bezpečné placení kartou na internetu trendy v internetové bezpečnosti
DESCRIPTION
Bezpečné placení kartou na internetu Trendy v internetové bezpečnosti. Karel Kadlčák, ČS, a.s. Předseda BV SBK Praha, 26.2.2009. Agenda. Situace v e-commerce Princip 3D-Secure Rizika v prostředí 3D - Secure Možná opatření. Problémy E-commerce. Absence/omezení kontrol při placení - PowerPoint PPT PresentationTRANSCRIPT
Bezpečné placení kartou na internetuBezpečné placení kartou na internetu
Trendy v internetové bezpečnostiTrendy v internetové bezpečnosti
Karel Kadlčák, ČS, a.s.Karel Kadlčák, ČS, a.s.
Předseda BV SBKPředseda BV SBK
Praha, 26.2.2009Praha, 26.2.2009
22
AgendaAgenda
Situace v e-commerceSituace v e-commerce Princip 3D-SecurePrincip 3D-Secure Rizika v prostředí 3D - Secure Rizika v prostředí 3D - Secure Možná opatření Možná opatření
33
Problémy E-commerceProblémy E-commerce
1.1. Absence/omezení kontrolAbsence/omezení kontrol při placení při placení Ověření karty (CAM)Ověření karty (CAM) Identifikace držitele (CVM)Identifikace držitele (CVM) Autorizace transakceAutorizace transakce
2.2. Bezpečnost datBezpečnost dat (komunikace, obchodník) (komunikace, obchodník)
3.3. ProstředíProstředí - rychlý růst, globálnost, nízká - rychlý růst, globálnost, nízká kredibilita trhu, nedostatečná připravenost kredibilita trhu, nedostatečná připravenost zákazníků i obchodníkůzákazníků i obchodníků
44
TYPICKÉ PODVODYTYPICKÉ PODVODY
KartaKarta Ztracené/odcizené karty, data získaná resp. odcizená od Ztracené/odcizené karty, data získaná resp. odcizená od
jiných jiných (CNP)(CNP) obchodníků/procesorů – obchodníků/procesorů – potřebují CVx2potřebují CVx2ObchodníkObchodník Lukrativní, snadno distribuovatelné a prodejné zboží, služby Lukrativní, snadno distribuovatelné a prodejné zboží, služby
(letenky, cestovní ruch)(letenky, cestovní ruch)SchémaSchéma Nákup s dodáním do třetích zemíNákup s dodáním do třetích zemí Objednávka služeb, úhrada, následné storno a požadavek na Objednávka služeb, úhrada, následné storno a požadavek na
vrácení peněz (ne na kartu) do třetí zeměvrácení peněz (ne na kartu) do třetí země
55
TYPICKÉ PODVODYTYPICKÉ PODVODY
PříkladPříklad
Na (kradenou) kartu, vydanou v Na (kradenou) kartu, vydanou v USAUSA je z je z počítače na počítače na MadagaskaruMadagaskaru u prodejce v u prodejce v ČRČR objednána letenka z objednána letenka z HavanyHavany do do LondýnaLondýna
66
Princip 3D - SecurePrincip 3D - Secure
Princip Princip tří doméntří domén (vydavatel, acquirer, (vydavatel, acquirer, interoperabilita – kartové asociace)interoperabilita – kartové asociace)
Funguje Funguje paralelně a nezávisleparalelně a nezávisle na straně na straně acquirerů/obchodníků a vydavatelů karet acquirerů/obchodníků a vydavatelů karet
Obchodník Obchodník nemá k disposicinemá k disposici informace o kartě informace o kartě (ověření i autorizace probíhají mezi držitelem a (ověření i autorizace probíhají mezi držitelem a vydavatelem karty)vydavatelem karty)
Karta i držitel podléhají při transakci Karta i držitel podléhají při transakci dodatečnému ověřenídodatečnému ověření u vydavatele u vydavatele
77
Ochrana proti E-commerce frauduOchrana proti E-commerce fraudu
Princip 3D – Secure zabraňujePrincip 3D – Secure zabraňujeÚniku datÚniku dat ze systému obchodníka (žádná ze systému obchodníka (žádná
tam nejsou)tam nejsou)Úniku dat při přenosuÚniku dat při přenosu (jsou kryptována) (jsou kryptována) Zneužití podvodně získaných datZneužití podvodně získaných dat či karetči karet
pro e-commerce transakce (při transakci pro e-commerce transakce (při transakci nutné dodatečné ověření držitele karty)nutné dodatečné ověření držitele karty)
88
TRANSAKCE V PROSTŘEDÍ TRANSAKCE V PROSTŘEDÍ 3D-SECURE3D-SECURE
99
JAK 3D-SECURE POZNÁ ZÁKAZNÍKJAK 3D-SECURE POZNÁ ZÁKAZNÍK
Loga asociací na www stránkách Loga asociací na www stránkách obchodníka:obchodníka:
1010
SOUČASNÁ SITUACE V ČRSOUČASNÁ SITUACE V ČR
Struktura fraudu - acquiring
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
2005 2006 2007 2008/1H
Stolen
Lost
Cntrfeit
CNP
1111
SOUČASNÁ SITUACE V ČRSOUČASNÁ SITUACE V ČR
Struktura fraudu - issuing
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
80.0%
2005 2006 2007 2008/1H
Stolen
Lost
Cntrfeit
CNP
1212
SOUČASNÁ SITUACE V ČRSOUČASNÁ SITUACE V ČR
3D_Secure systém je aplikován3D_Secure systém je aplikován
U obchodníků …… U obchodníků …… na 100%na 100% U karet …………… U karet …………… na 0%na 0%
1313
Rizika v prostředí 3D - SecureRizika v prostředí 3D - Secure
Odpovědnost Issuera a Acquirera se řídí Odpovědnost Issuera a Acquirera se řídí pravidly asociacípravidly asociací
Je uplatňován tzv. Je uplatňován tzv. Liability shiftLiability shift (pokud (pokud implementuje 3D-Secure pouze jedna strana, implementuje 3D-Secure pouze jedna strana, je zvýhodněna) je zvýhodněna)
Bohužel neplatí 100%, cožBohužel neplatí 100%, což znevýhodňuje znevýhodňuje AcquireryAcquirery
1414
Opatření na straně banky - Opatření na straně banky - acquireraacquirera
Monitorování a sledování úrovně podvodůMonitorování a sledování úrovně podvodů Všichni noví obchodníci nebo obchodníci, u kterých Všichni noví obchodníci nebo obchodníci, u kterých
se vyskytnou podvodné transakce jsou 100% se vyskytnou podvodné transakce jsou 100% monitorováni po určenou dobumonitorováni po určenou dobu
Podvody, reportované vydavateli (RIS/SAFE) jsou Podvody, reportované vydavateli (RIS/SAFE) jsou porovnávány s výsledky monitorování porovnávány s výsledky monitorování
V případě hrozby překročení tolerovaných hodnot V případě hrozby překročení tolerovaných hodnot návrh na přijetí opatření (ve spolupráci s návrh na přijetí opatření (ve spolupráci s obchodníkem)obchodníkem)
1515
Opatření ve spolupráci s Opatření ve spolupráci s obchodníkemobchodníkem
Blokace transakcí některými kartami (dle Blokace transakcí některými kartami (dle typu karty či regionu vydavatele)typu karty či regionu vydavatele)
Omezí transakce u nichž neplatí Liability Shift Omezí transakce u nichž neplatí Liability Shift Sníží škody Sníží škody Poškodí poctivé držitele karet i obchodníkyPoškodí poctivé držitele karet i obchodníky
1616
Opatření ve spolupráci s Opatření ve spolupráci s obchodníkemobchodníkem
Omezení výše transakceOmezení výše transakce Sníží škodySníží škody Nezabraňuje podvodům samotnýmNezabraňuje podvodům samotným Poškodí poctivé držitele karet i obchodníkyPoškodí poctivé držitele karet i obchodníky
1717
Opatření ve spolupráci s Opatření ve spolupráci s obchodníkemobchodníkem
Vytvoření časového prostoru pro ověření Vytvoření časového prostoru pro ověření transakcetransakce
Používání předautorizací (s posunutým Používání předautorizací (s posunutým termínem dokončení) či prodloužení dodacích termínem dokončení) či prodloužení dodacích lhůt (nebo kombinace obojího)lhůt (nebo kombinace obojího)
Na podezřelé transakce jsou zasílány Security Na podezřelé transakce jsou zasílány Security Checky a obchodník může dokončit transakci Checky a obchodník může dokončit transakci až po schválení acquireraaž po schválení acquirera
1818
Opatření na straně obchodníkaOpatření na straně obchodníka
Interní aktivity obchodníka – doporučeníInterní aktivity obchodníka – doporučení Vedení interní databáze podvodů a podvodníkůVedení interní databáze podvodů a podvodníků Odmítání objednávek, jevících shodné znaky s Odmítání objednávek, jevících shodné znaky s
prokázanými podvody (subjekt a adresa dodání, prokázanými podvody (subjekt a adresa dodání, IP adresa, e-mailová adresa objednávajícího IP adresa, e-mailová adresa objednávajícího apod.)apod.)
Zákaz zasílání zboží na PO BOX adresu nebo Zákaz zasílání zboží na PO BOX adresu nebo jeho dodání/předání na veřejném místě mimo jeho dodání/předání na veřejném místě mimo stálou adresustálou adresu
1919
Opatření vůči obchodníkůmOpatření vůči obchodníkům
V případě neúčinnosti přijatých opatření V případě neúčinnosti přijatých opatření nebo neochoty obchodníka spolupracovat nebo neochoty obchodníka spolupracovat využít možnostvyužít možnost
Pozastavení přijímání karetPozastavení přijímání karet Ukončení smluvního vztahuUkončení smluvního vztahu
2020
Opatření ve spolupráci s OČTROpatření ve spolupráci s OČTR
Pomoci při dopadení pachatelůPomoci při dopadení pachatelů Iniciovat trestní řízeníIniciovat trestní řízení Předávat informace PČR a poskytnout ji Předávat informace PČR a poskytnout ji
veškerou možnou podporuveškerou možnou podporu
Problém:Problém: Schopnost a zejména možnosti PČR aktivně Schopnost a zejména možnosti PČR aktivně
zasahovatzasahovat
2121
ZávěrZávěr
Banky se nemohou podvodům bránit nebo jim zamezit Banky se nemohou podvodům bránit nebo jim zamezit samy, je třeba, aby obchodníci pochopili, žesamy, je třeba, aby obchodníci pochopili, že
3D – Secure systém je chrání, ale ne absolutně3D – Secure systém je chrání, ale ne absolutně Spolupráce s bankou při obraně proti podvodníkům Spolupráce s bankou při obraně proti podvodníkům
je v jejich zájmu je v jejich zájmu Banka nemůže bez negativního dopadu na Banka nemůže bez negativního dopadu na
obchodníka nést všechny náklady vzniklé z obchodníka nést všechny náklady vzniklé z podvodných aktivit podvodných aktivit
Nejvíce pomohou, budou-li sami aktivně podvodům Nejvíce pomohou, budou-li sami aktivně podvodům předcházetpředcházet
Děkuji za pozornostDěkuji za pozornost
Otázky?Otázky?