PowerPoint bemutat

1
E-BUSINESS Digitális Pénzügyek II.

• Elektronikus fizetoeszközök, elektronikus pénz,
• elektronikus pénztárca
• (bankkártyák, chipkártyák)
• Internetes vásárlás, internetes fizetési
  módszerek
• Ügyfélazonosítási módszerek
• (smartcard, biometria)

2002. november 6.
2
Kártyatörténet

• 1950 elso plasztikkártya (Diners Club) név,
  számok, kódok
• 1970-es évek mágnescsíkkal ellátott kártyák
  (210 bit/inch
• információ kb. 80
  alfanumerikus/7 bites karakter)
• A mai mágneskártyák három részre
  vannak felosztva
• csak olvasható információkat tárol (megfelel az
  eredeti
• mágnescsíknak)
• 40 számjegyet tárol, 75 bit/inch suruséggel
• írható-olvasható terület, 107 számjegy
  tárolására
• Optikai kártyák nagyobb információ tárolási
  suruség, néhány MB
• adat tárolására foleg
  az egészségügyben használatos
• (pl. röntgen felvételek
  tárolására is alkalmas)
• 1979-tol chipkártyák
• Fajtái
• memóriakártyák
• mikroprocesszoros chipkártyák
• programozható intelligens kártyák

3
A bankkártyákról 1/5

• Hazai bankkártyák fajtái
• Betéti (debit) kártyák a bankkártya használata
  csak fedezet ellenében lehetséges
• Hitel (credit) kártyák a kártya igényléséhez és
  használatához nem kell betétet elhelyezni a
  felhasznált hitelkeret egy részét (5-10) ált.
  havonta be kell fizetni.
• VRC Variable Repayment Creditcard
• Terhelési (charge) kártyák a felhasznált pénzt
  teljes egészében vissza kell fizetni a
  számlakivonat kézhezvétele után.
• FRC Fixed Repayment Creditcard

4
A bankkártyákról 2/5

• A bankkártyák típusa
• Konvertibilis (nemzetközi logós) a kártya
• mögötti forint fedezet az egész világon
• hozzáférheto, ahol a kártyán szereplo logó fel
• van tuntetve.
• Belföldi kártyák csak belföldön használható,
• nem konvertibilis.

5
A bankkártyákról 3/5

• A bankkártyák használhatóság szerinti csoportjai
• ATM kártyák csak bankjegykiadó automatákban
• használható, kizárólag készpénzfelvételre.
• Online (elektronikus) kártyák az állandó banki
• összeköttetéssel rendelkezo pontokon a
  számlánkról
• közvetlenül fizethetünk vele és ATM-ekben is
• használhatók.
• Elfogadóhelyek típusa online, offline
• Kártyaelfogadó berendezés POS terminál
• Offline (dombornyomású) kártyák offline
  elfogadó-
• helyeken, helyi ügyfélazonosítás után, bizonyos
  limit-
• összegig használható. POS terminálokon és
  ATM-ekben
• is használhatók.
• Kártyaelfogadó berendezés imprinter (lehúzógép)

6
A bankkártyákról 4/5
Nemzetközi kártyaszervezetek és bankkártyáik
7
A bankkártyákról 5/5

• A bankkártyák jellemzoi
• fajta betéti, hitel vagy terhelési kártya
• típus nemzetközi logós, belföldi
• kibocsátó bank
• készpénzfelvétel díja bankfiókban ill. postán
• készpénzfelvétel díja saját vagy egyéb ATM-ben
• készpénzfelvétel díja külföldi ATM-ben
• vásárlás (ált. ingyenes belföldön és külföldön
  is)
• rendelkezésre álló belföldi ill. külföldi ATM-ek
  száma
• elfogadóhelyek száma belföldön ill. külföldön
• éves tagsági díj, zárási díj
• készpénzfelvételi ill. vásárlási limit

8
Hazai bankkártya-történet
1988 elso hazai kibocsátású bankkártya
devizaszámlához kapcsolódott, csak
külföldön lehetett használni 1989 belföldi
kártyák kibocsátása csak a kibocsátó bank
hálózatán belül fogadták el 1991
nemzetközi logós belföldi használatú kártyák
kezdetben a bankok kétoldalú megállapodás
alapján fogadták el 1996
bankkártyás fizetéseknél konvertibilissé vált a
forint (forintszámlához kötodo
nemzetközi logós kártyákat külföldön
is lehet használni) 1997 elso hazai kibocsátású
hitelkártya (Visa Classic) Diners
Club kártyák magyarországi megjelenése 2001
bankkártya internetes vásárláshoz
9
Biztonsági problémák

• a mágneses-alapú bankkártyák könnyen
  hamisíthatók
• (a mágnescsík egy megfelelo olvasóberendezés
  segítségével
• éppen olyan könnyen olvasható, mint egy floppy
  lemez)
• PIN kód megszerzésének módszerei
• vékony fóliát raknak a billentyuzetre, ami
  megorzi a lenyomott
• billentyuk helyét
• franciaországi eset ál-automata felállítása
  (90-es évek elején)
• hamis vagy lopott kártyával vásárlás
• (sok helyen a zsúfoltság miatt csak aláírást
  kérnek)
• a POS-ba letöltött feketelisták nem jelentenek
  igazi védelmet,
• ugyanis ezeket csak naponta frissítik, a lopott
  kártyát viszont
• azonnal felhasználják
• a vásárlásnál a teljes egyenleget fel lehet
  használni !!!
• (ATM-nél csak limitált összeget)

10
Chipkártyák 1/5

• 1970-es évek óta vannak forgalomban
• olyan bankkártya, melybe mikrochipet szerelnek,
  amely
• chip tartalmazza az elköltheto pénzösszegrol az
  összes
• információt
• ha a chipben nyilvántartott összeg elfogyott a
  kártya
• eldobható vagy feltöltheto
• pótolja az ATM bank ill. a POS bank közötti
  drága
• online összeköttetést
• a chip több biztonságot nyújt mint az online
  összeköttetés,
• ezért a legújabb generációs kártyarendszer
  offline
• biztonságosabb mint a mágneskártya védi a
  tárolt
• információt a sérüléstol és a lopástól

11
Chipkártyák 2/5

• A chipkártya (intelligens kártya, smartcard) a
  legfejlettebb
• plasztikkártya több ezer oldalnyi adatot tud
  tárolni a beépített
• mikrochipben.
• A chip lehet
• memóriachip
• mikroprocesszor
• A chipkártyák és a kártyaleolvasók közötti
  adatátvitel szerint
• érintkezos chipkártyák
• érintkezo nélküli chipkártyák
• kombinált chipkártyák
• A mikroprocesszoros chipkártyák multifunkciósak
  is lehetnek.
• Egyes chipkártyákon mágnescsík is van.

12
Chipkártyák - Memóriakártyák 3/5

• elsosorban információ tárolására alkalmas
• memóriachip van beágyazva a memóriakártyákba
• a tárolt adatok leolvashatók és
  megváltoztathatók
• az értéket tároló kártyák kezdoösszeggel
  kerülnek
• forgalomba, ami minden használat után csökken
• elektronikus pénzt tárol, ami a memóriachipben
• lévo számokból áll
• eldobható vagy feltöltheto
• Optikai vagy lézerkártyák
• több MB digitálissá alakított adat tárolására
  képes
• (szöveg, kép, hang, zene, szoftver stb.)

13
Chipkártyák Mikroprocesszoros chipkártyák 4/5

• mikroprocesszor van beépítve a kártyába
• adattárolásra és adatfeldolgozásra is képes
• SPOM chip (self-programmable one-chip
  microcomputer)
• ehhez a mikroszámítógéphez operációs rendszer is
• tartozik multitasking, multithreaded,
  multi-user smart card
• operating system (SCOS)
• (pl. Windows for Smart Cards)
• Esettanulmány SmarTACC rendszer
• www.alfagas.hu/smart_h_new.html

14
Chipkártyák 5/5
Érintkezos chipkártyák csak kártyaolvasón
keresztül tudnak külso készülékekkel és
számítógépekkel kommunikálni Érintkezo nélküli
chipkártyák rádió adó-vevo van beágyazva, mely
a kártyaolvasóval vagy más készülékkel jeleket
vált (nem kell bedugni) Kombinált (hibrid)
chipkártyák kontakt-chippel és rádió
adó-vevovel is fel van szerelve Multifunkciós
(többalkalmazású) chipkártyák mikroprocesszoros
chipkártya többféle feladat ellátására alkalmas
(pl. azonosítás, belépés-ellenorzés,
pénzügyi, egészségügyi stb. alkalmazások)
15
Chipkártyafelhasználás területei

• pénzügyek a forgalomban lévo plasztik kártyákat
  mikroprocesszoros kártyák váltják fel az
  ATM-eket és a kártyaelfogadó helyeket
  átalakítják, hogy chipkártya elfogadására
  alkalmasak legyenek elektronikus pénztárca
• távközlés Mobiltelefon SIM kártya olyan
  mobiltelefonokat fejlesztenek ki, melyekbe még
  egy chipkártya, a felhasználó chip- alapú
  bankkártyája is behelyezheto online fizetéshez
  (pl. Motorola StarTAC)
• TV muholdas és kábeltelevíziós
  szolgáltatásoknál elofizetok azonosítására
• egészségügy kórtörténet, adatok, röntgen
  felvételek tárolására
• tömegközlekedés menetjegy vásárláshoz
• törzsvásárlói programok vásárlók azonosításához
  (pl. Shell)
• személyazonosítás épületekbe, parkolókba
  történo belépéshez
• diákigazolvány multifunkciós kártya
  (beléptetés, fénymásolás, számítógépek
  és könyvtár használata stb.)
• közigazgatás személyi igazolvány, jogosítvány,
  TB kártya stb.

16
Elektronikus pénztárca I.

• az intelligens kártyák legkorábbi felhasználása
• a smart kártyát készpénz befizetése ellenében,
  vagy
• folyószámlánk terhére adott összeggel
  feltöltik, és ezt
• az összeget maga a kártya tárolja
• fizetéskor ez az összeg csökken a kártya
  memóriájában
• anélkül, hogy ellenorizni kellene a
  hitelképességet
• kis összegu fizetésekhez, gyors, offline
• fizetéskor nem kell aláírás sem, tehát mindkét
  fél
• részérol minimális a kockázat
• fizetéskor az elfogadóhely nem a folyószámlán
  végzi a
• tranzakciót
• újratöltheto

17
Elektronikus pénztárca II.

• A CEPS csoport (Europay International, Visa
  Espana/SERMEPA,
• Visa International és ZKA) 1998. december végén
  közzétette
• azokat a specifikációkat, amelyek segítségével a
  világ különbözo
• elektronikus pénztárca programjai képesek az
  együttmuködésre. A közös elektronikus pénztárca
  specifikációk (CEPS, Common Electronic Purse
  Specifications) létrehozása jelentos lépés a
  nyílt elektronikus pénztárca szabvány
  megteremtése felé.
• A specifikáció
• megadja mik a feltételei annak, hogy egy
  szervezet kompatíbilis
• elektronikus pénztárca programot vezessen be
• megköveteli az EMV szabványokkal való
  kompatibilitást
• megfogalmazza a rendszer funkcionális
  követelményeit
• a fokozott biztonság érdekében külön titkosítási
  kulcsot alkalmaz

18
EMV96 szabvány
A pénzzel feltöltheto fizetokártyák (chipkártyák)
1996-ban kialakított biztonsági szabványa. 1996
végén az Europay International, a MasterCard
International és a Visa International egyezségre
jutott, hogy közösen készítik el a chipkártyák
integrációs szabványát EMV96 néven. Az új
szabvány a biztonságos fizetési módokat támogató
SET szabványcsomagon alapul. Az EMV
kialakította a pénzvilág elso globális chipkártya
infrastruktúráját. Segítségével lehetové vált,
hogy biztonságos körülmények között vásárolhassana
k a kártyatulajdonosok hálózati számítógépen,
PC-n vagy mobiltelefonon keresztül.
19
SET (Secure Electronic Transaction) szabvány

• A MasterCard és a Visa által kidolgozott SET
  protokollszabvány
• (1996. 02. 01.) a bankkártya-alapú internetes
  tranzakciók biztonságos
• lebonyolítását segíti. Az RSA titkosítási
  eljáráson alapul. Az alábbi
• biztonsági követelményeket elégíti ki
• a rendelési és fizetési adatok bizalmas kezelése
  
• a kártyatulajdonos mint vásárló azonosítása
• a kereskedo mint eladó azonosítása
• az adatok integritásának védelme elektronikus
  aláírások
• használatával
• a letagadhatatlanság (non-repudiation)
  garantálása
• A protokoll teszi lehetové a tranzakciót
  lebonyolító felek részére a
• digitális aláírás részleteinek rögzítését. A
  protokoll megvalósításában
• valamennyi résztvevot a vásárlót, az eladót, a
  feldolgozót, az
• igazolószervezetet, valamint a bankokat megfelelo
  informatikai
• alkalmazások képviselik, amelyek közül a
  szolgáltatás
• igénybevevojének elég csupán egy böngészovel
  rendelkeznie.

20
A SET elodei

• A nyílt hálózatokon keresztül teljesített
  elektronikus átutalások
• biztonsága érdekében kifejlesztett adatátviteli
  szabványok összefoglaló
• neve SEPP (Secure Payment Protocols)
• A SET szabvány a következo javaslatokat használja
  fel
• Mastercard IKP (Internet Keyed Protocol)
• elektronikus fizetési protokoll
• IBM fejlesztés
• az RSA nyílt kulcsú titkosításon alapul
• Visa STT (Secure Transaction Technology)
• pénzügyi tranzakciókhoz kifejlesztett biztonsági
  protokoll
• Microsoft javasolta, de nem valósította meg
• nem avatkozik bele a bank és ügyfele,vagy a
  kereskedo és
• vásárlója közti üzleti kapcsolatba
• digitális aláírást használ

21
Smartcard elonyei

• olcsóbb kezeloberendezés mint a mágnescsíkos
  kártyáknál
• könnyu áttelepíthetoség, mobilitás (nincs
  szükség online
• kapcsolatra a bankkal)
• szélesköru felhasználhatóság
• tároló kapacitás
• gyorsabb vásárlás (kis összeg esetén)
• (nem kell ellenorizni a kártya
  fizetoképességét)
• nincs tranzakciós költsége
• biztonságos
• a kártya másolása nehezebb, költségesebb
• a vonal nem lehallgatható, mert nincs vonali
  kapcsolat
• információ-hozzáféréshez biztonsági szinteket
  rendelhetünk

Smartcard hátránya

• drágább mint a mágnescsíkos kártya

22
Biztonsági rés a smart kártyákban A feltöréshez
egy vaku és egy mikroszkóp kell 2002. május
20. Brit komputerbiztonsági kutatók azt
állítják, hogy egy vaku és egy mikroszkóp
segítségével titkos információkat lehet
leolvasni a szélesköruen használt smart
kártyákról.
23
Felépítés (ISO 7816)
24
Az e-kereskedelmi rendszer
Az elektronikus kereskedelmi rendszer 3 fo
részbol áll- Elektronikus áruház- Elektronikus
bank- Elektronikus pénztárca, (hitelkártya)
egyéb fizetési formák Háttér a megfelelo
árukészet és a szállításlogisztikai
kapacitás.
25
Internetes vásárlás folyamata Megrendelés,
fizetés, szállítás
26
Internetes vásárlás Fizetési lehetoségek
27
Internetes fizetési módszerek 1/3

• Jelenleg nem léteznek elfogadott szabványok az
  Interneten történo fizetések lebonyolítására.
• Az Interneten való fizetés szempontjából két
  szintet különböztetünk meg
• A magasabb összegu vásárlások esetén a vásárlás
  során a
• tranzakciós költségek és az idotényezo
  legtöbbször nem okoz
• problémát. Ez a makrofizetési szint.
• Az alacsony összegu, lehetoleg gyors vásárlások
  során
• a magas tranzakciós költség és ido ellenben már
  nem tenné
• rentábilissá a vásárlást. Ez a mikrofizetési
  szint.

28
Internetes fizetési módszerek 2/3
Makrofizetés A makrofizetésre jelenleg
általánosan elfogadott megoldás a hagyományos
bankkártyák használata. Nyugat-Európában és
Amerikában az Internetes bankkártyás fizetés
tranzakciós költsége egy adott minimum díj
mellett, 2-3 körül van, az ellenorzési ido 30
másodpertol másfél percig tart. A bankkártyás
fizetés legnagyobb problémája sokak szerint a
felhasználók bizalmatlansága. A makrofizetés
biztonsági problémájának megoldására már létezik
egy kidolgozott rendszer a SET.
29
Internetes fizetési módszerek 3/3

• Mikrofizetés
• A mikrofizetés a néhány dollártól, az egy cent
  alatti fizetések
• lebonyolítását jelenti. A néhány dollár körüli
  fizetések már nem
• oldhatók meg a magas tranzakciós költségek miatt
  bankkártyával.
• Megoldás
• mikrofizetésre is alkalmas anonim elektronikus
  pénz
• nem teljesen anonim, kifejezetten mikrofizetésre
  kifejlesztett
• elektronikus pénz

30
Elektronikus készpénz
Az ideális kibertéri fizetoeszköz az elektronikus
készpénz (e-cash) monetáris értéket testesít
meg, amely közvetlen, azonnali cserére
alkalmas. Elektronikus pénznek azokat a
rendszereket nevezzük, amelyek az érmék és
pénzjegyek jellemzoit a leginkább magukon
hordozzák tehát nem névre szólóak,
értékegységekre tagolódnak, stb. Az
elektronikus készpénz olyan monetáris értéket
megtestesíto elektronikus formában tárolt
mennyiség, melyet a benne megtestesülo érték
közvetlenül cserére alkalmassá tesz és a fizetés
a tranzakcióval egy idoben, azonnal történik.
31
Az e-pénz tulajdonságai

• könnyen azonosítható, tartós, a hamisítás
  költséges és bonyolult
• más elektronikus pénzformáktól megkülönbözteto
  sajátságokkal bír
• elore kifizetett értéket képvisel nem pusztán
  hozzáférést egy
• értéktárhoz (mint a bankkártyák) és ezért
  mindenki használhatja
• banki közvetítés nélkül, egyszer költheto el,
  alacsony tranzakciós
• költség mellett
• fajtái
• érmeszeru forma anonim zsetonalapú
  (token-based) elektronikus
• készpénz, a hagyománykövetobb fajta
• bankkártyához hasonló értékjelölt fizetési
  (float-based) fajta
• biztonságos az e-pénz elvesztése esetén egy
  másolat
• segítségével újra használhatjuk, ha ellopják a
  sorozatszáma
• alapján letilthatjuk

32
Az e-cash elonyei

• korlátlan névtelenséget biztosít a vásárló
  számára, nem kell más
• személyek elott a vásárlónak személyazonosságát
  feltüntetnie
• sem a bank sem a transzakcióban részt vevo más
  fél nem szerez
• tudomást az ügylet tartalmáról, illetve a
  kereskedo is csak az ügylet
• tartalmát ismeri, de a vásárló személyét nem
• az eCash használata nem túl bonyolult, mind az
  eladó mind a
• vásárló elektronikus pénztárcája hasonlóan
  használható
• a bank szempontjából ennek a pénznek az a nagy
  elonye,
• hogy a könyvelési pénz mindig a bank oldalán
  marad, és
• ezzel együtt a kamatjövedelem is, amelyet a
  bank az
• ügyfélnek jóváír
• jelenleg az internetes eCash használata jogilag
  leginkább az
• utazási csekkek használatával analóg

33
Az elektronikus pénz

• Az elektronikus pénzeket a felhasználó
  azonosíthatóságának
• lehetosége és a visszaigazolás léte alapján
  csoportosíthatjuk.
• Fizetési mód
• azonosítható, ha felhasználója és felvevoje
  transzparens
• azonosíthatatlan, ha nincs lehetoség a tranzakció
  követésére.
• Elektronikus pénz
• online pénz a tranzakciót azonnali visszajelzés
  követi
• offline pénz a tranzakciót nem feltétlenül
  követi azonnal
• visszajelzés
• Az Interneten alapvetoen három fizetési rendszer
  használható.
• A készpénz hálózati megfeleloje az elektronikus
  készpénz. Az értékét
• a tokenek képviselik.
• A csekkek elektronikus megfeleloje hitel-,
  illetve bankkártyák,
• amelyek bankszámla létezését feltételezik.
• Biztonságos hitelkártya-bemutatási rendszerek.

34
Az elektronikus pénz feldolgozásának lépései
35
Chipkártyával az Interneten I.
A világon elsoként a BarclayCard vállalt
MasterCard kártyákkal az EMV-szabványon alapuló
internetes fizetési tranzakciót. A muvelet
bármely chipkártya-leolvasóval rendelkezo PC-rol
elvégezheto. Az EMV (Europay/MasterCard/Visa)
szabványt a legnagyobb kártyatársaságok hozták
létre azzal a céllal, hogy a bankkártyákkal
végzett tranzakciókat biztonságosabbá tegyék. Az
EMV kártyák a hagyományos mágnescsík helyett
chipet tartalmaznak, mely egyértelmuen
azonosítja a kártyát és tulajdonosát,
megakadályozva ezzel lopás, elvesztés és másolás
okozta visszaéléseket. A kártyatársaságok 2005
január elsejétol a hagyományos mágnescsíkos
bankkártyákkal kapcsolatos visszaélések által
okozott kárt teljes mértékben a bankokra és a
kereskedokre hárítják.
36
Chipkártyával az Interneten II.
A világ bankjai elfogadták az EMV-szabványon
alapuló chipkártyát a mágnescsíkkal ellátott
bankkártya utódjaként. Az Europay International
kidolgozta a Smart Card Payment Protocol (SCPP,
intelligens kártyás fizetési protokoll)
technológiát, mellyel biztonságosan és egyszeruen
megoldható a vásárlás az Interneten. Az SCPP a
tranzakcióban résztvevoket azonosítja, hitelesíti
és a pénzügyi adatok kezelésére a TLS (Transport
Layer Security) Internet-szabványt alkalmazza,
ami az SSL (Secure Socket Layer) protokoll utódja.
37
SSL (Secure Socket Layer) Biztonsági Csatlakozó
Réteg

• ISO/OSI szállítási rétegben, TCP/IP alkalmazási
  rétegben fut
• hálózaton továbbított üzenetek titkosítására
  használható
• feladata, hogy a kliens és a szerver között
  létrejött megállapodás
• alapján minden kérést, választ, adatot kódoljon
  és dekódoljon
• protokoll réteg, amelyet egy kapcsolati protokoll
  és egy alkalmazási
• protokoll közé lehet elhelyezni a biztonság
  növelése érdekében
• elvégzi a titkosítást, integritási védelmet és a
  hitelesítést
• a titkosítást megbízható titkosító algoritmusok
  alapján
• (RSA, DES, stb.), az integritás védelmet MAC
  algoritmussal,
• a hitelesítést tanúsítványokkal és digitális
  aláírásokkal biztosítja
•  az adatok átvitele két különbözo titkosító
  kulcspár alapján történik
• az egyikkel a szerver felé érkezo kéréseket a
  másikkal a szervertol
• kimeno adatokat titkosítja ezek a
  session-kulcsok
• Tehát az adatok már titkosítva kerülnek le a
  TCP kapcsolati szintre.
• mindkét oldalon 2 kulcs van, az egyiket a bejövo
  adatok dekódolására
• a másikat a kimeno adatok titkosítására
  használja

38
TLS (Transport Layer Security)

• SSL-en alapul
• TLS szabvány, SSL a szabvány implementációja
• képes a felhasználók biztonságos azonosítására
  és a
• programozók számára lehetové teszi, hogy olyan
  TLS-t
• felhasználó kódot írhassanak, mely anélkül
  képes más
• folyamatokkal kódolt információk cseréjére,
  hogy a kódot
• létrehozó programozónak a többi program kódját
  ismernie
• kellene
• olyan keretrendszert biztosít, melyet új, nyílt
  kulcsú és más
• kódoló algoritmusok is felhasználhatnak

39
WTLS Wireless TLS
40
Internetes fizetés hazai biztonsága

• bankkártyás fizetés SSL szabvánnyal
• a legelterjedtebb internetes fizetési megoldás
  az SSL a vásárló PC-jén futó böngészo
• és a távoli szerver közötti kommunikációs
  csatornát titkosítja 128 bites titkosítás,
• a kommunikáció során mozgó bankkártya adatok
  mások számára nem hozzáférhetoek
• WebKÁRTYA
• virtuális Eurocard/Mastercard bankkártya, OTP
  fejlesztette ki, az internetes
• tranzakciók ellenértékének kiegyenlítésére
  szolgál a kártya OTP H_at_zibankon
• keresztül feltöltheto
• Mobil Kártyakontroll (OTP)
• Interneten kártyával végzett vásárlásról az
  ügyfél SMS üzenetet kap
• Dont Worry (KH) szolgáltatás
• S_at_FENET fejlesztette ki Internet plasztik
  kártya (csak internetes tranzakciókban
• használható fel) kapcsolódik a
  szolgáltatáshoz bankkártyás internetes
  vásárlásról
• SMS-t küld, válasz SMS-ben a tranzakció
  megerosítését várja
• SET alapú fizetés
• legbiztonságosabb, kiválóan alkalmas B2C típusú
  tranzakciók lebonyolítására
• SET adatforgalmat titkosítja, digitális
  aláírással azonosítja a feleket, fizetési és
• rendelési adatok integritását garantálja (az
  üzenet tartalmát ne lehessen késobb

41
Néhány tanács a biztonságos vásárláshoz

• Vásároljunk high-tech és fizessünk low-tech
  módon.
• A megrendelésre felhasználhatjuk a
  legkorszerubb internetes megoldásokat, de
• bankkártya információinkat inkább hagyományos
  módon (telefon, fax, levél)
• továbbítsuk. Vagy fizethetünk postai
  utánvéttel is.
• E-mailben soha ne küldjük el a bankkártyánk
  számát!
• Körültekintéssel vásároljunk.
• Ne adjuk meg a bankkártyánk számát olyan
  kereskedonek, aki nem
• ún. biztonságos szervert (secure server, https)
  használ.
• A bankkártya számának továbbítása elott
  tájékozódjunk a
• kereskedorol. (Better Business Bureau, Internet
  Fraud Watch)
• Internet Fraud Watch (csalásfigyelo) program
  online csalások
• bejelentését, nyomon követését ill.
  megakadályozását segíti elo
• Nyissunk számlát. Egyes kereskedoknél a
  késobbiekben a
• létrehozott számla terhére vásárolhatunk.

42
Elektronikus/internetes fizetési rendszerek és
kapcsolatuk az intelligens kártyák világával 1/5

• Jövo
• PTD (Personal Trusted Device) kijelzovel és
  billentyuzettel
• rendelkezo smartcard eszköz
• internetes vásárláshoz, mobiltelefonra
• Chipkártya az internetes vásárlásban
• biztonsági muveletek végrehajtására képes
• probléma nem kontrollálható
• PTD Tamper Resistant Sim Tamper Proof
• TRS WIM (WAP Identity Module azonosításra és
  aláírásra képes
• smartcard két különbözo titkos, nyilvános kulcs
  kell hozzá)
• TP ME (Mobile Equipment, mobiltelefon)
• tamper hamisít

43
Elektronikus/internetes fizetési rendszerek és
kapcsolatuk az intelligens kártyák világával 2/5

• internetes vásárlás mobiltelefonnal
  (mobiltelefon és Internet-
• hozzáféréssel rendelkezo PC csatlakoztatása)
• olcsó, nem kell GSM hívás az internetes áruház
  eléréséhez
• a vásárlás PC-s, a fizetés mobil környezetben
  történik
• fizetés a számla digitális aláírása
• WAP-on keresztüli vásárlás vásárlás PC-s
  környezetben,
• fizetés mobiltelefonnal GSM hálón keresztül
• bolti vásárlás mobiltelefonnal

44
WAP architektúra
45
Elektronikus/internetes fizetési rendszerek és
kapcsolatuk az intelligens kártyák világával 3/5

• Internet Fizetési Protokollok
• pont-pont közötti rejtjelezés digitális aláírás
• anonimitás, információ elrejtés biztosítása
• Fajtái
• Tranzakció alapú egyik bankszámláról a másikra
  történo átutalás
• IKP (Internet Keyed Payment) protokoll ? SET
  (Secure Electronic
• Transaction) szabványcsomag (OI, PI, hash
  értékek mozognak)
• Probléma banki tranzakció kell hozzá
  (költséges), online kapcsolat
• kell a bank és a kereskedo között
• Elektronikus pénz olyan hamisítatlan bitsorozat,
  ami csak egy
• példányban létezik (vak aláíráschip
  rejtjelezéstechnikai megoldás)
• Mikrofizetés

46
Elektronikus/internetes fizetési rendszerek és
kapcsolatuk az intelligens kártyák világával 4/5

• Az elektronikus pénz muködése
• a vevo eloállít egy véletlen számot, ebbol a
  véletlen számból csinál
• egy veretlen pénzérmét (ami megadott értékkel
  bír)
• a véletlenszeruen generált számot 2x egymás után
  leírja
• ezt a pénzt a vevo (lezárt borítékban) elküldi
  a banknak, aki
• vakon aláírja, majd visszaküldi a vevonek (ez
  az aláírás nyomot hagy
• a veretlen pénzérmén, vagyis az sorszámmal lesz
  ellátva)
• a pénz beváltásakor a bank akkor fizet, ha az
  adott sorszámot más
• még nem mutatta be (többször elköltött pénz
  problémája)
• teljes anonimitást biztosít
• banki felügyeleti kontroll hiánya jellemzi
• gyakorlatban nem alkalmazzák (a technikai
  megoldás adott)

47
Elektronikus/internetes fizetési rendszerek és
kapcsolatuk az intelligens kártyák világával 5/5

• A mikrofizetés rendszere
• kisösszegu fizetések esetén magas a tranzakciós
  költség
• megoldás offline korlátos, kockázatvállaláson
  alapul
• szereplok vevo, kereskedo, bróker, (bank)
• a vevo a brókertol vásárol (sorszámozott)
  tokeneket
• a vevo az így beváltott tokeneket költi el a
  kereskedonél
• a kereskedo beváltja a tokenjeit pénzre a
  brókernél
• minden szereplo visszaélése felderítheto
• felhasználók bizalma hiányában ezt a technikát
  nem alkalmazzák

48
Személyazonosítási módszerek 1/4

• Az egyértelmu azonosításhoz a következo,
  személyenként eltéro,
• egyedi élettani vagy viselkedési jellemzoket
  használják
• aláírás
• arckép
• ujjlenyomat
• talplenyomat
• hangtónus
• DNS genotípus
• fehérvérsejt antigén
• kézgeometria
• az arc vagy a csukló ereinek hálózata
• a szem retinájának vagy íriszének mintázata stb.
• Ezeket a jellemzoket bonyolult muszerek és
  különféle érzékelok
• segítségével lemérik, majd digitálissá alakítják
  és számítógépes
• adatbázisokban tárolják késobbi összehasonlítás
  céljából.

49

Személyazonosítási módszerek 2/4
Ezt a technikát biometriának nevezik. Biometria
A biometriai rendszerek egy élo személy
azonosságát ujjlenyomata, íriszének mintázata és
más élettani jellemzok, vagy bizonyos viselkedési
sajátosságok, mint például a kézírás vagy
gépelési módszer alapján ellenorzik le vagy
ismerik fel automatikusan. A biometriai
azonosítást már az egész világon alkalmazzák
bankokban, pénzkiadó automatáknál, repülotereken,
hatóságoknál.
50
Személyazonosítási módszerek 3/4
51
Személyazonosítási módszerek 4/4
Használhatóság
Hátrányok
Elonyök
52
Linkek I. Intelligencia az intelligens
kártyában www.renyi.hu/csirmaz/csirmaz4.ppt Smar
tcard alapú adattárolás és azonosítás www.elte.hu/
kincses/konf/nwsh97.html Smartcard és
informatikai biztonság eloadássorozat www.inf.elte
.hu/speci/ Smartcard alapú azonosítás www.elte.hu
/kincses/konf/hsdoc.htm
53
Linkek II. Elektronikus pénzügyi
rendszerek www.cegnet.hu/cv/9804/cv146_152.htm E-
commerce és online fizetési piac
Magyarországon www.bankkartya.hu/faliujsag.shtml
Kártyaszokások elso a készpénzfelvétel www.cegnet
.hu/gazdert/2001/36/m01363.htm
54
Egyéni feladat témák

• Választott smartcard operációs rendszer (SCOS)
  bemutatása
• (pl. Windows for Smart Cards, SmarTACC)
• Két-chipkártyás mobiltelefon felépítésének és
  muködésének
• ismertetése (pl. Motorola StarTEC)
• Közös elektronikus pénztárca specifikációk
  (CEPS)
• EMV szabvány
• Az e-cash fajtái és megvalósításuk
• Mobiltelefonnal kapcsolatos szabványok
• Biztonsági kérdések
• (A banki világ biztonsága, Internet biztonság,
  Mobil biztonság)
• Biztonsági szabványok, direktívák, protokollok,
  architektúrák