Bảo mật giao dịch điện tử

Một phần của tài liệu BÀI GIẢNG THƯƠNG mại điện tử (đh SPKT TP HCM HCMUTE)) (Trang 127 - 138)

9. Bảo mật trong giao dịch điện tử

9.1.6. Bảo mật giao dịch điện tử

SET)

* Giới thiệu tổng quan về SET

SET là một phương pháp bảo mật được xây dựng nhằm đảm bảo an toàn trong các giao dịch trên Internet bằng thẻ tín dụng. Phiên bản hiện tại, SET v1, được chọn làm tiêu chuẩn bảo mật cho các thẻ tín dụng như MaterCard và ViSa vào tháng 1 năm 1996 và được rất nhiều công ty tập trung phát triển, xây dựng như IBM, Microsoft, Netscape, RSA, Tesia và Versign. Từ năm 1998 các sản phẩm đầu tiên sử dụng SET đã được triển khai.

SET không phải là một hệ thống thanh toán, mà là một tập hợp các giao thức bảo mật và định dạng cho phép người dùng sử dụng các thiết bị làm việc với thẻ tín dụng trên hệ thống mạng như Internet theo nguyên tắc bảo mật. Về cơ bản SET cung cấp ba dịch vụ như:

- Cung cấp một kênh truyền thông an toàn tuyệt đối với tất cả các thành viên trong quá trình giao dịch.

- Sử dụng tiêu chuẩn chứng thực số X.509v3 để đảm bảo an toàn. - Giữ gìn sự riêng tư bởi các thông tin chỉ cung cấp cho các thành viên trong giao dịch diễn ra vào thời điểm hay địa điểm cần thiết.

SET được thực hiện các yêu cầu đảm bảo giao dịch điện tử an toàn cho các chi trả thẻ tín dụng trên Internet cũng như các mạng khác bao gồm:

- Cung cấp sự tin cậy cho các thông tin chi trả và thanh toán: Điều này cần thiết để đảm bảo người dùng thẻ giữ gìn an toàn các thông tin của mình cũng như các thông tin đến được với người nhận được mong đợi. Sự tin cậy này cũng sẽ giảm bớt các rủi ro đối với các gian lận trong giao dịch với đối tác cũng như các thành viên thư ba không mong muốn. SET sử dụng mã hóa các cung cấp tin cậy này.

- Đảm bảo tính toàn vẹn đối với mọi dữ liệu được truyền đi: Nghĩa là đảm bảo không có nội dung nào bị thay đổi trong suốt quá trình giao dịch sử dụng SET. Chữ ký số được sử dụng để cung cấp các toàn vẹn này.

- Cung cấp chứng thực đối với người sử dụng thẻ là người sử dụng tài khoản thẻ tín dụng hợp pháp: Một cơ chế liên kết người dùng thẻ tới số tài khoản xác định nhằm giảm thiểu các gian lận đối với một quá trình mua bán chi trả. Chữ ký số và cơ chế chứng nhận được sử dụng để xác nhận người dùng thẻ là người sở hữu tài khoản hợp lệ.

- Cung cấp các chứng thực cho phép các nhà kinh doanh có thể chấp nhận các giao dịch sử dụng thẻ tín dụng thông qua mối quan hệ với một tổ chức tài chính: Đây là sự bổ sung cho các yêu cầu có trước. Người sử dụng thẻ cần nhận biết được đâu là các nhà kinh doanh có đủ tư cách đảm bảo an toàn cho các giao dịch. Một lần nữa, chữ ký số và các cơ chế chứng nhận được sử dụng.

- Đảm bảo việc sử dụng một cách tốt nhất các kỹ thuật xây dựng hệ thống và độ an toàn thực tế để bảo vệ tất cả các thành viên hợp pháp trong toàn bộ quá trình giao dịch: SET là một sự kiểm nghiệm tốt dựa trên các thuật toán và các giao thức mã hóa an toàn cao.

- Xây dựng một giao thức mà không phụ thuộc vào các cơ chế bảo mật giao dịch cũng như các cơ chế ngăn chặn khác đã dùng: SET có thể thực thi an toàn trên stack của TCP/IP “thô”. Tuy nhiên, SET không gây trở ngại khi sử dụng các cơ chế bảo mật khác chẳng hạn như IPSec và SSL/TLS.

- Tạo điều kiện và khuyến khích khả năng giữa phần mềm và các nhà cung cấp dịch vụ mạnh: Các giao thức và định dạng SET độc lập với hạ tầng thiết bị phần cứng, hệ điều hành và phần mềm Web.

* Các đặc trƣng cơ bản của SET

- Thông tin tin cậy: Thông tin tài khoản và các thông tin cho việc chi trả được bảo vệ khi nó được truyền đi trong mạng. Một điều thú vị và quan trọng nhất ở đặc trưng này của SET là nó ngăn không cho nhà kinh biết được số thẻ tín dụng của người sử dụng, mà điều này chỉ được cung cấp cho các ngân hàng phát hành. Quy ước mã hóa này được DES dùng để cung cấp các thông tin tin cậy.

- Toàn vẹn dữ liệu: Thông tin chi trả từ người sử dụng thẻ tới các nhà kinh doanh bao gồm các thông tin thanh toán, dữ liệu cá nhân và các dữ liệu cho việc chi trả. SET đảm bảo việc các nội dung của thông điệp không bị biến đổi trong khi gửi đi. Chữ ký số RSA, sử dụng mã băm SHA-1, sẽ đảm bảo tính toàn vẹn các thông điệp này. Các thông điệp này cũng có thể được đảm bảo bởi HMAC sử dụng SHA-1.

- Chứng thực các nhà kinh doanh: SET cho phép người sử dụng thẻ xác nhận một nhà kinh doanh có quan hệ với một tổ chức tài chính có khả năng chấp nhận các thẻ chi trả. Trong trường hợp này SET có sử dụng chứng nhận số X.509v3 và chữ ký số RAS.

Lưu ý rằng SET không giống như IPSec và SSL/TLS, nó chỉ cung cấp một chọn lựa ứng với mỗi thuật toán mã hóa. Đây là một sự khôn ngoan bởi SET là một ứng dụng đơn độc lập với một tập hợp các yêu cầu riêng, mà ở đó có IPSec và SSL/TLS đóng vai trò hỗ trợ ở một phạm vi nào đó của các ứng dụng.

* Các thành phần tham gia sử dụng SET

Hình 2.9. Các thành phần của bảo mật thƣơng mại điện tử

- Người dùng thẻ (Cardholder): Trong môi trường điện tử, khách hàng hay một nhóm khách hàng có ảnh hưởng tới các nhà kinh doanh từ những chiếc máy tính cá nhân thông qua Internet. Một người sử dụng thẻ

là người có quyền nắm giữ thẻ thanh toán được cung cấp bởi những nhà phát hành.

- Nhà kinh doanh (Merchant): Một nhà kinh doanh có thể là một cá nhân hay một tổ chức có các dịch vụ bán hàng cho người dùng thẻ. Các dịch vụ này được tiến hành thông qua các website hoặc thư điện tử. Một nhà kinh doanh chấp nhận được các thẻ thanh toán thì buộc phải có quan hệ với một nhà trung gian (Acquirer).

- Nhà phát hành (Issuer): Đây là một tổ chức tài chính, chẳng hạn như ngân hàng, cung cấp tài khoản người dùng cùng với thẻ thanh toán. Các tài khoản được sử dụng thông qua các email cá nhân. Về cơ bản, các nhà phát hành chịu trách nhiệm chi trả các khoản tiền chưa trả của người dùng thẻ.

- Nhà trung gian - Ngân hàng của doanh nghiệp (Acquirer): Đây là tổ chức tài chính thực hiện việc thiết lập một tài khoản đối với nhà kinh doanh và chứng thực các quá trình chi trả bằng thẻ. Các nhà kinh doanh thường chấp nhận nhiều hơn một loại thẻ nhưng lại không muốn quan tâm đến nhiều tổ chức cũng như nhiều cá nhân cung cấp thẻ nào. Trong khi đó nhà trung gian sẽ cung cấp việc chứng thực nhà kinh doanh bằng cách đưa ra cho họ một thẻ tài khoản tiện lợi và giới hạn quyền đối với các loại thẻ này. Nhà trung gian cũng cung cấp các luân chuyển điện tử cho việc chi trả đối với các tài khoản của các nhà kinh doanh. Sau cùng, nhà kinh doanh sẽ được hoàn lại số tiền mà các nhà phát hành có được từ quỹ luân chuyển điện tử trên mạng chi trả.

- Cổng chi trả (Payment gateway): Đây là một chức năng thực hiện bởi nhà trung gian hoặc được xây dựng một thành viên thứ ba nhằm xử lý các thông tin chi trả của nhà kinh doanh. Nhà trung gian trao đổi các thông điệp SET với cổng chi trả thông qua Internet, trong khi đó cổng chi trả hướng vào hay kết nối mạng tới hệ thống xử lý tài chính của nhà trung gian.

- Quyền chứng nhận (Certification Authority – CA): Đây là một thực thể được tin cậy để cung cấp các chứng nhận khóa công khai X.509V3 cho người sử dụng thẻ, các nhà kinh doanh và các cổng chi trả. Thành công của SET sẽ phụ thuộc vào sự tồn tại của một hạ tầng CA có giá trị.

Dưới đây là mô tả lược đồ bao gồm cho các sự kiện được diễn ra trong một giao dịch thương mại điện tử.

1. Khách hàng mở một tài khoản: Khách hàng có được thẻ tín dụng như MasteerCard hay Visa với một ngân hàng có khả năng hỗ trợ chi trả điện tử và STE.

2. Khách hàng nhận một chứng nhận: Sau khi nhận dạng hoàn tất, khách hàng nhận được một chứng nhận số X.509V3, được ký bởi ngân hàng. Chứng nhận này xác minh công khai RSA của khách hàng và hạn sử dụng của nó. Nó sẽ thiết lập một quan hệ, được bảo đảm bởi ngân hàng, chiếc cặp khóa của ngân hàng và thẻ tín dụng của anh ta.

3. Nhà kinh doanh có riêng các chứng nhận của họ: Một nhà kinh doanh muốn chấp nhận nhiều loại thẻ thì buộc phải sở hữu hai chứng nhận đối với hai khóa công khai riêng của họ: Một cho ký nhận thông điệp và một cho trao đổi khóa. Nhà kinh doanh cũng cần có một bản sao chứng nhận khóa công khai của cổng chi trả.

4. Khách hàng đặt một thanh toán: Đây là một quá trình bao gồm việc lựa chọn mặt hàng trên wensite của nhà kinh doanh và xác định giá cả. Khách hàng gửi tới nhà kinh doanh một danh sách các mặt hàng muốn mua, họ nhận được một mẫu thanh toán bao gồm danh sách mặt hàng, giá cả, tổng tiền và số hóa đơn.

5. Nhà kinh doanh được xác nhận: Thêm vào mỗi thanh toán, nhà kinh doanh gửi một bản sao chứng nhận nó, vì vậy khách hàng có thể tin tưởng rằng anh ta có quan hệ với một nhà kinh doanh hợp pháp.

6. Việc thanh toán và chi trả được gửi đi: Khách hàng gửi tới nhà kinh doanh các thông tin thanh toán và chi trả cùng với chứng nhận khách hàng: Thông tin thanh toán bao gồm các mặt hàng đã đặt trong mẫu hóa đơn; thông tin chi trả chứa nội dung chi tiết của thẻ tín dụng. Nó đã được mã hóa do vậy nhà kinh doanh không thể biết được; chứng nhận khách hàng cho phép nhà kinh doanh xác nhận khách hàng.

7. Nhà kinh doanh yêu cầu chứng thực các chi trả: Nhà kinh doanh chuyển các thông tin tới cổng chi trả, yêu cầu xác thực thông tin thẻ tín dụng của khách hàng có phù hợp với việc mua các sản phẩm đã đặt hay không.

8. Nhà kinh doanh xác nhận thanh toán: Nhà kinh doanh gửi xác nhận thanh toán đến khách hàng.

9. Nhà kinh doanh cung cấp các mặt hàng dịch vụ: Nhà kinh doanh chuyển hàng hoặc cung cấp dịch vụ tới khách hàng.

10. Nhà kinh doanh yêu cầu chi trả: Yêu cầu này được gửi tới cổng chi trả (Quản lý tất cả quá trình chi trả).

CÂU HỎI ÔN TẬP

1. Nêu khái niệm của hợp đồng điện tử và giao kết hợp đồng điện tử.

2. Nêu một vài đặc điểm của hợp đồng điện tử.

3. So sánh hợp đồng điện tử với hợp đồng truyền thống.

4. Nêu những lợi ích của việc sử dụng hợp đồng điện tử trong thương mại điện tử.

5. Nêu một vài hình thức ký kết hợp đồng điện tử cũng như qui trình kí kết hợp đồng điện tử của các hình thức này.

6. Nêu các nguyên tác ký kết và thực hiện hợp đồng điện tử. 7. Nêu các điều kiện để hợp đồng điện tử có hiệu lực.

8. Hợp đồng điện tử được hình thành vào thời điểm nào, địa điểm ở đâu?

9. Nêu một số nguồn luật điều chỉnh hợp đồng điện tử tại Việt Nam. 10. So sánh các nguồn luật điều chỉnh hợp đồng điện tử trên thế giới và tại Việt Nam.

11. Thanh toán điện tử là gì? Nêu một số hình thức thanh toán điện tử phổ biến hiện nay.

12. Nêu quy trình thanh toán bằng thẻ tín dụng trong thương mại điện tử.

13. So sánh L/C điện tử và L/C truyền thống.

14. Nêu những lợi ích của việc triển khai thanh toán điện tử.

15. Nêu những rủi ro trong thanh toán điện tử đối với người tiêu dùng và doanh nghiệp.

16. Nêu các hình thức thanh toán điện tử phổ biến trong mô hình thương mại điện tử B2B tại Việt Nam.

17. Nêu các điều kiện cần thiết để triển khai thanh toán điện tử. 18. Nêu thực trạng thanh toán điện tử tại Việt Nam hiện nay.

19. Giải pháp thanh toán là gì? Nêu một số nhà cung cấp giải pháp thanh toán phổ biến trên thế giới và tại Việt Nam hiện nay.

21. Chữ ký số là gì? Chữ ký số có vài trò như thía nào trong thương mại điện tử ?

22. Hãy nêu các nguyên tắc để sử dụng chữ ký điện tử. 23. Hãy nêu qui trình ký kết chữ ký điện tử.

24. So sánh các nguồn luật điều chỉnh chữ ký điện tử trên thế giới và tại Việt Nam.

25. Điều kiện cơ sở hạ tầng kỹ thuật, pháp lý để triển khai chữ ký điện tử.

26. Hãy nêu một vài hình thức ký kết bằng chữ ký điện tử tại Việt Nam. 27. Hãy nêu thực trạng ký kết chữ ký điện tử tại Việt Nam hiện nay.

28. Chứng thực chữ ký điện tử là gì ? Vai trò của chứng thực chữ ký điện tử?

Bài tập tình huống

Bài tập 1: Ký kết hợp đồng điện tử bằng email * Tình huống đặt ra đối với doanh nghiệp:

Sau khi đã có một website với đầy đủ thông tin về công ty, danh mục sản phẩm, quy cách, ảnh sản phẩm, giá cả... vấn đề các công ty quan tâm là gửi thông điệp quảng cáo về công ty và giới thiệu website đến khách hàng tiềm năng.

Bên cạnh các nguồn thông tin truyền thống, Internet tạo khả năng cho các công ty tiếp cận nguồn thông tin đầy đủ, phong phú và cập nhật trên các Danh bạ toàn cầu, danh bạ công ty của các nước, các tâm điểm thương mại, các sàn giao dịch B2B...

Dựa trên các nguồn thông tin xúc tiến thương mại này, công ty tiến hành gửi Email chào hàng đến các khách hàng tiềm năng.

Quy trình giao dịch sau minh họa các bước tiến hành sau khi đã tiếp cận và nhận được thông tin phản hồi từ khách hàng tiềm năng.

Câu hỏi:

1. Hỏi hàng, đặt hàng qua e-mail khác gì so với các phương tiện truyền thống?

2. Hợp đồng được hình thành như thế nào?

3. Nếu có tranh chấp thì lấy căn cứ nào để chứng minh đã có hợp đồng mua bán?

4. Các điều khoản được thoả thuận trên nhiều e-mail, tại các thời điểm khác nhau thì thời điểm nào được coi là thời điểm hình thành hợp đồng?

5. Giao dịch qua e-mail có ưu điểm và nhược điểm gì so với các hình thức giao dịch truyền thống?

6. Hải quan có chấp nhận các hợp đồng hình thành qua các e- mail không?

7. Khi khai hải quan, bộ tờ khai cần có hợp đồng thì lấy e-mail thay vào có được không?

8. Đánh máy tên giám đốc và công ty vào e-mail có được coi là chữ ký không?

9. Hai e-mail, một e-mail có các điều khoản về tên hàng, số lượng, chất lượng và một e-mail có các điều khoản về giá, thời hạn giao hàng, phương thức thanh toán... có thể thay thế hợp đồng được không?

10. Trong toàn bộ quy trình giao dịch, hãy chỉ ra những vấn đề cần chú ý để tránh những sai sót, tranh chấp có thể xảy ra.

THUẬT NGỮ

Thẩm định (authentication): là việc nhận ra những nhận dạng riêng của các cá nhân.

Chứng thực: thông điệp dữ liệu hay bất cứ bản ghi nào được chứng thực bởi một tổ chức nhằm nhận ra ai là người nắm giữ khóa (bí mật hay công khai).

Hóa sinh: là công nghệ thẩm định cái cho phép phân tích và xác định các đặc điểm của con người như ngón tay, võng mạc, âm thanh, đặc điểm khuôn mặt và khuôn bàn tay.

Cơ quan chứng thực (certification authority): là bên thứ ba độc

Một phần của tài liệu BÀI GIẢNG THƯƠNG mại điện tử (đh SPKT TP HCM HCMUTE)) (Trang 127 - 138)

(138 trang)