PREPARIAMO GLI INGREDIENTI ….. IMPASTIAMO … .. LAVORIAMO...USIAMO I COPPAPASTA …
Dalla strisciata in poi… …cosa succede quando usiamo una carta di credito.
-
Upload
timoteo-abate -
Category
Documents
-
view
220 -
download
0
Transcript of Dalla strisciata in poi… …cosa succede quando usiamo una carta di credito.
Dalla strisciata in poi…Dalla strisciata in poi…
……cosa succede quando cosa succede quando usiamo una carta di creditousiamo una carta di credito
IntroduzioneIntroduzione: dalla banda magnetica…: dalla banda magnetica…
La crittografiaLa crittografia
La firma elettronicaLa firma elettronica
I sistemi di pagamentoI sistemi di pagamento
Il protocollo LSSIl protocollo LSS
Aspetti legaliAspetti legali
Dalla strisciata in poi…Dalla strisciata in poi…
IntroduzioneIntroduzione
Dalla banda magnetica al Dalla banda magnetica al microchipmicrochip
La banda magneticaLa banda magneticaSoluzione tecnica utilizzata per conservare i Soluzione tecnica utilizzata per conservare i dati all'interno di una carta di credito. dati all'interno di una carta di credito.
Non adeguata ai bisogni crescenti di Non adeguata ai bisogni crescenti di sicurezza.sicurezza.
I limiti principali sono: I limiti principali sono: non può conservare i dati relativi al proprietario non può conservare i dati relativi al proprietario
della carta in modo sicuro della carta in modo sicuro
avendo una capacità di memoria limitata permette avendo una capacità di memoria limitata permette in genere una o due funzioni di pagamento: accesso in genere una o due funzioni di pagamento: accesso diretto al conto (carta di debito, bancomat) e/o diretto al conto (carta di debito, bancomat) e/o accesso ad una linea di credito (carte di credito).accesso ad una linea di credito (carte di credito).
La banda magneticaLa banda magneticaE’ composta da tantissime particelle E’ composta da tantissime particelle magnetiche di resina, dove sono magnetiche di resina, dove sono memorizzati dati.memorizzati dati.
In particolare, la banda contiene tre tracce:In particolare, la banda contiene tre tracce:
Traccia 1Traccia 1 (zona alta) - 79 caratteri alfa-numerici (zona alta) - 79 caratteri alfa-numerici
Traccia 2Traccia 2 (zona media) - 40 caratteri numerici (zona media) - 40 caratteri numerici
Traccia 3Traccia 3 (zona bassa) - 107 caratteri numerici (zona bassa) - 107 caratteri numerici
La seconda traccia è solitamente l'unica ad La seconda traccia è solitamente l'unica ad essere letta dai terminali POS.essere letta dai terminali POS.
La banda magneticaLa banda magneticaEcco un esempio dei Ecco un esempio dei dati memorizzati dati memorizzati sulla seconda banda:sulla seconda banda:
;4568089081990425;4568089081990425=060810146477117=06081014647711700000?=00000?=
;
Il primo carattere detto carattere sentinella Start Sentinel si trova sempre prima dell'inizo dei dati
4568089081990425Il PAN (Primary Account
Number) ovvero il numero della carta di credito
=Il separatore di campo Field
Separator
0608La data di scadenza della carta in
formato ANNO MESE
101Il codice di servizio che indica il
tipo di carta 101 per le carte di credito 121 per quelle di debito
4647711700000
Questo campo contiene i dati che sono risultati dall'algoritmo crittografico della banca emittente, qui è contenuto il valore offset del PIN (ovvero il PIN reale crittografato)
?End Sentinel posto sempre alla fine
dei dati
= Codice di controllo
Le smart cardLe smart card(O carte a microprocessore) memorizzano le informazioni in (O carte a microprocessore) memorizzano le informazioni in modo sicuro per poi utilizzarle durante la transazione.modo sicuro per poi utilizzarle durante la transazione.
maggiore capacità di memoria maggiore capacità di memoria
microprocessore interno microprocessore interno
sono utilizzate per accedere a più servizi sono utilizzate per accedere a più servizi
(es. sulla stessa carta possono essere memorizzati dati (es. sulla stessa carta possono essere memorizzati dati
identificativi, dati di accesso, concorsi a punti etc.)identificativi, dati di accesso, concorsi a punti etc.)
Questa caratteristica è chiamata Questa caratteristica è chiamata "multi-"multi-
applicazione"applicazione"..
……on lineon line
Un lettore permette di leggere le Un lettore permette di leggere le informazioni sulla banda magnetica o sul informazioni sulla banda magnetica o sul chip e di maneggiarle per l’uso specifico…chip e di maneggiarle per l’uso specifico…
Le informazioni finiscono on line!Le informazioni finiscono on line!
……on lineon lineIn questo processo due sono i puntiIn questo processo due sono i puntiprincipali:principali: L’azienda vuole essere sicura di incassare L’azienda vuole essere sicura di incassare
il dovuto e che il cliente non disconosca il dovuto e che il cliente non disconosca l’ordine effettuato l’ordine effettuato
Il cliente vuole che i dati della propria Il cliente vuole che i dati della propria carta di credito non vengano intercettati carta di credito non vengano intercettati nel corso della trasmissionenel corso della trasmissione
E’ possibile risolvere questi problemiE’ possibile risolvere questi problemimediante: mediante: CrittografiaCrittografia Firma elettronicaFirma elettronica
La crittografiaLa crittografia
Dal greco Kryptos: nascosto, è Dal greco Kryptos: nascosto, è l’insieme delle tecniche che l’insieme delle tecniche che consentono la cifratura di un testo.consentono la cifratura di un testo.
Ha lo scopo di rendere segreta una Ha lo scopo di rendere segreta una corrispondenza mediante una corrispondenza mediante una scrittura convenzionale.scrittura convenzionale.
Perché la crittografia
Privacy e sicurezza in retePrivacy e sicurezza in rete
TRASFERIMENTO DATI:TRASFERIMENTO DATI:
bancomat, carte di credito, Mediaset bancomat, carte di credito, Mediaset Premium, ecc.Premium, ecc.
K: chiave segreta condivisa K: chiave segreta condivisa
da mittente e destinatarioda mittente e destinatario
Messaggio Messaggio in chiaro: min chiaro: m
Messaggio Messaggio in chiaro: min chiaro: m
Messaggio Messaggio decodificatodecodificato
FFkk-1-1( m( mc c ))
Messaggio Messaggio decodificatodecodificato
FFkk-1-1( m( mc c ))
Algoritmo di Algoritmo di decodifica: Fdecodifica: Fkk
-1-1
Algoritmo di Algoritmo di decodifica: Fdecodifica: Fkk
-1-1
Algoritmo di Algoritmo di codifica: Fcodifica: FKK
ad esempio ad esempio il DESil DES
Algoritmo di Algoritmo di codifica: Fcodifica: FKK
ad esempio ad esempio il DESil DES
Sistemi di crittografia
Algoritmi: Data Encryption Standard
Algoritmo sviluppato da IBM ed adottato nel1977 dal governo USA come standardufficiale.Ogni messggio viene convertito in codiceASCII e diviso in blocchi. I blocchi sonomischiati fra loro tramite trasposizione; ogniblocco viene diviso in due e crittatoattraverso operazioni di sostituzione etrasposizione attraverso chiavi diverse,ricavate da una chiave originaria. Viene sconfitto nel 1998.
Sistemi a chiave pubblicaSono sistemi crittografici a due chiavi, detti asimmetrici.
utente
Chiave privata, con cui decodificare i messaggi che gli vengono inviati
Chiave pubblica, che altri utenti utilizzano per codificare i messaggi da inviargli
Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la sola in grado di poter decodificare correttamente i messaggi codificati con la chiave pubblica associata.
Crittografia RSA
Rivest, Shamir, Adleman nel 1978
Algoritmo a doppia chiave: una per crittare, l’altra per decrittare il messaggio
L’algoritmo di crittazione che è impossibile invertire. Utilizza funzioni matematiche con numeri primi
Caratteristiche della crittografiaCaratteristiche della crittografia Pur conoscendo l’algoritmo di cifratura e
disponendo di diversi messaggi cifrati non deve essere possibile risalire alla chiave
Pur conoscendo l’algoritmo di cifratura e disponendo di diversi messaggi cifrati e dei corrispondenti messaggi in chiaro non deve essere possibile risalire alla chiave
Mittente e ricevente devono scambiarsi la chiave e custodirla usando opportune misure di sicurezza
La chiave deve rimanere segreta
La firma elettronicaLa firma elettronicaLa firma digitale, o firma elettronica qualificata, è basata sulla tecnologia della crittografia a chiavi asimmetricheEssa è un sistema di autenticazione di documenti digitali analogo alla firma autografa su carta.Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche dei sistemi crittografici a due chiavi
Differenze tra firma digitale e firma convenzionale
Firma autografa Firma digitale
Creazione manuale mediante algoritmo di creazione
Apposizione sul documento: la firma è parte integrante del documento
come allegato: il documento firmato è costituito dalla coppia (documento, firma)
Verifica confronto con una firma autenticata: metodo insicuro
mediante algoritmo di verifica pubblicamente noto: metodo sicuro
Documento copia distinguibile indistinguibile
Validità temporale illimitata limitata dalla scadenza
Automazione dei processi
non possibile possibile
Valore giuridico della firma digitale in Italia
Nell'ordinamento giuridico italiano la firma digitale a crittografia asimmetrica è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta.
Essa è disciplinata da il Testo Unico sulla documentazione amministrativa.
Valore giuridico della firma digitale in Italia
Il Codice distingue i concetti di "firma elettronica", "firma elettronica qualificata" e "firma digitale".a) Per "firma elettronica" la legge intende qualunque sistema di autenticazione del documento informatico.b) La "firma elettronica qualificata" è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare la cui titolarità è certificata da un soggetto terzo. c) La "firma digitale", è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.Nella realtà concreta, la firma digitale è l'unico tipo di firma elettronica qualificata oggi conosciuto e utilizzato, per cui i due concetti tendono a coincidere.
Sistemi di pagamentoSistemi di pagamentoI principali metodi di pagamento on-line I principali metodi di pagamento on-line sono: sono:
Carta di Credito Carta di Credito
Bonifico Bancario Bonifico Bancario
Contrassegno Contrassegno
PayPal PayPal
Carte Prepagate Carte Prepagate
La carta di creditoLa carta di credito
VANTAGGIVANTAGGI LIMITILIMITI
Facilità d’uso:Facilità d’uso:
basta inserire il basta inserire il numero e la data di numero e la data di scadenza della cartascadenza della carta
Commissione Commissione percentuale sul percentuale sul transato a carico transato a carico dell’esercentedell’esercente
Confidenza nell’utilizzo Confidenza nell’utilizzo della carta di creditodella carta di credito
Sistema di pagamento Sistema di pagamento diffusodiffuso
PayPalPayPalPayPal è la società del gruppo eBay che PayPal è la società del gruppo eBay che consente a chiunque possieda un indirizzo consente a chiunque possieda un indirizzo email diemail di inviare o ricevere pagamenti inviare o ricevere pagamenti online.online.
Vantaggi:Vantaggi:FaciliFacili. Per configurare il sito web . Per configurare il sito web
bastano pochi minuti. bastano pochi minuti. SicuriSicuri. Gli innovativi sistemi di . Gli innovativi sistemi di
protezione dalle frodi consentono protezione dalle frodi consentono all'esercente di svolgere la sua attività in all'esercente di svolgere la sua attività in modo sicuro. modo sicuro.
CompletiCompleti. Il negoziante non ha bisogno . Il negoziante non ha bisogno di un conto commerciante a parte. I suoi di un conto commerciante a parte. I suoi clienti non hanno bisogno di un conto clienti non hanno bisogno di un conto PayPal. PayPal.
PayPalPayPal
Vantaggi Limiti
PayPal è facile e può essere eseguito in pochi minuti
E' richiesta una doppia registrazione da parte dell'acquirente se non è già registrato a
PayPal
Discreta diffusione del servizio Tariffe per le transazioni da 1,9% a 3,4% + €0,35 EUR, a seconda del volume mensile
Nessuna tariffa mensile e nessuna tariffa di configurazione
Inoltre, nessuna spesa di configurazione o Inoltre, nessuna spesa di configurazione o mensile. Vengono applicate delle tariffe per le mensile. Vengono applicate delle tariffe per le transazioni pari a 1,9% + €0,35 EUR. Le tariffe transazioni pari a 1,9% + €0,35 EUR. Le tariffe vengono applicate solo quando l'esercente vengono applicate solo quando l'esercente accetta un pagamento. Se non riceve denaro, non accetta un pagamento. Se non riceve denaro, non dovrà pagare nulla. PayPal è conveniente per le dovrà pagare nulla. PayPal è conveniente per le aziende di ogni dimensione.aziende di ogni dimensione.
Carte PrepagateCarte PrepagateImporto disponibile prefissato, simili alle carte Importo disponibile prefissato, simili alle carte telefoniche. telefoniche. Codice PIN ed Password.Codice PIN ed Password.L’importo viene detratto dalla carta. L’importo viene detratto dalla carta. Vantaggio: in caso di abusi, il danno subito non Vantaggio: in caso di abusi, il danno subito non potrà superare il valore della carta prestabilito. potrà superare il valore della carta prestabilito. Particolarmente adatte a transazioni on line di Particolarmente adatte a transazioni on line di importo medio-basso.importo medio-basso.
vantaggivantaggi limitilimitiSono facili da usare e Sono facili da usare e veloci da ottenereveloci da ottenere
Scarsa diffusioneScarsa diffusione
Più adatte alle Più adatte alle microtransazionimicrotransazioni
Costi elevatiCosti elevati
Il protocollo SSL: Secure Socket LayerIl protocollo SSL: Secure Socket Layer
E’ un protocollo che garantisce la E’ un protocollo che garantisce la
privacy delle comunicazioni su privacy delle comunicazioni su
Internet; esso permette infatti alle Internet; esso permette infatti alle
applicazioni client/server di applicazioni client/server di
comunicare in modo da prevenire le comunicare in modo da prevenire le
intrusioni, le manomissioni e le intrusioni, le manomissioni e le
falsificazioni dei messaggi. falsificazioni dei messaggi.
Il protocollo SSL: Secure Socket LayerIl protocollo SSL: Secure Socket Layer
Il protocollo SSL opera in due fasi: SSL handshake: in questa fase avviene lo
scambio di informazioni tra cliente e server per realizzare, sfruttando la crittografia a doppia chiave pubblica-privata, la costruzione di un canale sicuro per le comunicazioni
Avvio delle comunicazioni sicure con un sistema di crittografia simmetrico sfruttando una chiave di sessione generata nella fase precedente
Il protocollo SSL: Secure Socket LayerIl protocollo SSL: Secure Socket Layer
Come funziona tale protocollo?Un utente accede ad un sito sicuro (https)Il browser dell’utente invia al server una richiesta di connessione con: cipher setting, dati generati casualmente, e altre informazioni necessarie per stabilire la connessione.Il server risponde inviando al browser dell’utente il proprio cipher setting, il certificato digitale e, in alcuni casi, una richiesta di certificato del cliente.Il cliente verifica il certificato del server e, se l’autenticazione fallisce, la procedura viene interrotta e l’utente viene informato che non è possibile stabilire una connessione verificata. Il browser dell’utente genera una chiave di sessione da utilizzare per trasmettere informazioni criptate con un sistema di crittografia simmetrica.
Aspetti legaliAspetti legaliPer Commercio Elettronico si intende l'utilizzo di sistemi
telematici per mezzo di computer, per concludere transazioni commerciali direttamente a casa del consumatore (commercio on line).
Gli aspetti tecnico-legali riguardano la riservatezza, il riconoscimento legale della firma digitale e il processo di compravendita.
Si applicano le norme sui contratti previste dal Codice Civile.Infatti una compravendita resta tale anche se conclusa tramite Internet.
La vendita avviene mediante una rappresentazione virtuale del suo oggetto ed il consumatore ha l'opportunità di esaminare realmente i beni acquistati solo al momento della
loro consegna.
Aspetti legaliAspetti legaliLa compravendita, in particolare, è un istituto che
per essere perfetto richiede che alcuni punti siano
verificati:
1. la buona volontà delle parti a perfezionare il negozio (consenso delle parti) e la cura nel verificare la corrispondenza tra dichiarazione ed attese, per cui sulla base delle aspettative ognuna delle parti ottiene benefici dallo scambio di beni;
Aspetti legaliAspetti legali2. la garanzia per evizione e per vizi dei beni
scambiati: il venditore virtuale ha l'obbligo di far acquistare al compratore la proprietà della cosa senza che nessun altro possa pretendere di esserne proprietario ed anche garantire che l'oggetto sia immune da difetti che lo rendano inidoneo all'uso e ne diminuiscano in modo apprezzabile il valore.
3. la possibilità di essere integrati in caso di difetti o frode con il diritto per il compratore di ritirarsi dall'acquisto entro sette giorni dalla firma del contratto o dal ricevimento della merce.
Aspetti legaliAspetti legaliFattori determinanti per la diffusione delCommercio Elettronico sono: 1. la fiducia nel sistema da parte degli
operatori (banche, commercianti, acquirenti) del sistema beni-moneta virtuale;
2. la sicurezza del sistema, ovvero la capacità di evitare truffe o di identificarle e neutralizzarle, evitando conseguenze negative per gli operatori;
3. la resistenza al cambiamento, fatto ben noto di costume e di comportamento.
Per approfondire…Per approfondire…Metodi di lettura delle bande Metodi di lettura delle bande magnetichemagneticheApetti giuridici e legali del commercio Apetti giuridici e legali del commercio on lineon lineAspetti storici del commercio on lineAspetti storici del commercio on lineAspetti culturali della diffusione del Aspetti culturali della diffusione del commercio on linecommercio on lineLa crittografiaLa crittografiaLa firma digitaleLa firma digitale……
Fine Fine
Grazie per l’attenzioneGrazie per l’attenzione
Prof.ssa Marialetizia PedrinazziProf.ssa Marialetizia Pedrinazzi
Prof.ssa Daniela Strangis Prof.ssa Daniela Strangis
Istituto ”C.Pesenti”- BergamoIstituto ”C.Pesenti”- Bergamo