Đang tải... (xem toàn văn)
An toàn và bảo mật thông tin trong thanh toán thẻ
An toàn và bảo mật thông tin trong thanh toán thẻ TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH KHOA HỆ THỐNG THÔNG TIN NGÀNH HỆ THỐNG THÔNG TIN QUẢN LÝ Môn học: AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Báo cáo đề tài: AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THANH TOÁN THẺ GV hướng dẫn: Ths. Nguyễn Hồ Minh Đức GVHD – Ths. Nguyễn Hồ Minh Đức Page 1 An toàn và bảo mật thông tin trong thanh toán thẻ MỤC LỤC Chương I: GIỚI THIỆU TỔNG QUAN 1. Mục tiêu đề tài: Đề tài nghiên cứu về các phương pháp để thực hiện nhiệm vụ an toàn và bảo mật trong thương mại điện tử. Đặc biệt là quá trình thanh toán bằng thẻ nhằm bảo vệ an toàn tuyệt đối thông tin người dùng khi tham gia thương mại điện tử. Giúp người tham gia thanh toán thẻ có thể an tâm khi thanh toán, thỏa các yêu cầu của các doanh nghiệp cũng như khách hàng khi tham gia thương mại điện tử. Đồng thời hạn chế các rủi ro có thể xảy ra như: thông tin người dùng bị đánh cắp, giả mạo thông tin để thực hiện các hành vi phạm pháp,… 2. Phạm vi đề tài: Nghiên cứu về các chính sách bảo vệ thông tin người dùng khi tham gia vào thanh toán thẻ. Bao gồm thanh toán trực tiếp bằng thẻ hoặc thanh toán qua Internet. 3. Phương pháp nghiên cứu: - Thu thập, phân tích các tài liệu và những thông tin liên quan đến đề tài. - Tìm hiểu các giao dịch trong thương mại điện tử của một số website trong và ngoài nước. - Tìm hiểu quy trình thanh toán thẻ trực tiếp và gián tiếp. - Thu thập các thông tin về bảo mật trên thẻ thanh toán. GVHD – Ths. Nguyễn Hồ Minh Đức Page 2 An toàn và bảo mật thông tin trong thanh toán thẻ - Kết hợp các đề tài nghiên cứu đã có của các tác giả trong nước và ngoài nước cộng với sự hướng dẫn của thầy để hoàn thành nội dung nghiên cứu. Chương II: HIỆN TRẠNG VÀ YÊU CẦU HỆ THỐNG 1. Hiện trạng: 1.1 Giới thiệu: Đối với sự phát triển mang tính toàn cầu của mạng Internet và thương mại điện tử, con người có thể mua bán hàng hóa và dịch vụ thông qua mạng máy tính toàn cầu một cách dễ dàng trong mọi lĩnh vực thương mại rộng lớn. Tuy nhiên đối với các giao dịch mang tính nhạy cảm này cần phải có những cơ chế đảm bảo an toàn và bảo mật vì vậy vấn đề an toàn và bảo mật thông tin trong thương mại điện tử là một vấn đề hết sức quan trọng. Hiện nay vấn đề An toàn và bảo mật thông tin trong thương mại điện tử đã và đang được áo dụng phổ biến và rộng rãi ở Việt Nam và trên phạm vi toàn cầu. Vì thế vấn đề bảo mật thông tin đã và đang được nhiều người tập trung nghiên cứu. Tuy nhiên cần phải hiểu rằng không có một hệ thống thông tin nào được bảo mật 100%, bất kỳ một hệ thống thông tin nào cũng có những lỗ hổng về an toàn và bảo mật mà chưa được phát hiện ra. Xuất phát từ những ứng dụng trong thực tế và những ứng dụng đã có từ các kết quả nghiên cưu trước đây về lĩnh vực an toàn và bảo mật thông tin. Đề tài sẽ đi sâu nghiên cứu các phương pháp An toàn và bảo mật thông tin người dùng khi tham gia thanh toán thẻ. GVHD – Ths. Nguyễn Hồ Minh Đức Page 3 An toàn và bảo mật thông tin trong thanh toán thẻ 1.2 Khái niệm về thẻ thanh toán: Thẻ thanh toán (thẻ chi trả) là một phương tiện thanh toán tiền mua hàng hoá, dịch vụ hoặc có thể được dùng để rút tiền mặt tại các Ngân hàng đại lý hoặc các máy rút tiền tự động. Thẻ thanh toán là một loại thẻ giao dịch tài chính được phát hành bởi Ngân hàng, các Tổ chức tài chính hay các công ty. Thẻ thanh toán là một phương tiện thanh toán không dùng tiền mặt mà người chủ thẻ có thể sử dụng để rút tiền mặt hoặc thanh toán tiền mua hàng hoá, dịch vụ tại các điểm chấp nhận thanh toán bằng thẻ. Thẻ thanh toán là phương thức ghi sổ những số tiền cần thanh toán thông qua máy đọc thẻ phối hợp với hệ thống mạng máy tính kết nối giữa Ngân hàng/Tổ chức tài chính với các điểm thanh toán (Merchant). Nó cho phép thực hiện thanh toán nhanh chóng, thuận lợi và an toàn đối với các thành phần tham gia thanh toán. 1.3 Mô tả quy trình thanh toán thẻ: a. Quy trình thanh toán thẻ trực tuyến : - Bước 1 : Khách hàng quyết định mua hàng trực tuyến và điền thông tin thẻ vào from như phần trên. GVHD – Ths. Nguyễn Hồ Minh Đức Page 4 An toàn và bảo mật thông tin trong thanh toán thẻ - Bước 2 : Website của Merchant nhận được thông tin thanh toán và gửi thông tin này đến đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến (payment gateway ví dụ như Smartlink). - Bước 3 : Smartlink chuyển tiếp thông tin đến Tổ chức Thẻ quốc tế (card scheme như Visa, MasterCard, AMEX,…). - Bước 4 : Tổ chức Thẻ quốc tế chuyển tiếp thông tin đến Ngân hàng phát hành thẻ (card issuer) - Bước 5 : Ngân hành phát hành thẻ kiểm tra khả năng thanh toán của Chủ thẻ, ngân hàng phát hành thẻ sẽ gửi mã cấp phép hay từ chối về lại cho tổ chức thẻ quốc tế. - Bước 6 : Tổ chức thẻ quốc tế (Visa) chuyển trả thông tin về đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến (smartlink). - Bước 7 : Đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến trả kết quả về cho website của Merchant. - Bước 8 : Web site Merchant quyết định chấp nhận hay từ chối giao dịch mua hàng. b. Qui trình thanh toán bù trừ & kết toán: GVHD – Ths. Nguyễn Hồ Minh Đức Page 5 An toàn và bảo mật thông tin trong thanh toán thẻ - Bước 1 : Merchant báo cho Đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến thực hiện kết toán cho giao dịch. - Bước 2 : Đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến chuyển thông tin cho tổ chức thẻ quốc tế. - Bước 3 : Tổ chức thẻ quốc tế kiểm tra thông tin rồi chuyển thông tin giao dịch cho ngân hàng phát hành thẻ. - Bước 4 : Giao dịch được kết toán tại ngân hàng phát hành thẻ và tiền được chuyển giữa ngần hàng thanh toán và ngân hàng phát hành thẻ rồi tiền được chuyển vào tài khoản của Merchant. - Bước 5 : Ngân hàng thanh toán ghi có tài khoản của Merchant. - Bước 6 : Ngân hàng phát hành khấu trừ khoản tiền thanh toán trên tài khoản thẻ của Chủ thẻ. c. Quy trình thanh toán trực tiếp bằng thẻ: GVHD – Ths. Nguyễn Hồ Minh Đức Page 6 An toàn và bảo mật thông tin trong thanh toán thẻ Quy trình thanh toán cho khách sử dụng thẻ tín dụng thường diễn ra theo các bước sau: - Bước 1 : Xác nhận tổng số tiền khách thanh toán. - Bước 2 : Người thanh toán mượn thẻ của khách hàng để kiểm tra loại thẻ mà khách hàng đưa. - Bước 3 : Người thanh toán sẽ quẹt (swipe) thẻ của bạn vào một chiếc máy đọc thẻ (gọi là EDCT – electronic Data Capture Terminal). EDCT đọc các thông tin về thẻ của bạ ghi trên dải băng từ và liên lạc với ngân hàng của cửa hàng (Merchant’s Bank) thông quan moderm, đường điện thoại hoặc ISDN line, gửi kèm theo yêu cầu về số tiền cần thanh toán, ngân hàng này kiểm tra trong CSDL của VISA/Master Card. • Nếu thẻ của bạn là thẻ hết hạn hoặc bị mất cắp, số tiền bạn muốn trả vượt quá hạn mức… chủ thẻ sẽ yêu cầu bạn thanh toán bằng hình thức khác. • Nếu thẻ của bạn hợp lệ, ngân hàng sẽ báo lại ngay trong vài giây về EDCT là giao dịch được phê duyệt, khi đó EDCT sẽ in ra một tờ giấy nhỏ ghi rõ số tiền, mã số giao dịch để bạn ký vào đó (Sale Slip). Bạn được giữ bản chính của sale slip, người bán hàn sẽ giữ bản sao và gửi về ngân hàng để nhận tiền sau này. - Bước 4 : Khi nhận được sale slip Merchant's bank sẽ ghi có (credit) ngay số tiền giao dịch vào tài khoản của Merchant đồng thời gửi thông GVHD – Ths. Nguyễn Hồ Minh Đức Page 7 An toàn và bảo mật thông tin trong thanh toán thẻ báo yêu cầu ngân hàng của bạn (Cardholder's Bank) thanh toán số tiền. Cardholder's bank sẽ thanh toán tiền cho Merchant's Bank và ghi nợ (debit) số tiền vào tài khoản của bạn. - Bước 5 : Nhập tổng số tiền khách thanh toán vào máy (có thể nhập tiền VNĐ hoặc USD) và kiểm tra lại để đảm báo tính chính xác. Máy sẽ tự động giao dịch với hệ thống của ngân hàng. Nếu giao dịch được chấp nhận thì máy sẽ tự động in hóa đơn theo các thao tác của nhân viên. - Bước 6 : Chi tiết về giao dịch sẽ được ghi trong tờ sao kê kế tiếp gửi đến cho bạn. Giả sử có người ăn cắp thẻ của bạn, giả mạo chữ ký của bạn thì trong thời hạn nhất định (thường là 2 tuần) bạn có thể liên hệ với ngân hàng của bạn để đòi lại tiền. VISA đảm bảo rằng nếu ngân hàng của bạn chứng minh được chữ ký không phải là chữ ký của bạn thì họ sẽ trả lại tiền cho bạn ngay. Merchant's bank sẽ lấy lại tiền từ tài khoản của Merchant còn việc tranh chấp là gánh nặng của Merchant đi theo bạn đòi tiền nếu họ muốn. . 2. Rủi ro khi tham gia thanh toán thẻ: GVHD – Ths. Nguyễn Hồ Minh Đức Page 8 An toàn và bảo mật thông tin trong thanh toán thẻ Loại hình Rủi ro Đơn vị phát hành với các thông tin giả mạo Ngân hàng có thể phát hành thẻ cho khách hàng có đơn xinh phát hành với các thông tin giả mạo do không thẩm định kỹ các thông tin mà khách hàng đưa đến. Trường hợp này có thể dẫn đến những rủi ro về tín dụng cho ngân hàng phát hành khi chủ thẻ sử dụng thẻ hoặc không có khả năng thanh toán. Thẻ giả Thẻ do các tổ chức tội phạm hoặc các cá nhân làm giả với các thông tin có được từ các chứng từ giao dịch hoặc thẻ bị mất cắp, thất lạc. Thẻ giả được sử dụng tạo ra các giao dịch giả mạo gây tổn thất cho ngân hàng phát hành bởi theo quy định của tổ chức thẻ quốc tế, ngân hàng phát hành phải chịu hoàn toàn trách nhiệm với mọi giao dịch sử dụng thẻ giả có mã số (PIN) của ngân hàng phát hành. Đây là rủi ro đặc biệt nguy hiểm khó quản lý vì nằm ngoài sự tiên liệu của ngân hàng phát hành. Thẻ bị mất cắp, thất lạc Chủ thẻ bị mất cắp, thất lạc thẻ và bị người khác sử dụng trước khi chủ thẻ kịp thông báo cho ngân hàng phát hành để có biện pháp hạn sử dụng thẻ hoặc thu hồi thẻ. Các tổ chức tội phạm có thể in nổi và mã hoá lại các thẻ để thực hiện các giao dịch giả. Trường hợp này dễ dẫn đến rủi ro cho chủ thẻ hoặc ngân hàng phát hành. Loại rủi ro này chiếm tỷ lệ lớn trong các loại, gần 49%. Chủ thẻ không nhận được thẻ do ngân hàng phát hành gửi đến Ngân hàng phát hành gửi thẻ cho chủ thẻ bàng đường bưu điện nhưng thẻ bị đánh cắp trên đường gửi. Thẻ bị sử dụng trong khi chủ thẻ chính thức không biết gì về việc thẻ đã được gửi cho mình. Nếu không có biện pháp gì quản lý đảm bảo, ngân hàng phát hành chịu mọi rủi ro đối với các giao dịch trong trường hợp này. Thanh toán hàng hoá, dịch vụ qua thư, điện thoại Cơ sở chấp nhận thẻ cung cấp hàng hoá, dịch vụ qua thư, điện thoại trên sơ sở thông tin về thẻ như: loại thẻ, số thẻ, ngày hiệu lực, tên chủ thẻ. Trong trường hợp chủ thẻ chính thức không phải là người đặt mua hàng thì giao dịch đó cơ sở chấp nhận thẻ bị ngân hàng thanh toán từ chối thanh GVHD – Ths. Nguyễn Hồ Minh Đức Page 9 An toàn và bảo mật thông tin trong thanh toán thẻ toán. Trường hợp này dễ dẫn đến rủi ro cho cơ sở chấp nhận thẻ hoặc ngân hàng thanh toán. Tài khoản của chủ thẻ bị lợi dụng Đến kì phát hành lại thẻ, ngân hàng phát hành nhận được thông báo thay đối địa chỉ của chủ thẻ và được yêu cầu gửi về địa chỉ mới. Do không kiểm tra tính xác thực của thông báo đó nên ngân hàng phát hành đã gửi thẻ về địa chỉ theo yêu cầu nhưng thực ra đây không phải là yêu cầu của chủ thẻ đích thực. Tài khoản của chủ thẻ đã bị người khác sử dụng và chỉ được phát hiện khi chủ thẻ không nhận được thẻ nên liên lạc với ngân hàng phát hành hoặc khi ngân hàng yêu cầu chủ thẻ thanh toán sao kê. Trường hợp này dễ dẫn đến rủi ro cho chủ thẻ hoặc ngân hàng phát hành. Nhân viên cơ sở chấp nhận thẻ in nhìu hoá đơn thanh toán của chủ thẻ Khi thực hiện giao dịch, nhân viên cơ sở chấp nhận thẻ đã cố tình in nhiều bộ hoá đơn thanh toán thẻ nhưng chỉ giao một bộ hoá đơn cho chủ thẻ ký để hoàn thành giao dịch. Sau đó nhân viên cơ sở chấp nhận thẻ mạo chữ ký thật của chủ thẻ để nộp hoá đơn thanh toán cho ngân hàng thanh toán. Trường hợp này dễ dẫn đến rủi ro cho ngân hàng phát hành hoặc cơ sở chấp nhận thẻ. Tạo băng từ giả Là loại giao dịch thẻ sử dụng kỹ thuật công nghệ cao, trên cơ sở thu thập các thông tin trên băng từ của thẻ thật thanh toán tại cơ sở chấp nhạn thẻ, các tổ chức tội phạm làm thẻ giả đã sử dụng phần mềm riêng để mã hoá và in tạo ra các băng từ trên thẻ giả. Sau đó chúng thực hiện giao dịch giả mạo thẻ. Loại này đang tăng nhanh ở các nước tiên tiến. GVHD – Ths. Nguyễn Hồ Minh Đức Page 10 [...]... liệu thẻ các yêu cầu cụ thể thanh toán để duy trì dữ liệu - Một quá trình tự động xóa hoặc xóa thẻ thanh toán GVHD – Ths Nguyễn Hồ Minh Đức Page 32 G3.1.1.a Dữ liệu chủ thẻ cần phải được tổ chức trong khoảng thời gian X vì lý do kinh doanh Y An toàn và bảo mật thông tin trong thanh toán thẻ bằng tay hàng tháng để xác định và lưu P3.1.1.b Xác minh các chính sách trữ dữ liệu thẻ thanh toán an toàn khi và. .. nhận và hỗ trợ cấu hình an toàn GVHD – Ths Nguyễn Hồ Minh Đức Page 31 An toàn và bảo mật thông tin trong thanh toán thẻ 2.2.4.c Xác minh rằng chỉ có chức năng ghi nhận được hiện hành trên các thành phần hệ thống mẫu Yêu cầu 3: Bảo vệ dữ liệu thẻ thanh toán khi lưu trên hệ thống Các phương pháp bảo vệ như mã hóa, cắt nhỏ, che giấu, hàm băm,… là những thành phần quan trọng trong việc bảo vệ dữ liệu thẻ thanh. .. Đức Page 17 An toàn và bảo mật thông tin trong thanh toán thẻ - SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua bán trên mạng - Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới Mục địch của SET là bảo vệ hệ thống thẻ tín dụng,... thức SSL cung cấp sự bảo mật truyền thông vốn có 3 đặc tính cơ bản - Các bên giao tiếp (nghĩa là Client và server) có thể xác thực nhau bằng cách sử dụng mật mã khóa chung GVHD – Ths Nguyễn Hồ Minh Đức Page 16 An toàn và bảo mật thông tin trong thanh toán thẻ - Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi một sự thiết lập quan hệ ban đầu và sự thương lượng khóa... các ngân hàng hoặc doanh nghiệp về thanh toán đảm bảo an ninh cho dữ liệu của thẻ thanh toán Phần dưới đây nêu ra những nguyên tắc, yêu cầu, cơ chế cho việc Bảo mật thông tin Thanh toán thẻ Yêu cầu 1: Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ Tường lửa là một dịch vụ kiểm soát lưu lượng truy cập máy tính cho phép giữa mạng nôi bộ và mạng bên ngoài (không đáng tin cậy), cũng như... Ths Nguyễn Hồ Minh Đức Page 25 An toàn và bảo mật thông tin trong thanh toán thẻ P1.2.1.b Xác minh tất cả lưu lượng truy cập trong và ngoài nước khác bị từ chối Ví dụ: bằng cách sử dụng từ chối rõ ràng hay từ chối ẩn sau khi cho phép tuyên bố R1.2.2 An toàn và đồng bộ hóa các P1.2.2 Xác tập tin cấu hình router minh rằng các tập tin cấu hình bộ định tuyến được an toàn và đồng bộ R1.2.3 Cài đặt chu vi... băng chữ ký trước khi sử dụng thẻ GVHD – Ths Nguyễn Hồ Minh Đức Page 19 An toàn và bảo mật thông tin trong thanh toán thẻ Mã số nhận dạng cá nhân PIN: iv Số PIN dùng để bảo vệ các giao dịch tại máy ATM và giao dịch bằng thẻ ghi nợ v Mã số xác nhận thẻ hợp lệ lần 2 Ba chữ số được khắc lõm vào dải chữ ký cho phép người bán hàng xác nhận chắc chắn chủ thẻ đang giữ chiếc thẻ trong tay khi giao dịch qua điện... RSA đang được sử dụng phổ biến trong thương mại điện tử và được cho là đảm bảo an toàn với điều kiện độ dài khóa đủ lớn - Hoạt động của RSA: + Tạo khóa: Khóa công khai và Khóa bí mật + Mã hóa + Giải mã GVHD – Ths Nguyễn Hồ Minh Đức Page 14 An toàn và bảo mật thông tin trong thanh toán thẻ 2.3.2 DSA: Chữ ký dạng DSS là một dạng chữ ký kèm thông điệp, điều đó có nghĩa là chữ ký phải được gửi kèm với thông. .. định tuyến và tường lửa DMZ, DMZ chủ thẻ, các bộ định tuyến vành đai và các mạng chủ thẻ nội phân khúc để xác định rằng không có truy cập trực tiếp giữa Internet và các thành phần hệ thống trong phân khúc mạng chủ thẻ nội bộ như chi tiết dưới đây: GVHD – Ths Nguyễn Hồ Minh Đức Page 26 An toàn và bảo mật thông tin trong thanh toán thẻ R1.3.1 Thực hiện một DMZ để hạn chế lưu lượng download và chỉ các.. .An toàn và bảo mật thông tin trong thanh toán thẻ Chương III: CÁC GIẢI PHÁP SECURITY CHO HỆ THỐNG 1 Các phương pháp mã hóa: 1.1 Mã hóa đối xứng: a Định nghĩa: Thuật toán đối xứng là thuật toán mà tại đó khoá mã hoá có thể tính toán ra được từ khoá giải mã .Trong rất nhiều trƣờng hợp, khoá mã hoá và khoá giả mã là giống nhau Thuật toán này còn có nhiều tên gọi khác như thuật toán khoá bí mật, thuật toán . thông tin thẻ vào from như phần trên. GVHD – Ths. Nguyễn Hồ Minh Đức Page 4 An toàn và bảo mật thông tin trong thanh toán thẻ - Bước 2 : Website của Merchant nhận được thông tin thanh toán và. Nguyễn Hồ Minh Đức Page 3 An toàn và bảo mật thông tin trong thanh toán thẻ 1.2 Khái niệm về thẻ thanh toán: Thẻ thanh toán (thẻ chi trả) là một phương tiện thanh toán tiền mua hàng hoá, dịch. TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Báo cáo đề tài: AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THANH TOÁN THẺ GV hướng dẫn: Ths. Nguyễn Hồ Minh Đức GVHD – Ths. Nguyễn Hồ Minh Đức Page 1 An toàn và bảo mật