3.3.1. Card Payment
3.3.1.1. Phương pháp xác thực
Một giải pháp đặt ra đó là sử dụng mã PIN dùng một lần tại thời điểm giao dịch. Đối với thẻ tín dụng, phương pháp này an toàn hơn hẳn so với việc sử dụng chữ ký của chủ thẻ và các thông tin cá nhân làm căn cứ xác thực. Đối với thẻ từ, nó hạn chế được khả năng sử dụng thẻ giả để thanh toán, tuy nhiên để tăng cường bảo mật thì phải sử dụng thẻ có gắn chip IC, vì công nghệ thẻ IC cho phép hệ thống xác thực động tại ngay thời điểm giao dịch. Sự kết hợp giữa công nghệ thẻ IC và việc sử dụng mã PIN chủ thẻ nắm giữ (hai nhân tố) là phương thức xác thực tốt nhất hiện nay với hình thức thanh toán Card Payment.
Hình 5. Một chiếc thẻ thanh toán có gắn chip IC
Quá trình thanh toán chủ yếu thực hiện trên các thiết bị đầu cuối như máy ATM, POS... Chủ thẻ quẹt thẻ thanh toán của mình vào các thiết bị thanh toán đó và tiến hành giao dịch của mình sau những thao tác xác thực người dùng. Ngày nay mã PIN vẫn là giải pháp xác thực chính cho loại hình thanh toán này, cùng với xu hướng chuyển dấn sang thẻ chip thay vì thẻ từ trước đây làm cho vấn đề an ninh được nâng cao hơn rất nhiều.
Phương pháp xác thực tốt nhất hiện nay cho các giao dịch sử dụng thẻ thanh toán là xác thực động sử dụng mã PIN dùng một lần tại chính ngay thời điểm thanh toán. Đối với thẻ tín dụng, nó hoàn toàn bảo mật hơn so việc sử dụng chữ ký của chủ thẻ để xác
thực. Đối với thẻ từ, nó hạn chế được tình trạng sử dụng thẻ giả để thanh toán. Đối với thẻ chip, đương nhiên vấn đề an ninh sẽ được nâng cao hơn.
3.3.1.2. Những kỹ thuật về bảo mật
Khi bạn đưa thẻ ATM của mình cho người bán hàng kiểm tra bằng mắt và bằng máy cà thẻ POS. Thông thường người bán hàng sẽ kiểm tra qua các bước sau:
Kiểm tra tính vật lý của thẻ: để nhận biết thẻ có phải là thẻ thật hay không căn cứ trên hình dạng và các nội dung trên chiếc thẻ. Người bán hàng sẽ phải biết cách nhận biết các loại thẻ thông dụng: Visa, Master... Kiểm tra các thông tin trên thẻ có bị thay đổi, tẩy xóa hay không.
Thẻ của bạn được đưa qua một máy quét thông tin thẻ (POS). Các thông tin này được gửi đến ngân hàng phát hành thẻ để xin cấp phép giao dịch. Sau vài giây, ngân hàng sẽ trả lời là thẻ có thể thực hiện giao dịch hay không.
Nếu thẻ được cấp phép giao dịch thì người bán yêu cầu bạn ký vào hóa đơn và kiểm tra chữ ký của bạn với chữ ký có trên thẻ. Nếu trên thẻ không có sẵn chữ ký để xác thực thì người bán có thể yêu cầu bạn phải ký vào phần bỏ trống đó, đề nghị bạn cho xem thêm các giấy tờ chứng minh và ký vào hóa đơn để đối chiếu các chữ ký. Với cách này người khác khó lòng sử dụng thẻ của bạn để mua sắm và người bán cũng nắm được hóa đơn làm bằng chứng là bạn đã mua hàng.
Với quy trình nghiêm ngặt trên người bán hàng có điều kiện xác thực được thẻ và chủ thẻ để hạn chế rủi ro. Hơn nữa đây là giao dịch trực tiếp nên người bán có thể thông qua nhiều dấu hiệu để phán đoán, nhận biết giao dịch giả mạo. Do đó, ngay cả khi bạn đánh mất thẻ thì người khác cũng khó dùng cách này để mua hàng bằng thẻ của bạn.
Quá trình giao dịch trên máy chấp nhận thẻ POS
1. Khách hàng của ngân hàng thành viên quẹt thẻ tại máy POS. Khách hàng được yêu cầu nhập số PIN. POS sẽ gửi giao dịch về ngân hàng chấp nhận. Ngân hàng chấp nhận sẽ gửi giao dịch đến Chuyển mạch quốc gia
2. Chuyển mạch quốc gia nhận được giao dịch, nó sẽ chuyển khối PIN Block và gửi đến ngân hàng phát hành.
3. Khi ngân hàng phát hành nhận được giao dịch, nó sẽ kiểm tra giao dịch. Nếu giao dịch thành công, ngân hàng chấp nhận sẽ trả lời với mã trả lời 00. Nếu giao dịch bị từ chối, ngân hàng chấp nhận sẽ trả lời với mã trả lời tùy theo mã lý do.
4. Chuyển mạch quốc gia nhận được tín hiệu trả lời, nó sẽ gửi giao dịch đến ngân hàng chấp nhận và sau đó chuyển về POS.
Hình 6. Máy chấp nhận thẻ thanh toán POS
Thanh toán qua POS được thực hiện ở nhiều cửa hàng, nhà hàng, khách sạn, sân bay… Với các thẻ quốc tế, người dùng có thể ra nước ngoài mà không cần mang theo nhiều tiền mặt vì các tổ chức thẻ lớn thường có mạng lưới chấp nhận thẻ rộng khắp thế giới.
Thẻ từ (Magnetic stripe cards)
Trong việc mua bán hàng hóa bằng thẻ tín dụng thì việc chuyển giao hàng hóa diễn ra ngay lập tức nhưng tất cả các khoản thanh toán đều chậm trễ. Người mua có thẻ tín dụng khi quyết định mua hàng sẽ nhập các thông tin về thẻ tín dụng của mình như: số thẻ, mã số an toàn, thời hạn của thẻ, họ và tên chủ sở hữu, địa chỉ thanh toán trên website, những thông tin này sẽ được chuyển đến cho ngân hàng hay nhà dịch vụ cung cấp payment gateway là các Acquirer. Acquirer sẽ gửi thông tin về thẻ tới dịch vụ cung cấp thẻ và ngân hàng phát hành thẻ để kiểm tra tính hợp lệ của thẻ và kiểm tra khả năng thanh toán của thẻ. Nếu mọi điều kiện đều phù hợp, ngân hàng phát hành thẻ sẽ gửi
thông tin ngược trở về cho Acquirer, thông tin được giải mã gửi về cho người bán và việc thanh toán được thực hiện. Tiền sẽ được chuyển từ thẻ tín dụng của người mua tới tài khoản bán hàng merchant account trên Acquirer, sau đó sẽ được chuyển vào tài khoản ngân hàng của người bán.
Hình 7. Thẻ thừ và máy đọc thẻ từ
Thẻ ghi nợ thường là một miếng nhựa đặc biệt có chứa bản ghi điện tử về tài khoản của bên mua hàng với ngân hàng của họ. Sử dụng thẻ này, bên bán hàng có thể gửi tín hiệu điện tử tới ngân hàng của bên mua hàng có chứa dữ liệu về số tiền trị giá khoản hàng đã mua và số tiền này được đồng thời ghi nợ vào tài khoản của khách hàng là bên mua hàng cùng với ghi có cho tài khoản của bên bán hàng. Điều này là có thể ngay cả khi bên bán và bên mua hàng sử dụng dịch vụ của các tổ chức tài chính khác nhau. Hiện tại, các mức phí đối với cả bên mua và bên bán trong việc sử dụng thẻ ghi nợ là tương đối thấp do các ngân hàng đang mong muốn khuyến khích sử dụng các loại thẻ ghi nợ. Bên bán hàng cần có máy đọc thẻ được cài đặt sao cho việc mua bán và kết nối tới cơ sở dữ liệu của các tổ chức tài chính có thể thực hiện được. Các thẻ ghi nợ cho phép bên mua hàng có thể tiếp cận mọi khoản tiền gửi trong tài khoản của mình mà không cần phải đem tiền mặt theo bên mình. Trên thực tế, việc trộm cắp các khoản tiền
gửi tại các tổ chức tài chính là khó khăn hơn nhiều so với viẹc đem theo tiền mặt, nhưng điều đó vẫn có thể diễn ra, nếu các dữ liệu quan trọng của các loại hình thẻ bị lộ bí mật.
Thẻ thông minh (Chip or IC cards)
Thẻ thông minh, thẻ gắn chip, or thẻ mạch tích hợp (integrated circuit card -ICC) là loại thẻ có kích thước đút được trong ví, thường có kích thước của thẻ tín dụng, được gắn một bộ mạch tích hợp có khả năng lưu trữ và xử lý thông tin. Nghĩa là nó có thể nhận dữ liệu, xử lý dữ liệu bằng các ứng dụng thẻ mạch tích hợp, và đưa ra kết quả. Có hai loại thẻ thông minh chính. Các thẻ nhớ (Memory card) chỉ chứa các thành phần bộ nhớ non-volatile, và có thể có một số chức năng bảo mật cụ thể. Thẻ vi xử lý chứa bộ nhớ volatile và các thành phần vi xử lý. Thẻ làm bằng nhựa, thường là PVC, đôi khi ABS. Thẻ có thể chứa một ảnh 3 chiều (hologram) để tránh các vụ lừa đảo.
Thẻ thông minh cho phép thực hiện các giao dịch kinh doanh một cách hiệu quả theo một cách chuẩn mực, linh hoạt và an ninh mà trong đó con người ít phải can thiệp vào.
Thẻ thông minh giúp chúng ta thực hiện việc kiểm tra và xác nhận chặt chẽ mà không phải dùng thêm các công cụ khác như mật khẩu…Chính vì thế, có thể thực hiện hệ thống dùng cho việc đăng nhập sử dụng máy tính, máy tính xách tay, dữ liệu bảo mật hoặc các môi trường kế hoạch sử dụng tài nguyên của công ty như SAP, v.v..với thẻ thông minh là phương tiện kiểm tra và xác nhận duy nhất.
Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong thẻ và được
Thẻ thông minh có tiếp xúc là loại thẻ thông minh có tiếp xúc có một diện tích tiếp xúc, bao gồm một số tiếp điểm mạ vàng, và có diện tích khoảng 1cm vuông. Khi được đưa vào máy đọc, con chip trên thẻ sẽ giao tiếp với các tiếp điểm điện tử và cho phép máy đọc thông tin từ chip và viết thông tin lên nó. Thẻ không có pin, năng lượng làm việc sẽ được cấp từ máy đọc thẻ. Máy đọc thẻ thông minh có tiếp xúc đóng vai trò trung gian liên kết giữa thẻ thông minh với một máy chủ, chẳng hạn, đó là một máy vi tính, một đầu cuối ở một điểm bán, hay một điện thoại di động. Vì các chip trên thẻ thông minh dùng trong giao dịch tài chính cũng giống như các chip dùng trên SIM của điện thoại di động, chỉ khác cách lập trình và cách ghép vào miếng PVC có hình dạng khác nhau. Mặt khác, hiện nhu cầu dùng thẻ thông minh làm SIM là rất lớn cho nên các nhà sản xuất chip hiện đang tập trung vào việc sản xuất chip các chuẩn của điện thoại di động GSM/G3. Vì thế, mặc dầu EMV cho phép chip trên thẻ có thể gây tiêu hao một dòng khoảng 50mA từ máy đọc, hiện nay các chip đều chỉ tiêu hao chưa tới 6mA theo chuẩn của công nghiệp điện thoại. Điều này cho phép các máy đọc thẻ dùng trong giao dịch tài chính ngày càng nhỏ hơn và rẻ hơn, và tiến đến có thể trang bị cho mọi máy PC ở nhà một máy đọc thẻ cũng như phần mềm để bạn có thể mua sắm trên internet một cách dễ dàng và an ninh hơn.
Thẻ thông minh không tiếp xúc là một loại thẻ mà chip trên nó liên lạc với máy đọc thẻ thông qua công nghệ cảm ứng RFID (với tốc độ dữ liệu từ 106 đến 848 kbit/s). Những thẻ này chỉ cần đặt gần một anten để thực hiện quá trình truyền và nhận dữ liệu. Chúng thường được dùng trong các tình huống truyền nhận dữ liệu thật nhanh hay khi người chủ thẻ cần rảnh tay, chẳng hạn ở các hệ thống giao thông công cộng mà có thể sử dụng không cần rút thẻ ra khỏi ví. Một công nghệ không tiếp xúc có liên quan là RFID (radio frequency identification – xác nhận dựa vào tần số vô tuyến). Trong một số trường hợp cụ thể, nó có thể dùng trong những ứng dụng tương tự như thẻ thông minh không tiếp xúc, chẳng hạn dùng để thu phí cầu đường điện tử. Các thiết bị RFID thông thường không có chứa bộ nhớ ghi được hay có bộ vi xử lý như thẻ thông minh. Có loại thẻ gồm cả hai loại giao tiếp mà cho phép truy xuất bằng cách tiếp xúc và không tiếp xúc trên cùng một thẻ. Ví dụ như thẻ giao thông nhiều ứng dụng của Porto, gọi là Andante, mà dùng một chip cho cả tiếp xúc và không tiếp xúc. Giống như thẻ thông minh có tiếp xúc, thẻ không tiếp xúc không có pin. Bên trong thẻ có một cuộn cảm mà có khả năng dò một số tín hiệu vô tuyến, chỉnh lưu tín hiệu, và rồi dùng nó để cung cấp năng lượng cho chip trên thẻ.
Thẻ thông minh dùng để xác nhận khách hàng là một trong những cách an ninh nhất, có thể dùng trong những ứng dụng như giao dịch ngân hàng qua internet, nhưng mức độ an ninh không thể đảm bảo 100%. Trong trường hợp giao dịch ngân hàng qua internet, nếu PC bị nhiễm bởi các phần mềm xấu, mô hình an ninh sẽ bị phá vỡ. Phần mềm xấu có thể viết đè lên thông tin (cả thông tin đầu vào từ bàn phím và thông tin đầu ra màn hình) giữa khách hàng và ngân hàng. Nó có thể sẽ sửa đổi giao dịch mà khách hàng không biết. Có những phần mềm xấu như vậy, chẳng hạn như Trojan. Silentbanker). Các ngân hàng như FortisDexia ở Bỉ dùng một thẻ thông minh chung với một máy đọc thẻ không nối mạng nhằm giải quyết vấn đề trên. Khách hàng nhập một thông tin đánh giá từ trang web của ngân hàng, PIN của họ, và tổng số tiền giao dịch vào một máy đọc thẻ, máy đọc thẻ sẽ trả lại một chữ ký 8 chữ số. Chữ ký này sẽ được khách hàng nhập bằng tay vào PC và được kiểm chứng bởi ngân hàng.
3.3.2. e-Payment
Hình thức thanh toán e-Payment lại chia ra hai lĩnh vực riêng biệt là e-Commerce (TMĐT) và e-Banking (ngân hàng điện tử). Mặc dù e-Banking là công cụ chính để thực hiện các giao dịch TMĐT (e-Commerce) nhưng cơ cấu tổ chức của hai lĩnh vực này là khác nhau. Mô hình xây dựng hệ thống e-Banking đơn giản hơn nhiều so với hệ thống e-Commerce.
3.3.2.1. Phương pháp xác thực e-Commerce
Trong lĩnh vực thanh toán TMĐT qua Internet, việc lựa chọn một nhà cung cấp dịch vụ thanh toán (cổng thanh toán) tin cậy sẽ tránh được những rủi ro không đáng có, vấn đề bảo mật chắc chắn sẽ an toàn hơn so với khi không có một bên thứ ba đảm bảo giao dịch trực tuyến.
Những cổng thanh toán trực tuyến như Paypal, Onepal, Ogone... đều sử dụng cơ chế xác thực động nhiều yếu tố, thông tin giao dịch được mã hóa theo giao thức SSL là giao thức bảo mật phổ biến nhất hiện nay trong các hoạt động TMĐT.
Trong TMĐT thì việc sử dụng thẻ tín dụng thanh toán là phổ biến nhất, và hiện nay các tổ chức phát hành thẻ sử dụng số CvX in đằng sau mỗi thẻ tín dụng làm con số để xác thực. Hiện tại công nghệ thẻ thông minh ra đời giúp cho khách hàng yên tâm
không sợ bị đánh cắp thông tin trên thẻ tín dụng như trước đây. Thẻ thông minh EMV sử dụng công nghệ xác thực tiên tiến nhất hiện nay được ba tổ chức thẻ hàng đầu thế giới xây dựng (Europay, Mastercard, Visa).
e-Banking
Sử dụng xác thực hai yếu tố trong ngân hàng điện tử được xem là phương pháp xác thực tốt nhất hiện nay. Một cách hiệu quả để triển khai dịch vụ xác thực hai yếu tố là sử dụng nền tảng xác thực thẻ thông minh EMV.
Ngoài ra, vấn đề an ninh trong ngân hàng điện tử còn được tăng cường hơn nữa bằng một hệ thống phần mềm dành riêng cho bảo mật ngân hàng. Giải pháp này giúp ngăn chặn được phần nào những cuộc tấn công trái phép vào hệ thống.
Việc sử dụng chữ ký điện tử làm nhân tố xác thực trong các giao dịch cũng chính là một bằng chứng để tránh những tranh chấp không đáng có, vì chữ ký điện tử có giá trị pháp lý trong các giao dịch trực tuyến.
3.3.3.2. Những kỹ thuật về bảo mật3.3.3.2.1. e-Banking 3.3.3.2.1. e-Banking
Giao thức SSL
SSL (Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 43) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet. Giao thức SSL tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao