroszkóp kell 2002. május 20. Brit komputerbiztonsági kutatók azt állítják, hogy egy vaku és egy mikroszkóp segítségével titkos információkat lehet leolvasni a széleskörűen használt smart kártyákról.
Az e-kereskedelmi rendszer Az elektronikus kereskedelmi rendszer 3 fő részből áll:- Elektronikus áruház- Elektronikus bank- Elektronikus pénztárca, (hitelkártya) egyéb fizetési formák Háttér a megfelelő árukészet és a szállításlogisztikai kapacitás.
Internetes vásárlás folyamata – Megrendelés, fizetés, szállítás
Internetes fizetési módszerek 1/3 • Jelenleg nem léteznek elfogadott szabványok az Interneten történő fizetések lebonyolítására. • Az Interneten való fizetés szempontjából két szintet különböztetünk meg: • A magasabb összegű vásárlások esetén a vásárlás során a • tranzakciós költségek és az időtényező legtöbbször nem okoz • problémát. Ez a makrofizetési szint. • Az alacsony összegű, lehetőleg gyors vásárlások során • a magas tranzakciós költség és idő ellenben már nem tenné • rentábilissá a vásárlást. Ez a mikrofizetési szint.
Internetes fizetési módszerek 2/3 Makrofizetés A makrofizetésre jelenleg általánosan elfogadott megoldás a hagyományos bankkártyák használata. Nyugat-Európában és Amerikában az Internetes bankkártyás fizetés tranzakciós költsége egy adott minimum díj mellett, 2-3% körül van, az ellenőrzési idő 30 másodpertől másfél percig tart. A bankkártyás fizetés legnagyobb problémája sokak szerint a felhasználók bizalmatlansága. A makrofizetés biztonsági problémájának megoldására már létezik egy kidolgozott rendszer: a SET.
Internetes fizetési módszerek 3/3 • Mikrofizetés • A mikrofizetés a néhány dollártól, az egy cent alatti fizetések • lebonyolítását jelenti. A néhány dollár körüli fizetések már nem • oldhatók meg a magas tranzakciós költségek miatt bankkártyával. • Megoldás: • mikrofizetésre is alkalmas anonim elektronikus pénz • nem teljesen anonim, kifejezetten mikrofizetésre kifejlesztett • elektronikus pénz
Elektronikus készpénz Az ideális kibertéri fizetőeszköz az elektronikus készpénz (e-cash) monetáris értéket testesít meg, amely közvetlen, azonnali cserére alkalmas. Elektronikus pénznek azokat a rendszereket nevezzük, amelyek az érmék és pénzjegyek jellemzőit a leginkább magukon hordozzák; tehát nem névre szólóak, értékegységekre tagolódnak, stb. Az elektronikus készpénz olyan monetáris értéket megtestesítő elektronikus formában tárolt mennyiség, melyet a benne megtestesülő érték közvetlenül cserére alkalmassá tesz és a fizetés a tranzakcióval egy időben, azonnal történik.
Az e-pénz tulajdonságai • könnyen azonosítható, tartós, a hamisítás költséges és bonyolult • más elektronikus pénzformáktól megkülönböztető sajátságokkal bír • előre kifizetett értéket képvisel nem pusztán hozzáférést egy • értéktárhoz (mint a bankkártyák) és ezért mindenki használhatja • banki közvetítés nélkül, egyszer költhető el, alacsony tranzakciós • költség mellett • fajtái: • érmeszerű forma: anonim zsetonalapú (token-based) elektronikus • készpénz, a hagyománykövetőbb fajta • bankkártyához hasonló: értékjelölt fizetési (float-based) fajta • biztonságos: az e-pénz elvesztése esetén egy másolat • segítségével újra használhatjuk, ha ellopják a sorozatszáma • alapján letilthatjuk
Az e-cash előnyei • korlátlan névtelenséget biztosít a vásárló számára, nem kell más • személyek előtt a vásárlónak személyazonosságát feltüntetnie • sem a bank sem a transzakcióban részt vevő más fél nem szerez • tudomást az ügylet tartalmáról, illetve a kereskedő is csak az ügylet • tartalmát ismeri, de a vásárló személyét nem • az eCash használata nem túl bonyolult, mind az eladó mind a • vásárló elektronikus pénztárcája hasonlóan használható • a bank szempontjából ennek a pénznek az a nagy előnye, • hogy a könyvelési pénz mindig a bank oldalán marad, és • ezzel együtt a kamatjövedelem is, amelyet a bank az • ügyfélnek jóváír • jelenleg az internetes eCash használata jogilag leginkább az • utazási csekkek használatával analóg
Az elektronikus pénz • Az elektronikus pénzeket a felhasználó azonosíthatóságának • lehetősége és a visszaigazolás léte alapján csoportosíthatjuk. • Fizetési mód: • azonosítható, ha felhasználója és felvevője transzparens • azonosíthatatlan, ha nincs lehetőség a tranzakció követésére. • Elektronikus pénz: • online pénz: a tranzakciót azonnali visszajelzés követi • offline pénz: a tranzakciót nem feltétlenül követi azonnal • visszajelzés • Az Interneten alapvetően három fizetési rendszer használható. • A készpénz hálózati megfelelője az elektronikus készpénz. Az értékét • a tokenek képviselik. • A csekkek elektronikus megfelelője hitel-, illetve bankkártyák, • amelyek bankszámla létezését feltételezik. • Biztonságos hitelkártya-bemutatási rendszerek.
Chipkártyával az Interneten I. A világon elsőként a BarclayCard vállalt MasterCard kártyákkal az EMV-szabványon alapuló internetes fizetési tranzakciót. A művelet bármely chipkártya-leolvasóval rendelkező PC-ről elvégezhető. Az EMV (Europay/MasterCard/Visa) szabványt a legnagyobb kártyatársaságok hozták létre azzal a céllal, hogy a bankkártyákkal végzett tranzakciókat biztonságosabbá tegyék. Az EMV kártyák a hagyományos mágnescsík helyett chipet tartalmaznak, mely egyértelműen azonosítja a kártyát és tulajdonosát, megakadályozva ezzel lopás, elvesztés és másolás okozta visszaéléseket. A kártyatársaságok 2005 január elsejétől a hagyományos mágnescsíkos bankkártyákkal kapcsolatos visszaélések által okozott kárt teljes mértékben a bankokra és a kereskedőkre hárítják.
Chipkártyával az Interneten II. A világ bankjai elfogadták az EMV-szabványon alapuló chipkártyát a mágnescsíkkal ellátott bankkártya utódjaként. Az Europay International kidolgozta a Smart Card Payment Protocol (SCPP, intelligens kártyás fizetési protokoll) technológiát, mellyel biztonságosan és egyszerűen megoldható a vásárlás az Interneten. Az SCPP a tranzakcióban résztvevőket azonosítja, hitelesíti és a pénzügyi adatok kezelésére a TLS (Transport Layer Security) Internet-szabványt alkalmazza, ami az SSL (Secure Socket Layer) protokoll utódja.
SSL (Secure Socket Layer) – Biztonsági Csatlakozó Réteg • ISO/OSI szállítási rétegben, TCP/IP alkalmazási rétegben fut • hálózaton továbbított üzenetek titkosítására használható • feladata, hogy a kliens és a szerver között létrejött megállapodás • alapján minden kérést, választ, adatot kódoljon és dekódoljon • protokoll réteg, amelyet egy kapcsolati protokoll és egy alkalmazási • protokoll közé lehet elhelyezni a biztonság növelése érdekében • elvégzi a titkosítást, integritási védelmet és a hitelesítést: • a titkosítást megbízható titkosító algoritmusok alapján • (RSA, DES, stb.), az integritás védelmet MAC algoritmussal, • a hitelesítésttanúsítványokkal és digitális aláírásokkal biztosítja • az adatok átvitele két különböző titkosító kulcspár alapján történik: • az egyikkel a szerver felé érkező kéréseket a másikkal a szervertől • kimenő adatokat titkosítja;ezek a session-kulcsok • Tehát az adatok már titkosítva kerülnek le a TCP kapcsolati szintre. • mindkét oldalon 2 kulcs van, az egyiket a bejövő adatok dekódolására • a másikat a kimenő adatok titkosítására használja
TLS (Transport Layer Security) • SSL-en alapul • TLS szabvány, SSL a szabvány implementációja • képes a felhasználók biztonságos azonosítására és a • programozók számára lehetővé teszi, hogy olyan TLS-t • felhasználó kódot írhassanak, mely anélkül képes más • folyamatokkal kódolt információk cseréjére, hogy a kódot • létrehozó programozónak a többi program kódját ismernie • kellene • olyan keretrendszert biztosít, melyet új, nyílt kulcsú és más • kódoló algoritmusok is felhasználhatnak
Internetes fizetés hazai biztonsága • bankkártyás fizetés SSL szabvánnyal: • a legelterjedtebb internetes fizetési megoldás; az SSL a vásárló PC-jén futó böngésző • és a távoli szerver közötti kommunikációs csatornát titkosítja; 128 bites titkosítás, • a kommunikáció során mozgó bankkártya adatok mások számára nem hozzáférhetőek • WebKÁRTYA: • virtuális Eurocard/Mastercard bankkártya, OTP fejlesztette ki, az internetes • tranzakciók ellenértékének kiegyenlítésére szolgál; a kártya OTP H@zibankon • keresztül feltölthető • Mobil Kártyakontroll (OTP): • Interneten kártyával végzett vásárlásról az ügyfél SMS üzenetet kap • Don’t Worry (K&H) szolgáltatás: • S@FENET fejlesztette ki; Internet plasztik kártya (csak internetes tranzakciókban • használható fel) kapcsolódik a szolgáltatáshoz; bankkártyás internetes vásárlásról • SMS-t küld, válasz SMS-ben a tranzakció megerősítését várja • SET alapú fizetés: • legbiztonságosabb, kiválóan alkalmas B2C típusú tranzakciók lebonyolítására; • SET: adatforgalmat titkosítja, digitális aláírással azonosítja a feleket, fizetési és • rendelési adatok integritását garantálja (az üzenet tartalmát ne lehessen később • megváltoztatni), szelektív hozzáférést biztosít az adatokhoz
Néhány tanács a biztonságos vásárláshoz • Vásároljunk high-tech és fizessünk low-tech módon. • A megrendelésre felhasználhatjuk a legkorszerűbb internetes megoldásokat, de • bankkártya információinkat inkább hagyományos módon (telefon, fax, levél) • továbbítsuk. Vagy fizethetünk postai utánvéttel is. • E-mailben soha ne küldjük el a bankkártyánk számát! • Körültekintéssel vásároljunk. • Ne adjuk meg a bankkártyánk számát olyan kereskedőnek, aki nem • ún. biztonságos szervert (secure server, https) használ. • A bankkártya számának továbbítása előtt tájékozódjunk a • kereskedőről. (Better Business Bureau, Internet Fraud Watch) • Internet Fraud Watch (csalásfigyelő) program: online csalások • bejelentését, nyomon követését ill. megakadályozását segíti elő • Nyissunk számlát. Egyes kereskedőknél a későbbiekben a • létrehozott számla terhére vásárolhatunk.
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 1/5 • Jövő: • PTD (Personal Trusted Device): kijelzővel és billentyűzettel • rendelkező smartcard eszköz • internetes vásárláshoz, mobiltelefonra • Chipkártya az internetes vásárlásban: • biztonsági műveletek végrehajtására képes • probléma: nem kontrollálható • PTD: Tamper* Resistant Sim + Tamper Proof • TRS = WIM (WAP Identity Module; azonosításra és aláírásra képes • smartcard; két különböző titkos, nyilvános kulcs kell hozzá) + • TP = ME (Mobile Equipment, mobiltelefon) • *tamper: hamisít
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 2/5 • internetes vásárlás mobiltelefonnal (mobiltelefon és Internet- • hozzáféréssel rendelkező PC csatlakoztatása): • olcsó, nem kell GSM hívás az internetes áruház eléréséhez; • a vásárlás PC-s, a fizetés mobil környezetben történik; • fizetés = a számla digitális aláírása • WAP-on keresztüli vásárlás: vásárlás PC-s környezetben, • fizetés mobiltelefonnal GSM hálón keresztül • bolti vásárlás mobiltelefonnal
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 3/5 • Internet Fizetési Protokollok: • pont-pont közötti rejtjelezés + digitális aláírás • anonimitás, információ elrejtés biztosítása • Fajtái: • Tranzakció alapú: egyik bankszámláról a másikra történő átutalás • IKP (Internet Keyed Payment) protokoll → SET (Secure Electronic • Transaction) szabványcsomag (OI, PI, hash értékek mozognak) • Probléma: banki tranzakció kell hozzá (költséges), online kapcsolat • kell a bank és a kereskedő között • Elektronikus pénz: olyan hamisítatlan bitsorozat, ami csak egy • példányban létezik (vak aláíráschip rejtjelezéstechnikai megoldás) • Mikrofizetés
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 4/5 • Az elektronikus pénz működése: • a vevő előállít egy véletlen számot, ebből a véletlen számból csinál • egy „veretlen pénzérmét” (ami megadott értékkel bír) • a véletlenszerűen generált számot 2x egymás után leírja • ezt a pénzt a vevő („lezárt borítékban”) elküldi a banknak, aki • vakon aláírja, majd visszaküldi a vevőnek (ez az aláírás nyomot hagy • a veretlen pénzérmén, vagyis az sorszámmal lesz ellátva) • a pénz beváltásakor a bank akkor fizet, ha az adott sorszámot más • még nem mutatta be (többször elköltött pénz problémája) • teljes anonimitást biztosít • banki felügyeleti kontroll hiánya jellemzi • gyakorlatban nem alkalmazzák (a technikai megoldás adott)
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 5/5 • A mikrofizetés rendszere: • kisösszegű fizetések esetén magas a tranzakciós költség • megoldás: offline korlátos, kockázatvállaláson alapul • szereplők: vevő, kereskedő, bróker, (bank) • a vevő a brókertől vásárol (sorszámozott) tokeneket • a vevő az így beváltott tokeneket költi el a kereskedőnél • a kereskedő beváltja a tokenjeit pénzre a brókernél • minden szereplő visszaélése felderíthető • felhasználók bizalma hiányában ezt a technikát nem alkalmazzák
Személyazonosítási módszerek 1/4 • Az egyértelmű azonosításhoz a következő, személyenként eltérő, • egyedi élettani vagy viselkedési jellemzőket használják: • aláírás • arckép • ujjlenyomat • talplenyomat • hangtónus • DNS genotípus • fehérvérsejt antigén • kézgeometria • az arc vagy a csukló ereinek hálózata • a szem retinájának vagy íriszének mintázata stb. • Ezeket a jellemzőket bonyolult műszerek és különféle érzékelők • segítségével lemérik, majd digitálissá alakítják és számítógépes • adatbázisokban tárolják későbbi összehasonlítás céljából.
Személyazonosítási módszerek 2/4 Ezt a technikát biometriának nevezik. Biometria: A biometriai rendszerek egy élő személy azonosságát ujjlenyomata, íriszének mintázata és más élettani jellemzők, vagy bizonyos viselkedési sajátosságok, mint például a kézírás vagy gépelési módszer alapján ellenőrzik le vagy ismerik fel automatikusan. A biometriai azonosítást már az egész világon alkalmazzák bankokban, pénzkiadó automatáknál, repülőtereken, hatóságoknál.