Nối tiếp phần 1, Bài giảng Thanh toán điện tử: Phần 2 - TS. Nguyễn Trần Hưng tiếp tục trình bày những nội dung về bảo mật trong thanh toán điện tử; các biện pháp bảo mật trong thanh toán điện tử; chữ ký điện tử; các giao thức đảm bảo an toàn; lựa chọn giải pháp trong thanh toán điện tử; cổng thanh toán điện tử; tiêu chí lựa chọn cổng thanh toán điện tử;... Mời các bạn cùng tham khảo!
BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG & NGUYỄN TRẦN HƯNG TRẦN THỊ THẬP BÀI GIẢNG THANH TOÁN ĐIỆN TỬ Tháng 12 năm 2019 CHƯƠNG 3: BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ 3.1 Vấn đề bảo mật toán điện tử Thanh toán điện tử hoạt động then chốt đảm bảo thực thi hoàn thiện hoạt động TMĐT xun suốt, bảo mật tốn điện tử vấn đề vô quan trọng cần thiết Việc đảm bảo an tồn tốn điện tử giúp cho bên tham gia người mua, người bán, tổ chức toán tin tưởng gia tăng hiệu tốn An tồn tốn điện tử hiểu an tồn thơng tin trao đổi chủ thể tham gia giao dịch tốn, an tồn cho hệ thống (hệ thống máy chủ thương mại thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngồi có khả chống lại tai hoạ, lỗi cơng từ bên ngồi ü Dưới góc độ người dùng Được sử dụng website công ty hợp pháp, đảm bảo độ an tồn tin cậy Kể mơi trường TMĐT, doanh nghiệp bán hàng website không bán hàng trực tiếp doanh nghiệp ln phải đăng ký kinh doanh có địa điểm vật lý rõ ràng, người dùng phải kiểm tra tính pháp lý rõ ràng doanh nghiệp Không chứa đựng virus đoạn mã nguy hiểm website Khi truy cập vào website rồi, người dùng băn khoăn website có chứa đựng đoạn mã nguy hiểm hay khơng? website có bị lây nhiễm phần mềm spyware hay trojan horse hay không? Khi truy cập vào có bị nguy hại đến máy tính hay thiết bị hay khơng Chính vấn đề thứ hai website phải đảm bảo độ an toàn cho người dùng, làm cho người dùng có cảm giác tin cậy Hoặc người dùng phải tự bảo vệ biện pháp bản: ví dụ hệ thống thiết bị người dùng ln có phương thức để đảm bảo an tồn cho máy móc cài chương trình phần mềm diệt virus máy tính, thường xuyên cập nhật phiên hệ điều hành Được bảo mật thông tin toán: mã toán, mật khẩu, số tài khoản… Khi tham gia giao dịch web, vấn đề thứ ba đáng lo ngại xuất phát từ phía người dùng, liệu thơng tin liên quan đến tốn có bảo vệ hay khơng? Thơng tin mã PIN, mật khẩu, mã xác thực thẻ tốn CVV, ngày có hiệu lựu thẻ tốn… ü Dưới góc độ doanh nghiệp Đứng góc độ doanh nghiệp, họ có số yêu cầu: Có khả bảo vệ website, bảo vệ hệ thống trước cơng bên ngồi Từ năm 2000 trở lại đây, tình trạng tội phạm mạng ngày tăng cao, có nhiều cơng vào website TMĐT: cơng thay đổi giao diện, DoS, DDoS Chính thế, thân doanh nghiệp có khả bảo vệ website trước cơng bên ngồi 68 Bảo vệ người tiêu dùng tham gia giao dịch tốn Đặt lợi ích người tiêu dùng lên hết Tức website lại phải đảm bảo, an tồn, tạo độ tin cậy Thơng qua số giao thức SET, SSL ü Dưới góc độ hệ thống Tính bí mật thơng tin + Đảm bảo thơng tin trao đổi bên tham gia không bị tiết lộ bên + Sử dụng phương pháp mã hóa thơng tin để đảm bảo tính bí mật thơng tin Tính tồn vẹn thơng tin + Đảm bảo cho thông tin trao đổi chiều không bị biến đổi trình truyền tin Bất kỳ sửa đổi hay thay mặt nội dung dù nhỏ dễ dàng bị phát + Sử dụng hàm băm để đảm bảo tính tồn vẹn thơng tin Tính sẵn sàng thông tin + Đảm bảo thông tin luôn sẵn sàng, đáp ứng yêu cầu truy cập dịch vụ cần thiết + Nếu muốn đảm bảo yêu cầu mà lại phải chống lại tất cơng từ bên ngồi khó - Tính chống từ chối phủ định + Đảm bảo tính chống lại từ chối phủ định giao dịch tốn thực thơng qua việc cung cấp chứng cụ thể + Để đảm bảo yêu cầu này, hệ thống thông tin bảo vệ người dùng chứng thực giao dịch xảy để đảm bảo quyền lợi cho người tiêu dùng Tính xác thực + Xác thực xác định xem tham gia vào quy trình giao dịch, trao đổi thơng tin phương tiện tốn Xác thực thơng tin cần làm rõ: chủ thể tham gia giao dịch ai, phương tiện tốn chủ thể gì? + Sử dụng chữ ký điện tử để xác thực người dùng, đối tượng tham gia giao dịch Quyền cấp phép + Xác định có quyền truy cập vào tài nguyên hệ thống, loại tài nguyên đượp phép sử dụng thông qua việc cung cấp chứng cụ thể Thực chất trình cấp phép ngăn ngừa liệu không hợp pháp, người không hợp pháp can thiệp vào người dùng + Cơ chế cấp phép chế so sánh cá nhân hay chương trình với thơng tin kiểm soát truy cập liên kết với nguồn lực truy cập Quyền kiểm sốt + Mục đích: Theo dõi lưu vết người dùng + Cung cấp chứng chứng minh có giao dịch xảy ra, để sau có phát sinh khiếu nại có chứng chống lại từ chối dịch vụ 69 3.2 Các loại hình cơng 3.2.1 Phishing ü Khái niệm Tấn cơng giả mạo lĩnh vực bảo mật máy tính, hành vi giả mạo ác ý nhằm lấy thông tin nhạy cảm tên người dùng, mật chi tiết thẻ tín dụng cách giả dạng thành chủ thể tin cậy giao dịch điện tử Các giao dịch thường dùng để đánh lừa người dùng đa nghi giao dịch xuất phát từ website xã hội phổ biến, trung tâm chi trả trực tuyến quản trị mạng Phishing loại hình gian lận (thương mại) Internet, thành phần Social Engineering – “kỹ nghệ lừa đảo” mạng Nguyên tắc phishing cách “lừa” người dùng gửi thông tin nhạy cảm tên, địa chỉ, mật khẩu, số thẻ tín dụng, mã thẻ ATM, số an sinh xã hội,… đến kẻ lừa đảo (scammer) Cách thực chủ yếu mô lại giao diện trang web đăng nhập (login page) website có thật, kẻ lừa đảo dẫn dụ nạn nhân (victim) điền thơng tin vào trang “dỏm” truyền tải đến (thay đến server hợp pháp) thực hành vi đánh cắp thông tin bất hợp pháp mà người sử dụng không hay biết Tấn công giả mạo thường thực qua thư điện tử tin nhắn nhanh, hay yêu cầu người dùng nhập thông tin vào website giả mạo gần giống hệt với website thật Ngay có sử dụng chứng thực máy chủ, có phải cần vài kĩ phức tạp xác định website giả mạo Tấn công giả mạo đơn cử kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng, khai thác bất tiện công nghệ bảo mật web Để chống lại hình thức cơng lừa đảo ngày tăng, người ta nỗ lực hoàn chỉnh hành lang pháp lý, huấn luyện cho người dùng, cảnh báo công chúng, tăng cường an ninh kĩ thuật ü Nguồn gốc tên gọi Nguồn gốc từ Phishing kết hợp từ Fish - Fishing Phreaking Fishing nghĩa gốc “câu cá” hiểu “câu” thơng tin mật khẩu, tài người dùng Mặt khác, tính chất gần giống kiểu công Phreaking (Chữ “Ph” hacker thay cho chữ “F” để tạo thành phishing cách phát âm gần giống) - biết đến lần hacker John Draper (biệt danh aka Captain Crunch) sử dụng “Blue Box” để công hệ thống điện thoại Mỹ nhằm thực gọi đường dài miễn phí sử dụng đường điện thoại người khác thực gọi bất hợp pháp,… vào đầu thập niên 1970, tên gọi khác Phone Phreaking Phishing xuất lâu, lần đầu biết vào khoảng năm 1996 hacker sử dụng để đánh cắp tài khoản khách hàng công ty AOL (American Online) – tài khoản bị đánh cắp thường gọi “phish” Cũng vào năm 1996, kỹ thuật phishing thảo luận thường xuyên Nhóm tin (NewsGroup) nhóm hacker “2600” tiếng Tuy nhiên, kỹ thuật sử dụng nhiều năm trước đó, khơng phổ biến Theo thời gian, công phishing không nhằm vào tài khoản internet AOL mà mở rộng đến nhiều mục tiêu, đặc biệt ngân hàng trực tuyến, dịch vụ TMĐT, toán mạng, hầu hết ngân hàng lớn Mỹ, Anh, Úc bị công phishing Vì nhằm vào đánh cắp credit card nên gọi 70 Carding ü Cách thức công Trước đây, hacker thường dùng trojan (gián điệp) đến máy nạn nhân để chương trình gửi mật hay thông tin đến kẻ công Sau cách dùng mánh lới lừa đảo lấy thông tin sử dụng nhiều Lừa đảo có nhiều cách, phổ biến dễ thực phishing Nếu nghe qua kỹ thuật “Fake Login Email” thấy phishing dựa theo nguyên tắc Để thực phishing cần hai bước chính: (1) Tìm cách dụ nạn nhân mở địa trang web đăng nhập giả Cách làm thơng qua đường liên kết email (2) Tạo web lấy thông tin giả giống ý thật Khơng có vậy, hacker cịn kết hợp nhiều xảo thuật khác tạo email (giả) địa lẫn nội dung cho có sức thu hút, mã hóa đường link (URL) addres bar, tạo IP server giả ü Cách phòng chống Phịng chống phishing khơng khó, quan trọng người dùng phải cẩn thận nhận trang đăng nhập có u cầu điền thơng tin nhạy cảm Như nói trên, cơng phishing qua hai giai đoạn phòng chống qua hai giai đoạn - Với email giả: Chúng ta thử lấy ví dụ email giả mạo danh ngân hàng Citibank gửi đến khách hàng QUOTE Received: from host70-72.pool80117.interbusiness.it ([80.117.72.70]) by mailserver with SMTP id ; Mon, 29 Sep 2003 02:17:00 +0000 Received: from sharif.edu [83.104.131.38] by host70-72.pool80117.interbusiness.it Postfix) with ESMTP id EAC74E21484B for; Mon, 29 Sep 2003 11:15:38 +0000 Date: Mon, 29 Sep 2003 11:15:38 +0000 From: Verify Subject: Citibank E-mail Verification: e-response@sécurescience.net To: E-Response References: In-Reply-To: Message-ID: Reply-To: Verify Sender: Verify MIME-Version: 1.0 Content-Type: text/plain Content-Transfer-Encoding: 8bit Dear Citibank Member, This email was sent by the Citibank server to verify your e-mail address You must complete this process by clicking on the link below and entering in the small window your Citibank ATM/Debit Card number and PIN that you use on ATM 71 This is done for your protection -t- becaurse some of our members no longer have access to their email addresses and we must verify it To verify your e-mail address and access your bank account, click on the link below If nothing happens when you click on the link (or if you use AOL)K, copy and paste the link into the address bar of your web browser http://www.citibank.com:ac=piUq3027qcHw003 X6CMW2I2uPOVQW/ y Thank you for using Citibank! C This automatic email sent to: e-response@sécurescience.net Do not reply to this email R_CODE: ulG1115mkdC54cbJT469 Nếu quan sát kỹ, thấy số điểm “thú vị” email này: + Về nội dung thư: Rõ câu cú, ngữ pháp lộn xộn có từ sai tả, ví dụ becaurse, this automatic Và rõ điều khó xảy ngân hàng email “chuẩn hóa” thành biểu mẫu thống Có chứa ký tự hash-busters – ký tự đặc biệt để vượt qua chương trình lọc thư rác (spam) - dựa vào kỹ thuật hash-based spam “-t-“, “K” phần thư “y”, “C” cuối thư Người nhận khác nhận spam với hash-busters khác Một email thật, có nguồn gốc rõ ràng đâu cần phải dùng đến “tiểu xảo” Phần header email xuất phát từ mail server Citibank Thay mango2-a.citicorp.com (mail server Citybank Los Angeles) lại đến từ Italia với địa host70-72.pool80117.interbusiness.it (80.117.72.70) vốn khơng thuộc quyền kiểm sốt CityBank Lưu ý, mặc định Yahoo Mail hay POP Mail Client khơng bật tính xem header, người sử dụng nên bật có nhiều điều hữu ích + Với liên kết dưới: Nhìn thống q xuất phát từ Citibank, thực tế xem đoạn phía sau chữ @ (xem link) Đó địa thật sd96V.pIsEm.Net địa giả từ Mạc Tư Khoa, Nga – hoàn tồn chẳng có liên quan đến Citibank Kẻ cơng lợi dụng lỗ hổng trình duyệt web để thực thi liên kết giả Có khả năng: Sử dụng ký tự @ Trong liên kết, có chứa ký tự @ trình duyệt web (web browser) hiểu thành phần đứng trước ký tự thích, thực thi thành phần đứng sau chữ @ Ví dụ link đường dẫn thực sd96V.pIsEm.NeT/3/?3X6CMW2I2uPOVQW Sử dụng ký tự %01 Trình duyệt khơng hiển thị thơng tin nằm phía sau ký tự Ví dụ Tên liên kết Lúc đưa trỏ chuột vào Tên liên kết trạng thái hiển thị thơng tin phía trước ký tự %01 - Với web giả Nếu nhấn vào liên kết email đưa người sử dụng đến trang đăng nhập (giả) Dù bên ngồi giống hệt trang thật, địa hay trạng thái nhìn có 72 vẻ thật Nhưng người sử dụng xem kỹ liên kết address bar thấy phía sau chữ @ địa thật Nếu điền thơng tin vào mắc bẫy Chắc ăn xem mã nguồn (view source) trang rõ form thông tin truyền đến citibank mà đến nơi khác Với cách tiếp cận theo kiểu “biết cách cơng để phịng thủ” trên, thấy rõ chất công phishing – công đơn giản, hiệu cao Một hiểu cách thức cơng người dùng có cách đối phó thích hợp - Tóm lại: + Cẩn thận với emal lạ, đặc biệt email yêu cầu cung cấp thông tin + Xem kỹ nội dung có xác, có giống với biểu mẫu thường gặp khơng Nếu sai tả phải lưu ý + Nếu có u cầu xác nhận xem kỹ liên kết, có ký tự @ hay %01 giả mạo + Nếu muốn mở link nên tơ khối copy dán vào trình duyệt, đồng thời phải xem kỹ địa xem liên kết có biến đổi thêm ký tự lạ @ hay không + Khi yêu cầu cung cấp thông tin quan trọng, tốt hết nên trực tiếp vào website phía u cầu để cung cấp thơng tin không theo đường liên kết gửi đến Cẩn thận nên email lại (khơng reply email nhận) với phía đối tác để xác nhận liên hệ với phía đối tác phone hỏi xem có kêu gửi thơng tin khơng cho an tồn + Với trang xác nhận thông tin quan trọng, họ ln dùng giao thức http sécure (có s sau http) nên địa có dạng https:// khơng phải http:// thường Ngân hàng yêu cầu xác nhận lại hà tiện dùng http:// “thường” mạo danh + Để phân tán rủi ro, tài khoản nên đặt mật khác nhau, nên thay đổi thường xuyên + Nên thường xuyên cập nhật miếng vá lỗ hổng bảo mật cho trình duyệt (web browser) Cài thêm chương trình phịng chống virus, diệt worm, trojan tường lửa không thừa + Cuối cùng, quan trọng đừng quên kiểm tra thường xuyên thông tin thẻ ATM, Credit Card, Tài khoản ngân hàng,… xem dịch chuyển luồng tiền vào 3.2.2 Sniffer ü Khái niệm Sniffer hình thức nghe hệ thống mạng Dựa điểm yếu chế TCP/IP Hiện nay, người dùng sử dụng dịch vụ web yêu cầu phải đăng nhập ID mail, tài khoản diễn đàn…v.v Trong hệ thống mạng LAN hay wirelessLAN, việc bị kẻ xấu sử dụng chương trình cain&Abel, wireShark hay Ethereal để capture, việc bị lộ ID điều làm nhiều người đau đầu Khởi đầu Sniffer tên sản phẩm Network Associates có tên Sniffer Network Analyzer Đơn giản cần gõ vào từ khố Sniffer cơng cụ tìm kiếm nào, 73 ta có thơng tin Sniffer thông dụng Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thơng tin (trong hệ thống mạng) Tương tự thiết bị cho phép nghe đường dây điện thoại Chỉ khác mơi trường chương trình Sniffer thực nghe nén mơi trường mạng máy tính Tuy nhiên giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân (binary) Bởi để nghe hiểu liệu dạng nhị phân này, chương trình Sniffer phải có tính biết phân tích nghi thức (protocol analysis), tính giải mã (decode) liệu dạng nhị phân để hiểu chúng Trong hệ thống mạng sử dụng giao thức kết nối chung đồng Người sử dụng sử dụng Sniffer Host hệ thống mạng người sử dụng Chế độ gọi chế độ hỗn tạp (promiscuous mode) Sniffer có hai hình thức: Active - chủ động (switch) Passive - thụ động (hub Các hình thức Sniffer kỹ thuật máy tính nhằm khai thác thơng tin riêng tư: Bị nhìn trộm gõ Password, bị nghe điện thoại, bị đọc trộm thư hay E-mail, bị nhìn trộm nội dung chat ü Sử dụng Sniffer Sniffer thường sử dụng vào hai mục đích khác biệt Theo hướng tích cự, công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Cũng theo hướng tiêu cực chương trình cài vài hệ thống mạng máy tính với mục đích đánh hơi, nghe thông tin đoạn mạng Dưới số tính Sniffer sử dụng theo hướng tích cực tiêu cực: - Tự động chụp tên người sử dụng (username) mật khơng mã hố (clear text password) Tính thường hacker sử dụng để công hệ thống - Chuyển đổi liệu đường truyền để quản trị viên đọc hiểu ý nghĩa liệu - Bằng cách nhìn vào lưu lượng hệ thống cho phép quản trị viên phân tích lỗi mắc phải hệ thống lưu lượng mạng Ví dụ, gói tin từ máy A khơng thể gửi sang máy B - Một số Sniffer tiên tiến cịn có thêm tính tự động phát cảnh báo công thực vào hệ thống mạng mà hoạt động (intrusion detecte service) - Ghi lại thông tin gói liệu, phiên truyền… Tương tự hộp đen máy bay, giúp quản trị viên xem lại thơng tin gói liệu, phiên truyền sau cố… phục vụ cho cơng việc phân tích, khắc phục cố hệ thống mạng ü Hoạt động Sniffer Công nghệ Ethernet xây dựng nguyên lý chia sẻ Theo khái niệm tất máy tính hệ thống mạng cục chia sẻ đường truyền hệ thống mạng Hiểu cách khác tất máy tính có khả nhìn thấy lưu lượng liệu truyền đường truyền chung Như phần cứng Ethernet xây dựng với tính lọc bỏ qua tất liệu không thuộc đường truyền chung với 74 Sniffer hoạt động chủ yếu dựa phương thức cơng ARP Nó thực điều nguyên lý bỏ qua tất Frame có địa MAC khơng hợp lệ Khi Sniffer tắt tính lọc sử dụng chế độ hỗn tạp (promiscuous mode) Nó nhìn thấy tất lưu lượng thơng tin từ máy B đến máy C, hay lưu lượng thông tin máy hệ thống mạng Miễn chúng nằm hệ thống mạng Quá trình “đầu độc” ARP diễn sau: + Host A Host B Máy tính “nói chuyện” với + Host C “kẻ Sniffer” + Ở Host A bảng ARP có lưu địa IP MAC tương ứng Host B + Ở Host B bảng ARP có lưu địa IP MAC tương ứng Host A + Host C thực trình nghe lén: + Host C gửi ARP packet tới Host A Host B có nội dung sau: “ tơi A, B, MAC IP XX, YY” + Host A nhận lầm Host C Host B + Host B nhận lầm Host C Host A = > Q trình “nói chuyện” Host A Host B, tất thông tin bị Host C “nghe thấy” ü Cách phòng chống Sniffer Thứ nhất: chương trình thuộc dạng ban đầu phải quét địa IP mạng, có IP hacker tiến hành sniffer, cách vơ hiệu hóa Netbios name nhằm ngăn cản dị tìm IP chương trình (Hình 3.1) Hình 3.1: Bước Thứ hai: mặt cấu chương trình làm việc dựa phương thức thay đổi bảng ARP công theo kiểu "Man in the midle" Cách khắc phục: khóa cứng bảng ARP chọn dạng ARP startic, làm việc Client, hay config trực tiếp Router! để tự bảo vệ khóa cứng ARP máy để tránh bị sniffer 75 Hình 3.2: Gõ câu lệnh Hình 3.3: Gõ câu lệnh Hình 3.4: Gõ câu lệnh 76 Hình 3.11: Quy trình gửi thơng điệp sử dụng chữ ký số - Bước 1: Tạo hợp đồng gốc - Bước 2: Sử dụng hàm băm (thuật toán Hash) để chuyển từ hợp đồng gốc sang hợp đồng rút gọn - Bước 3: Người gửi sử dụng khóa riêng để mã hóa hợp đồng rút gọn Hợp đồng rút gọn sau mã hóa gọi chữ ký số - Bước 4: Người gửi mã hóa hợp đồng gốc chữ ký số sử dụng khóa cơng khai người nhận Hợp đồng gốc chữ ký số sau mã hóa gọi phong bì số - Bước 5: Người gửi gửi phong bì số hóa cho người nhận - Bước 6: Khi nhận phong bì số hóa, người nhận sử dụng khóa riêng để giải mã phong bì số nhận hợp đồng gốc chữ ký số người gửi - Bước 7: Người nhận sử dụng khóa cơng khai người gửi để nhận dạng chữ ký số người gửi (là thông điệp mã hóa hàm Hash) - Bước 8: Người nhận sử dụng thuật toán băm để chuyển hợp đồng gốc thành hợp đồng rút gọn số bước mà người gửi làm - Bước 9: Người nhận so sánh thông điệp số vừa tạo bước với thông điệp số nhận bước (nhận sau giải mã phong bì số) 3.3.4 Các giao thức đảm bảo an toàn 3.3.4.1 SSL (Sécure Sockets Layer) Trong TMĐT, giao dịch thực chủ yếu thông qua mạng Internet, mạng truyền thông mở, vậy, thơng tin thương mại bên dễ bị kẻ xấu lấy trộm sử dụng vào mục đích bất Giải pháp giải vấn đề sử dụng giao thức lớp ổ cắm an toàn (SSL - Sécure Sockets Layer) Lớp ổ cắm an tồn chương trình an tồn cho việc truyền thơng web, 93 hãng Netscape Communication phát triển năm 1994 phương pháp bảo đảm an toàn kết nối khách (client) – chủ (server) môi trường Internet Ngày giao thức Sécure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hố thơng tin ü Khái niệm SSL cơng nghệ để mã hóa việc truyền liệu trình duyệt web máy chủ web giúp cho việc truyền thông tin qua mạng thực cách an tồn bảo mật Cơng nghệ sử dụng thường xuyên trang web ngân hàng trực tuyến trang web TMĐT ü Đặc điểm - SSL tích hợp sẵn vào Web browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn với nhiệm vụ chính: xác thực server, xác thực client, mã hóa kết nối - Địa web bảo mật SSL bắt đầu với https: thay http: với biểu tượng ổ khóa màu xanh - Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an tồn: + Xác thực: đảm bảo tính xác thực trang web mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng + Mã hố: đảm bảo thơng tin khơng thể bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận + Toàn vẹn liệu: đảm bảo thông tin không bị sai lệch phải thể xác thơng tin gốc gửi đến - Với việc sử dụng SSL, Web site cung cấp khả bảo mật thơng tin, xác thực toàn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP - SSL sử dụng phương pháp mã hóa khóa cơng khai với thuật tốn RSA dùng để mã hóa SSL cho phép: + Client server nhận dạng lẫn + Sử dụng chứng thực số để chứng thực tính tồn vẹn + Mã hóa tồn thơng tin để đảm bảo tính bí mật Ø Hoạt động SSL Khi trình duyệt máy khách đến Website bí mật máy chủ, máy chủ gửi lời chào tới trình duyệt Trình duyệt đáp lại lời chào Việc tiến hành trao đổi lời chào, bắt tay cho phép máy tính định chuẩn mã hố nén (mà chúng hỗ trợ) Trình duyệt máy khách yêu cầu máy chủ đưa chứng số Máy 94 chủ gửi cho trình duyệt chứng cơng nhận CA Trình duyệt kiểm tra chữ ký số có chứng máy chủ, dựa vào khố cơng khai CA, khố lưu giữ trình duyệt Hoạt động xác thực máy chủ thương mại Máy khách máy chủ thoả thuận trao đổi phải giữ bí mật, thơng tin quan trọng Để thực bí mật, SSL sử dụng mã hố khố cơng khai (khơng đối xứng) mã hố khố riêng (đối xứng) Thoạt đầu, trình duyệt sinh khố riêng dùng chung cho hai Sau đó, trình duyệt mã hố khố riêng khố cơng khai máy chủ Khố cơng khai máy chủ lưu giữ chứng số, máy chủ gửi chứng cho trình duyệt trình xác thực Một khố mã hố, trình duyệt gửi cho máy chủ Ngược lại, máy chủ giải mã thông báo khố riêng tìm khố riêng dùng chung Tất thông báo máy khách máy chủ mã hoá khoá riêng dùng chung (cũng biết đến khoá phiên) Sau kết thúc phiên giao dịch, khoá phiên bị huỷ bỏ Một kết nối lại bắt đầu tương tự 3.3.4.2 SET (Sécure Electronic Transaction) Giao thức SSL có khả mã hố thơng tin (như số thẻ tín dụng khách hàng) đảm bảo an toàn gửi từ trình duyệt người mua tới website người bán hàng Tuy nhiên, giao dịch mua bán web không đơn Số thẻ tín dụng cần phải ngân hàng người mua kiểm tra để khẳng định tính hợp lệ giá trị thẻ tín dụng tiếp giao dịch mua bán phải thực SSL không giải vấn đề Một giao thức thiết kế để hoàn tất bước giao dịch mua bán Internet giao thức giao dịch điện tử an toàn (SET - Sécure Electronic Transaction) Giao dịch điện tử an toàn (SET), Visa International, MasterCard, Netscape Microsoft phát triển vào năm 1996, thiết kế đặc biệt để bảo vệ giao dịch toán TMĐT ü Khái niệm SET (Sécure Electronic Transaction) giao thức giao dịch điện tử an toàn, sử dụng mật mã để cung cấp tính bảo mật cho thơng tin, đảm bảo tính tồn vẹn toán, cho phép xác thực thực thể với ü Đặc điểm - SET sử dụng chứng thực điện tử để xác thực bên tham gia giao dịch TMĐT bao gồm người mua, người bán ngân hàng người bán Kỹ thuật mã hố khố cơng cộng sử dụng việc đảm bảo an tồn thơng tin chuyển Web + Khác với giao thức SSL có thực thể người chủ sở hữu thẻ, người kinh doanh quan chứng thực (CA), SET có thêm thực thể cổng tốn Đây cổng kết nối Internet với mạng độc quyền ngân hàng Mỗi thực thể tham gia cần chứng thực riêng - Để tiến hành giao dịch, người bán hàng cần phải có chứng thực điện tử phần mềm SET đặc biệt Người mua cần phải có chứng thực điện tử phần mềm ví tiền số hố 95 - Trong giao thức SET tồn q trình giao dịch bí mật: + Doanh nghiệp/ Người bán thông tin tốn + Tổ chức tài khơng biết thơng tin đơn hàng ü Quy trình giao dịch SET - Bước 1: Người mua truy cập vào ví điện tử, ví điện tử tự động lựa chọn tài khoản thẻ lưu trữ ví tiến hành khai báo thông tin cách tự động - Bước 2: Thơng tin tốn truyền tải tự động máy chủ website bán hàng - Bước 3: Máy chủ website bán hàng gửi yêu cầu xác thực thông tin tới ngân hàng website thông qua cổng toán - Bước 4: Ngân hàng website bán hàng gửi tiếp yêu cầu xác thực ngân hàng phát hành thẻ - Bước 5: Ngân hàng phát hành thẻ kiểm tra thơng tin, tiến hành tốn sau gửi kết ngân hàng website bán hàng - Bước 6: Ngân hàng website bán hàng gửi tiếp kết thông báo máy chủ website bán hàng - Bước 7: Website bán hàng tiến hành giao hàng cho người mua ü Hạn chế SET Yêu cầu phần mềm, phần cứng chuyên dụng với chi phí cao, độ trễ giao dịch tính phức tạp thuật tốn mã hóa cơng khai thường xuyên tiến hành giao dịch với ngân hàng trung gian, hệ thống cồng kềnh trình giao dịch chậm, tổ chức tài phải trả thêm phí cài đặt trì PKI cho CA, giao dịch dựa tài khoản như: séc điện tử không hỗ trợ SET CÂU HỎI CHƯƠNG Trình bày vấn đề bảo mật tốn điện tử? Phân tích cần thiết phải bảo mật tốn điện tử? Mơ tả loại hình cơng sau đây: (1) Phishing; (2) Sniffer; (3) Keylogger Mơ tả loại hình công sau đây: (1) Trojan horse; (2) Trộm Cokkies? Nêu biện pháp bảo mật toán điện tử? Trình bày phương pháp kiểm sốt truy cập xác thực? Trình bày tầm quan trọng chữ ký điện tử giao dịch TMĐT Trình bàt giao thức đảm bảo an tồn cho TMĐT TÀI LIỆU THAM KHẢO [17] Nguyễn Văn Hùng (chủ biên), TMĐT - cẩm nang, NXB Kinh tế TP Hồ Chí Minh 2013 [18] Thái Thanh Sơn Thái Thanh Tùng, TMĐT thời đại số, NXB Thông tin 96 Truyền thơng, 2017 [19] Đàm Gia Mạnh, Giáo trình An toàn liệu TMĐT, NXB Thống Kê, 2009 [20] Đàm Gia Mạnh, Giáo trình Hệ thống thơng tin quản lý, NXB Thống Kê, 2017 [21] Hoàng Đăng Hải, Quản lý An tồn thơng tin, NXB Khoa học Kỹ thuật, 2018 [22] Bernd W Wirtz, Digital Business Models, Concepts, Models, and the Alphabet Case Study, Springer, 2019 [23] Kenneth C Laudon Carol Guercio Traver, E-commerce - business technology society, 10th, PEASON 2014 [24] Andreas Meier & Henrik Stormer, eBusiness & eCommerce - Managing the Digital Value Chain, Springer, 2009 [25] Dave Chaffey, E-business and E-commerce Management: Strategy, Implementation and Practice – 6th, Pearson Education, 2015 [26] Arch G Woodside & Peter J LaPlaca, Handbook of Strategic e-Business Management, Springer-Verlag Berlin Heidelberg, 2014 [27] Kenneth C Laudon & Carol Guercio Traver: E-commerce Business, Technology, Society: 13th edition: Pearson Publishing House, 2017 97 CHƯƠNG 4: LỰA CHỌN GIẢI PHÁP TRONG THANH TỐN ĐIỆN TỬ 4.1 Cổng tốn điện tử Thuật ngữ cổng toán (payment gateway) hay cổng tốn điện tử thuật ngữ có nhiều cách hiểu tiếp cận Quan điểm đầu tiên, cổng toán trước hiểu hệ thống toán cung cấp tổ chức, doanh nghiệp chuyên xử lý giao dịch liên quan đến thẻ toán cho website TMĐT Với quan điểm trên, Việt Nam trước có vài cổng tốn túy: Onepay, Smartlink Ở góc độ tiếp cận hẹp hơn, cổng toán hiểu đơn giản hệ thống phần mềm phát triển đơn vị, nhà cung cấp định với mục đích hỗ trợ website bán hàng, website TMĐT liên kết với ngân hàng, giúp cho giao dịch người mua người bán kênh trở nên thuận tiện nhanh chóng họ thực giao dịch chuyển tiền trực tuyến website người bán Với phạm vi nghiên cứu học phần, tiếp cận cổng toán điện tử cách tổng quát Về chất, cổng toán dịch vụ cho phép khách hàng thực toán trực tuyến website TMĐT Cổng toán cung cấp hệ thống kết nối an tồn tài khoản tốn khách hàng (tài khoản thẻ, ví điện tử) với tài khoản website bán hàng, cho phép cá nhân doanh nghiệp toán nhận tiền internet cách nhanh chóng, tiện lợi bảo vệ an toàn Tất đơn vị cung cấp dịch vụ cổng toán (PSP: Payment Service Provider ) Các đơn vị, chủ quản lý website TMĐT thay phải trì kết nối với đơn vị toán riêng lẻ (ngân hàng) cần sử dụng dịch vụ mà PSP cung cấp PSP xử lý đa dạng phương tiện toán mà khách hàng sử dụng PSP đảm nhận việc kết nối, chấp nhận toán qua ngân hàng phương tiện mà khách hàng sử dụng Về cổng tốn điện tử có chức sau đây: - Nhận thông tin giao dịch trực tuyến website bán hàng trực tuyến - Xử lý thông tin Cổng toán trực tuyến - Xử lý giao dịch trừ tiền ngân hàng kết nối tốn - Thơng báo kết giao dịch website bán hàng trực tuyến 4.2 Tiêu chí lựa chọn cổng tốn điện tử Hiện thị trường có nhiều cổng toán điện tử khác nhau, cổng tốn có ưu điểm quy trình hoạt động riêng Do làm website, doanh nghiệp có hội lựa chọn cổng tốn tốt phù hợp Để lựa chọn cổng toán trực tuyến phù hợp, doanh nghiệp cần cân nhắc tiêu chí sau đây: (1) Danh tiếng (Uy tín): Lựa chọn cổng tốn cơng ty danh tiếng, có thương hiệu uy tín khơng giúp doanh nghiệp cảm thấy an tâm mà gia tăng niềm tin với người tiêu dùng họ Chính thế, website bán hàng nên lựa chọn cổng tốn uy tín lâu năm thị trường cơng nhận có thương hiệu lĩnh vực giải pháp tốn (2) Khả tương thích hệ thống: Lựa chọn cổng toán nên cân nhắc tới yếu 98 tố thứ hai tính tương thích với hệ thống website có Website bán hàng nên kiểm tra lại thơng tin Hosting mình, cho dù dịch vụ Website Hosting doanh nghiệp tích hợp cổng tốn hay khơng cổng tốn cần dễ dàng tích hợp với phần mềm mua hàng trực tuyến website Một cách tổng quát xem xét cổng toán tích hợp tốt với tảng website bán hàng – kỹ thuật thiết kế Nếu cần nhiều thủ thuật lộn xộn phức tạp để kết hợp nhuần nhuyễn vào cấu trúc website doanh nghiệp nên suy nghĩ lại lựa chọn Hiện có nhiều cổng toán trực tuyến, loại bỏ lựa chọn khơng tương thích với hệ thống mà doanh nghiệp sử dụng (3) Bảo mật: Vấn đề quan tâm lớn lựa chọn cổng toán vấn đề bảo mật Chính cổng toán điện tử toán trung gian người mua - người bán – đơn vị toán, địi hỏi phải có khả bảo mật cao để bảo mật thông tin khách hàng doanh nghiệp Doanh nghiệp lựa chọn cổng toán an tồn bảo mật việc doanh nghiệp xây dựng niềm tin vào danh tiếng cho Bản thân doanh nghiệp phải hiểu chế phát ngăn chặn gian lận – tích hợp vào cổng toán để tránh vấn đề rủi ro tránh việc mua hàng giả mạo Các website bán hàng lựa chọn cổng tốn đạt chứng PCI DSS, cấp độ Service Provider (cấp độ Nhà cung cấp dịch vụ loại 1) để sử dụng dịch vụ, thân cổng tốn đạt chửng chứng cho việc họ đạt mức an toàn tối đa Đồng thời nhấn mạnh vào biện pháp an ninh xây dựng Tokenization – liệu thẻ tín dụng lưu trữ dạng mã với số mặt nạ riêng ************1111 (dấu * không đại diện cho điều gì, đơn giản tồn số thẻ tín dụng với 16 chữ số khơng lưu trữ mạng doanh nghiệp) Điều cho phép bạn thay liệu thẻ hệ thống kinh doanh nội ID Ngoài doanh nghiệp nên cân nhắc lựa chọn loại hình cổng tốn Cổng tốn có lưu trữ (hosted payment gateway) chuyển hướng khách hàng bạn sang trang tốn lưu trữ an tồn Sau toán, khách hàng đưa trở lại website bạn Đơn hàng xác nhận trình hồn tất Cổng tốn khơng lưu trữ (non-hosted payment gateway) cho phép khách hàng bạn nhập thông tin chi tiết trực tiếp website bạn Tham khảo thêm: Chứng PCI DSS Chuẩn bảo mật PCI DSS đưa PCI Sécurity Standards Council (bao gồm thành viên tổ chức thẻ quốc tế: Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International) Mục đích PCI DSS bảo đảm an tồn cho liệu thẻ xử lý lưu trữ ngân hàng doanh nghiệp toán PCI DSS giúp đưa chuẩn mực bảo mật thơng tin thẻ áp dụng tồn cầu Theo đó, tất tổ chức có liên quan đến việc truyền tải, xử lý lưu trữ liệu thẻ toán (được gọi “Cardholder Data”) phải tuân thủ theo tiêu chuẩn PCI DSS 99 PCI DSS là hệ thống yêu cầu để đáp ứng chuẩn mực an ninh, sách, quy trình, cấu trúc mạng, hệ thống phần mềm số yếu tố khác Tập hợp chuẩn mực định hướng cho ngân hàng doanh nghiệp toán đảm bảo an ninh cho liệu thẻ toán Về PCI DSS tập hợp nguyên tắc yêu cầu liên quan tới vấn đề sau: Xây dựng trì hệ thống mạng bảo mật - Yêu cầu 1: Xây dựng trì hệ thống tường lửa để bảo vệ liệu thẻ - Yêu cầu 2: Khơng sử dụng tham số mật có sẵn từ nhà cung cấp hệ thống Bảo vệ liệu thẻ toán - Yêu cầu 3: Bảo vệ liệu thẻ toán lưu hệ thống - u cầu 4: Mã hóa thơng tin thẻ đường truyền giao dịch Xây dựng trì an ninh mạng - Yêu cầu 5: Sử dụng cập nhật thường xuyên phần mềm diệt Virus - Yêu cầu 6: Xây dựng trì hệ thống ứng dụng đảm bảo an ninh mạng Xây dựng hệ thống kiểm soát xâm nhập - Yêu cầu 7: Hạn chế tiếp cận với liệu thẻ toán - Yêu cầu 8: Cấp theo dõi tài khoản truy nhập hệ thống nhân viên - Yêu cầu 9: Giới hạn phương pháp tiếp cận vật lý với liệu thẻ Theo dõi đánh giá hệ thống thường xuyên - Yêu cầu 10: Kiểm tra lưu tất truy nhập vào hệ thống liệu thẻ - Yêu cầu 11: Thường xuyên đánh giá thử nghiệm lại quy trình an ninh hệ thống Chính sách bảo vệ thơng tin - u cầu 12: Xây dựng sách bảo vệ thơng tin (4) Phương thức toán chấp nhận: Một cổng toán cung cấp linh hoạt đa dạng loại hình tốn khả thành cơng đơn hàng cao Chính lựa chọn cổng toán với nhiều phương thức toán đa dạng, khác cho người dùng làm gia tăng khả mua hàng khách hàng Website bán hàng phải xác định khách hàng đối tượng nào, bán hàng cho doanh nghiệp/ tổ chức chủ yếu hay cho cá nhân chủ yếu; bán hàng cho khách nước chủ yếu hay khách nước chủ yếu, từ xem xét cân nhắc xem phương tiện toán phù hợp với loại đối tượng khách hàng; cân nhắc xem cổng tốn nước hay nước ngồi phù hợp hơn, từ sở để đưa định nên lựa chọn cổng tốn Hiện hầu hết cổng tốn chấp nhận toán với thẻ Visa, MasterCard, American Express thẻ nội địa, nhiều cổng tốn cịn tích hợp cho phép tốn ví điện tử, có đa dạng linh hoạt loại cổng toán cho website bán hàng lựa chọn mà khơng phải băn khoăn q nhiều 100 (5) Phí dịch vụ tốn: Chi phí cho dịch vụ toán mà website trả cho cổng toán vấn đề quan trọng Giống hầu hết dịch vụ, sử dụng dịch vụ bên thứ ba cổng tốn, chắn có khoản phí liên quan, lựa chọn cổng toán phù hợp với ngân sách quy mô doanh nghiệp điều cần thiết Website bán hàng cần cân nhắc số khoản phí sau, trước lựa chọn cổng tốn: - Phí đăng ký dịch vụ/ chi phí thiết lập: thơng thường trả lần đăng ký - Phí trì tài khoản hàng tháng/ phí quản trị: phí toán hàng tháng, cổng tốn thu phí - Phí xử lý giao dịch: phí trả cố định giao dịch phát sinh (tùy loại cổng toán mà thu phí khác nhau) - Phí tốn thẻ: phí trả theo tỉ lệ dựa giá trị giao dịch, phí giao động từ 1,5% đến 4% giá trị giao dịch Bên cạnh cịn có số loại phí bổ sung cổng tốn mà website bán hàng cần cân nhắc: - Phí xác minh địa chỉ: kiểm tra địa toán khớp với địa toán hồ sơ với nhà cung cấp chưa - Phí hủy bỏ: Nếu bạn dừng sử dụng tài khoản sớm hợp đồng, bạn phải trả khoản phạt - Phí bồi hồn: Bạn phải trả phí khách hàng bạn khơng chấp nhận tốn - Phí tối thiểu hàng tháng: Có thể có phí tối thiểu hàng tháng cho dù bạn có giao dịch hay khơng - Phí phát hành: Phí đưa cho việc tạo giấy tờ cho tài khoản bạn Vì vậy, tốt hiểu tất loại phí mức phí trước đưa định rõ ràng (6) Yếu tố khác: Ngồi cịn vài tiêu chí khác mà website bán hàng cân nhắc: - Tốc độ xử lý giao dịch: nhanh hay chậm, mức độ nào, chấp nhận hay khơng? - Quy trình tốn: quy trình đơn giản hay phức tạp, gồm bước? - Thời gian lưu trữ tiền khách hàng: nhà cung cấp cổng toán có lịch trình tốn khác Một số lưu giữ tiền khách hàng vòng 30 ngày Một số chuyển tiền cho bạn sau giao dịch Một số khác có ngày quy định để chuyển tiền, số lại chuyển tiền theo ngày 4.3 Một số cổng toán điện tử 4.3.1 Cổng toán điện tử nước 4.3.1.1 Cổng tốn Napas (Napas.com.vn) Cơng ty Cổ phần Thanh tốn Quốc gia Việt Nam (NAPAS) thành lập vào năm 101 2004, đổi tên từ Công ty Cổ phần Chuyển mạch Tài Quốc gia Việt Nam (Banknetvn) kể từ ngày 04/02/2016, sở sáp nhập với Công ty CP Dịch vụ thẻ Smartlink để xây dựng Trung tâm chuyển mạch thẻ thống theo đạo Thủ tướng Chính phủ Ngân hàng Nhà nước Việt Nam Là đơn vị xây dựng hoàn thiện hạ tầng toán bán lẻ quốc gia, NAPAS Ngân hàng Nhà nước cấp phép cung ứng dịch vụ chuyển mạch tài dịch vụ bù trừ điện tử Việt Nam Cổ đông lớn NAPAS Ngân hàng Nhà nước, chiếm 49% vốn điều lệ công ty NAPAS quản trị vận hành hệ thống chuyển mạch kết nối liên thông 17.000 máy ATM, 270.000 máy POS, 300 doanh nghiệp toán điện tử lĩnh vực hàng không, viễn thông, khách sạn, du lịch; phục vụ 100 triệu chủ thẻ 46 ngân hàng thương mại nước quốc tế hoạt động Việt Nam Các sản phẩm dịch vụ NAPAS cung cấp bao gồm: Dịch vụ chuyển mạch thẻ nội địa, Dịch vụ Cổng Thanh toán, Dịch vụ chuyển mạch thẻ quốc tế, Dịch vụ hỗ trợ Thu hộ, Chi hộ điện tử, Dịch vụ toán bù trừ điện tử, Dịch vụ chuyển tiền nhanh 24/7 Dịch vụ Cổng toán trực tuyến (Ecommerce) dịch vụ NAPAS cung cấp cho doanh nghiệp / nhà cung cấp dịch vụ, hỗ trợ doanh nghiệp thu phí hàng hóa, dịch vụ khách hàng có thẻ tài khoản mở ngân hàng / tổ chức liên kết với NAPAS hình thức nhập thơng tin thẻ nội địa quốc tế kênh bán hàng trực tuyến doanh nghiệp website, ứng dụng điện thoại di động, khác Hình 4.1 : Giải pháp Napas Cổng tốn Napas có số đặc điểm : - Hỗ trợ toán thẻ nội địa gần 40 ngân hàng nước thẻ quốc tế mang thương hiệu Visa, MasterCard, American Express, JCB, Diners Club, Unionpay, phát hành khắp giới - Giải pháp hỗ trợ đa thiết bị (PC, tablet, smartphone) đa đồng tiền toán (191 đồng tiền) với tính ưu việt tokenization, thu tiền tự động định kỳ, quản lý rủi ro tiến tiến - Áp dụng tiêu chuẩn công nghệ bảo mật, quản lý rủi ro hàng đầu ngành Tài Ngân hàng - Giải pháp mã hóa Tokenization cho thẻ quốc tế nội địa cho phép khách hàng lưu lại thông tin thẻ dạng mã hóa để phục vụ lần tốn mà không cần nhập lại thông tin thẻ 102 4.3.1.2 Cổng tốn Ngân lượng (Nganluong.vn) NgânLượng.vn Vví điện tử cổng toán trực tuyến tiên phong uy tín hàng đầu Việt Nam, sản phẩm dịch vụ, độ phủ thị trường lưu lượng toán Được phát triển Nexttech Group (tiền thân PeaceSoft Group) từ năm 2009, Ngân Lượng cho phép cá nhân doanh nghiệp gửi nhận tiền tốn Internet cách nhanh chóng, an tồn, tiện lợi Ngân Lượng.vn hoạt động theo mơ hình ví điện tử, theo người dùng đăng kí tài khoản cá nhân doanh nghiệp với ba chức chính: Nạp tiền, Thanh tốn Chuyển tiền Tất giao dịch thực trực tuyến thông qua Thẻ ATM nội địa, Thẻ quốc tế (Visa, Master, JCB, Amex), Internet Banking, QR-Pay hình thức tiện dụng khác Hình 4.2: Mơ hình tốn Nganluong.vn Ngân Lượng.vn xây dựng hệ thống tiên tiến liên kết trực tiếp với gần 40 tổ chức tài viễn thơng Việt Nam Quốc tế, bao gồm: Paypal, Visa/Master, CyberSource, Sacombank, VPBank, Shinhan Bank (ANZ), Eximbank, Maritime Bank, VIB, HSBC, CitiBank, Techcombank, Seabank, Standard Chartered, TP Bank, SCB (NH TMCP Sài Gòn), NAB (Nam Á Bank), OCB (NH Phương Đông), KLB (Kiên Long Bank), SHB( NH Sài Gòn – Hà Nội), BIDV, FE CREDIT, VinaPhone, MobiFone, Viettel… qua mang lại giải pháp tốn trực tuyến tồn diện cung cấp đầy đủ đa dạng kênh toán cho khách hàng 4.3.1.3 Nhà cung cấp dịch vụ tốn Payoo (Payoo.vn) Cơng ty CP Dịch vụ Trực tuyến Cộng Đồng Việt (VietUnion) thành lập vào ngày 14/01/2008 với mục tiêu trở thành đơn vị dẫn đầu lĩnh vực toán điện tử Việt Nam Dịch vụ toán Payoo Thống đốc Ngân hàng Nhà nước cấp phép hoạt động lĩnh vực trung gian toán vào ngày 18/02/2009, nhằm giúp cho người dùng tốn cách dễ dàng, nhanh chóng tiện lợi Sử dụng hệ thống toán Payoo, mang lại số giá trị như: - Tiện lợi: Khách hàng khơng phải nhiều thời gian cho việc tìm kiếm địa điểm để tốn hóa đơn, mua mã thẻ điện thoại dịch vụ tiện ích khác Khách hàng chủ động tốn hóa đơn thời điểm ngày, 103 hình thức - An tồn: Tại Payoo, an ninh tài khách hàng ưu tiên cao Với công nghệ bảo mật tảng kỹ thuật hoàn chỉnh, đạt chứng nhận bảo mật quốc tế PCI – DSS chuẩn ISO 27001, Payoo triển khai xây dựng kết nối dịch vụ ứng dụng toán trực tuyến đảm bảo uy tín - Đa dạng: Thơng qua Payoo, khách hàng tốn hóa đơn tiền điện, nước, điện thoại, truyền hình, internet, tài chính… nhiều hình thức khác Bên cạnh đó, với hồn thiện hạ tầng cơng nghệ, Payoo đối tác tin tưởng chọn làm cổng toán Mọi giao dịch tốn qua cổng mã hóa SSL, kết nối với đối tác chứng thực chữ ký điện tử tuân thủ quy trình theo chuẩn ISO 27001:2013 an tồn thơng tin chuẩn PCI-DSS an tồn thơng tin bảo mật quốc tế Hình 4.3: Cổng tốn điện tử Payoo.vn 4.3.2 Cổng toán điện tử giới 4.3.2.1 Cổng toán điện tử Authorize.net Authorize.net tổ chức cung cấp dịch vụ toán thành lập vào năm 1996 Authorize.net cổng toán hiển thị 24/7 để xử lý giao dịch toán Kết nối website với mạng lưới xử lý tốn điều đặc biệt khó khăn thường vượt khả chuyên môn kỹ thuật hầu hết thương gia trực tuyến Thay thế, người bán dễ dàng kết nối với cổng toán Authorize.net nơi mà cung cấp cấu trúc phức tạp an ninh cần thiết để đảm bảo việc truyền liệu giao dịch nhanh, tin cậy an toàn Authorize.net cung cấp hầu hết dịch vụ toán trực tuyến bao gồm: tốn di động, tốn thẻ, tốn hóa đơn điện tử, toán qua điện thoại, dịch vụ phổ biến tốn séc điện tử eCheck.net Authorize.net cho phép người bán chấp nhận xử lý toán từ tài khoản ngân hàng trực tuyến thơng qua trang web lựa chọn toán séc điện tử mà ko cần thẻ tín dụng tốn séc điện tử với mức phí hợp lý 0.75$/ giao dịch Authorize.net cửa ngõ toán hàng đầu, Authorize.Net 430.000 người bán tin cậy, xử lý tỷ giao dịch 149 tỷ USD toán hàng năm Authorize.net cho phép tích hợp tốn séc điện tử từ 104 toán từ tài khoản ngân hàng thơng qua website Virtual Terminal 4.3.2.2 Cổng tốn điện tử Paypal Paypal công ty hoạt động lĩnh vực TMĐT, chuyên cung cấp dịch vụ toán chuyển tiền qua mạng Internet Paypal cung cấp đa dạng loại hình cho khách hàng người mua người bán Paypal cho phép người dùng tốn qua ví điện tử, thẻ tốn, séc điện tử Paypal thu phí thơng qua thực việc xử lý toán cho doanh nghiệp hoạt động trực tuyến, trang đấu giá, khách hàng doanh nghiệp khác Trước đây, PayPal công ty chuyên cung cấp phần mềm cho giao dịch tài an tồn thiết bị cá nhân tiền thân Tiền thân Paypal Confinity Inc thành lập Ken Howery, Luke Nosek, Max Levchin Peter Thiel vào năm 1998 Vào năm 1999, công ty tài trợ John Malloy từ BlueRun Ventures Trong tháng năm 2000, Elon Musk tiến hành sáp nhập Confinity vào X.com (công ty ngân hàng trực tuyến Elon Musk) Nhận thấy việc Confinity tạo nhiều lợi nhuận so với X.com, Elon Musk tiếp tục tập trung nhiều vào hoạt động chuyển tiền Confinity Vào 10/2000, Elon Musk định chấm dứt hoạt động ngân hàng internet X.com tập trung vào dịch vụ chuyển tiền Paypal Cơng ty X.com sau đổi tên thành PayPal vào năm 2001, mở rộng nhanh chóng suốt năm giám đốc điều hành công ty định đưa PayPal sử dụng công cộng vào năm 2002 Vào tháng 7/2002, tập đoàn eBay mua lại PayPal với giá 1,5 tỷ USD Kể từ PayPal trở thành lựa chọn hàng đầu người sử dụng eBay cho giao dịch Paypal phát triển mạnh sau mua lại eBay bước vào kỉ nguyên phát triển vượt bậc mở rộng phạm vi hoạt động toàn giới Hiện nay, PayPal có mặt 202 quốc gia toàn giới, với 277 triệu người dùng 16 triệu tài khoản thương vào 2018 lưu lượng giao dịch gần 150 tỉ USD Kể từ đời, hệ thống thực 1,7 tỷ giao dịch với trung bình 32 giao dịch toán tài khoản Trang web PayPal.com đứng thứ 73 toàn giới lượng người truy cập, 768.745 trang web toàn giới sử dụng PayPal 105 CÂU HỎI CHƯƠNG 4 Trình bày khái niệm bổng tốn điện tử? Trình bày tiêu chí lựa chọn cổng tốn điện tử? Phân tích thuận lợi khó khăn phát triển tốn điện tử Việt Nam? Mơ tả phân tích yếu tố hạ tầng cho tốn điện tử Việt Nam nay? Trình bày chức cổng thang toán điện tử? TÀI LIỆU THAM KHẢO CHƯƠNG [28] Nguyễn Văn Hồng Nguyễn Văn Thoan, Giáo trình TMĐT bản, NXB Bách Khoa – Hà Nội, 2013 [29] Nguyễn Văn Hùng (chủ biên), TMĐT - cẩm nang, NXB Kinh tế TP Hồ Chí Minh 2013 [30] Lê Qn & Hồng Văn Hải, Giáo trình quản trị tác nghiệp doanh nghiệp thương mại, NXB Thống Kê, 2010 [31] Nguyễn Văn Thanh, Giáo trình Thanh toán TMĐT, NXB Thống Kê, 2011 [32] Andreas Meier & Henrik Stormer, eBusiness & eCommerce - Managing the Digital Value Chain, Springer, 2009 [33] Dave Chaffey, E-business and E-commerce Management: Strategy, Implementation and Practice – 6th, Pearson Education, 2015 [34] Arch G Woodside & Peter J LaPlaca, Handbook of Strategic e-Business Management, Springer-Verlag Berlin Heidelberg, 2014 [35] Kenneth C Laudon & Carol Guercio Traver: E-commerce Business, Technology, Society: 13th edition: Pearson Publishing House, 2017 106 TÀI LIỆU THAM KHẢO TIẾNG VIỆT [36] Nguyễn Văn Hồng Nguyễn Văn Thoan, Giáo trình TMĐT bản, NXB Bách Khoa – Hà Nội, 2013 [37] Nguyễn Văn Hùng (chủ biên), TMĐT - cẩm nang, NXB Kinh tế TP Hồ Chí Minh 2013 [38] Lê Qn & Hồng Văn Hải, Giáo trình quản trị tác nghiệp doanh nghiệp thương mại, NXB Thống Kê, 2010 [39] Thái Thanh Sơn Thái Thanh Tùng, TMĐT thời đại số, NXB Thông tin Truyền thơng, 2017 [40] Đàm Gia Mạnh, Giáo trình An tồn liệu TMĐT, NXB Thống Kê, 2009 [41] Đàm Gia Mạnh, Giáo trình Hệ thống thơng tin quản lý, NXB Thống Kê, 2017 [42] Nguyễn Văn Thanh, Giáo trình Thanh toán TMĐT, NXB Thống Kê, 2011 [43] Thân Danh Phúc, Giáo trình Quản lý nhà nước thương mại, NXB Thống Kê, 2015 [44] Hoàng Đăng Hải, Quản lý An tồn thơng tin, NXB Khoa học Kỹ thuật, 2018 TIẾNG NƯỚC NGOÀI [45] Sunil Gupta, Driving Digital Strategy: A Guide to Reimagining Your Business, arvard Business Review Press, 2018 [46] Bernd W Wirtz, Digital Business Models, Concepts, Models, and the Alphabet Case Study, Springer, 2019 [47] Kenneth C Laudon Carol Guercio Traver, E-commerce - business technology society, 10th, PEASON 2014 [48] Andreas Meier & Henrik Stormer, eBusiness & eCommerce - Managing the Digital Value Chain, Springer, 2009 [49] Dave Chaffey, E-business and E-commerce Management: Strategy, Implementation and Practice – 6th, Pearson Education, 2015 [50] Damian Ryan, Understanding Digital Marketing - Marketing strategies for engaging the digital Generation - Third edition, Kogan Page Limited, 2014 [51] Arch G Woodside & Peter J LaPlaca, Handbook of Strategic e-Business Management, Springer-Verlag Berlin Heidelberg, 2014 [52] Kenneth C Laudon & Carol Guercio Traver: Business, Technology, Society: 13th edition: Pearson Publishing House, 2017 E-commerce 107 ... ; Mon, 29 Sep 20 03 02: 17:00 +0000 Received: from sharif.edu [83.104.131.38] by host7 0- 72. pool80117.interbusiness.it Postfix) with ESMTP id EAC74E21484B for; Mon, 29 ... TRONG THANH TOÁN ĐIỆN TỬ 4.1 Cổng toán điện tử Thuật ngữ cổng toán (payment gateway) hay cổng toán điện tử thuật ngữ có nhiều cách hiểu tiếp cận Quan điểm đầu tiên, cổng toán trước hiểu hệ thống toán. .. tốn điện tử Payoo.vn 4.3 .2 Cổng toán điện tử giới 4.3 .2. 1 Cổng toán điện tử Authorize.net Authorize.net tổ chức cung cấp dịch vụ toán thành lập vào năm 1996 Authorize.net cổng toán hiển thị 24 /7