1

PAYPAL, LA SICUREZZA NEL

PAGAMENTO

Di Paolo Piersanti e Francesco Leccese

Prof. Stefano Bistarelli

2

CHE COSA E’ PAYPAL Paypal è un servizio di trasferimento di denaro

nato proprio per rendere più sicure le transazioni online sia per i compratori, sia per i venditori.

E’ possibile spedire e ricevere denaro in tutta sicurezza non fornendo i numeri della carta di credito ma solamente l’indirizzo e mail.

3

LE POLICY DI PAYPAL

PRIVACY POLICY

ACCETTABLE USE POLICY

DELIVERY POLICY

4

PRIVACY POLICYPer usufruire del servizio, Paypal ci obbliga a

fornire i nostri dati personali quali:1. Informazioni di contatto – nome, indirizzo,

telefono, email, Skype ID e simili

2. Informazioni finanziarie – conto corrente e/o i numeri delle carte di credito che fanno riferimento all’accout paypal

5

UTILIZZO DEI COOKIES

Paypal fa uso dei cookies al fine di:

a) Riconoscere l’utente come un paypal customer

b) Collezionare informazioni sulla macchina dell’utente per mitigare il rischio, prevenire le frodi e promuovere fiducia e sicurezza

6

ACCETTABLE USE POLICYL’utilizzo di Paypal è vietato per le attività che:o infrangono qualsiasi legge o mettono a

rischio la sicurezza del consumatoreo Implicano transazioni illegali (trasferimenti

offshore, marketing piramidale, ecc.)o Implicano la vendita di prodotti considerati

fraudolenti dalle agenzie governativeo Violano le leggi vigenti sulla vendita di

farmaci e tabaccoo Coinvolgono il gioco d’azzardo

7

UTILIZZO DELLE INFORMAZIONI PERSONALI

Fornire i servizi efficientemente

Elaborare le transazioni e le notifiche relative

Risolvere controversie

Prevenzione da azioni che sono vietate dalla Accettable Use Policy

Comparazione con terze parti per verifica dell’autenticità

8

DELIVERY POLICY Il sistema comunica attraverso il sito o

attraverso l’e-mail dell’utente Vengono comunicatici tutti i movimenti

(pagamenti effettuati, ricevuti, bilancio annuo)

Per usufruire del servizio di consegna è necessaria una connessione internet e una crittografia a 128 bit

L’utente ha la responsabilità di aggiornare i propri recapiti per mantenere attiva la comunicazione col servizio

9

SISTEMA MESSAGGISTICO IPN (INSTANT PAYMENT NOTIFICATION)

Cos’èIPN è un message system che in Paypal è

utilizzato per notificare ogni tipo di evento che interviene in una transazione

1) Pagamento Istantaneo2) Notifiche di spedizione3) Controversie

10

A COSA SERVE

IPN ha il compito di accelerare ed ottimizzare l’invio di messaggi tra utenti e il server PayPal

Usa un listener (detto anche handler), cioè uno script modificabile dall’utente che auto-gestisce le notifiche, le liste dei clienti, ecc.

11

COME FUNZIONA

12

PROTOCOLLO IPN

13

FRAUD MANAGEMENT FILTERS

I Filitri mitigano i tentativi antifrode Free Filters Advanced Filters

L’attività si articola in tre step:

1. Configurazione Manuale2. Revisione3. Trasferimento (o Negazione)

14

STEP DI FUNZIONAMENTO DEI FMF

ConfigurazioneManuale Revisione Trasferimento

/Negazione

15

TIPI DI FILTRI

Maximum transaction amount filter

Country monitor filter

Card security code mismatch filter

Minimum transaction amount filter

16

MAXIMUM TRANSACTION AMOUNT FILTER

Entra in azione se l’importo è molto maggiore delle cifre che riguardano le transazioni di un dato venditore

Esempio: Se il volume medio delle mie transazioni è di

100 $ e mi viene proposta una transazione da 1000 $ allora il filtro entra in funzione

Usato da solo non è molto affidabile perché, se il venditore considera affidabile la fonte, può accettare la transazione

17

COUNTRY MONITOR FILTER Consente la creazione di una Black list di

Paesi ritenuti poco affidabili

Se il Paese che origina il pagamento fa parte di questa lista allora il pagamento viene automaticamente annullato senza dover chiedere il consenso all’utente

18

MINIMUM AMOUNT TRANSACTION FILTER

Serve ad ottimizzare l’azione del sistema FMF. Deve essere impostata una soglia minima.

Se il pagamento è minore o uguale del valore soglia allora vi è l’immediata accettazione senza dover passare per i restanti tre filtri.

Esempio:Se la soglia minima è di 10 $ e devo ricevere un

pagamento di 10 $, il filtro convalida la transazione senza passare per gli altri tre. Se invece dovrei ricevere un pagamento di 20 $ allora entrano in azione anche gli altri filtri.

19

CARD SECURITY CODE MISMATCH FILTER

Entra in azione quando l’emettitore del pagamento fornisce un codice di sicurezza della carta di credito differente.

Se vi è incongruenza, questa viene segnalata e spetterà all’utente la decisione se accettare o meno il pagamento.

20

21

SICUREZZA DEI DATI E CRITTOGRAFIA

Paypal codifica automaticamente i dati trasferiti dal computer dell’utente attraverso il protocollo SSL (Secure Socket Layer) con una crittografia a 128 bit, la migliore in commercio.

Vengono usati AVS e CVV2 per controllare gli indirizzi di accredito

22

PROTOCOLLO SSL (SECURE SOCKETS

LAYER)

23

STRUTTURA DEL SSL

SSL Handshake, permette al server e all’utente di autenticarsi a vicenda. Consente inoltre di stabilire un algoritmo di crittografia e le relative chiavi prima che il livello di applicazione trasmetta o riceva il suo primo byte.

SSL Record, è basato su di un protocollo di trasporto affidabile come il TCP. È usato per l'incapsulamento dei dati provenienti dai protocolli superiori.

24

Transmission Control Protocol: E' un protocollo di trasporto di tipo connection-oriented per la trasmissione dati tra due host, cioè offre un servizio orientato alla connessione garantendo la consegna e l'ordinamento corretto dei dati grazie all'utilizzo di sequence number e conferme di consegna. Gli host impegnati comunicano attraverso un canale che consente lo scambio interattivo delle informazioni (full-duplex). TCP segmenta e invia i dati ai protocolli superiori come un'unica sequenza (byte-stream).

STRUTTURA DEL SSL

25

Internet Protocol: fornisce un metodo di indirizzamento logico e di gestione frammentazione/riassemblaggio per la trasmissione dati tra gli host di una rete.L'IP protocol definisce una tecnica di trasmissione dati non orientata alla connessione (connectionless) e senza riscontro (non c'è garanzia che i pacchetti giungano a destinazione e nella sequenza corretta). Esso prevede che le informazioni vengano strutturate in unità chiamate datagrammi IP (IP datagram), di lunghezza massima 65535 byte, suddivise in due aree: il campo dati (data) che contiene il messaggio da inviare e l'intestazione (header) che contiene le informazioni necessarie per instradare il pacchetto.

STRUTTURA DEL SSL

26

OBIETTIVI DEL SSL

Confidenzialità: I dati coinvolti in una comunicazione vengono protetti utilizzando algoritmi di crittografia a chiave simmetrica

Autenticazione: L'autenticazione dell'identità (sia degli utenti che del server) nelle connessioni è eseguita usando la crittografia a chiave pubblica (RSA).

Integrità: Con un apposito MAC (Message Authentication Code), che utilizza funzioni hash, i dati vengono controllati e protetti da eventuali modifiche esterne.

27

VANTAGGI DELL’SSL

SSL è indipendente dal protocollo di applicazione, in tal modo un protocollo di livello più alto può interfacciarsi sul protocollo SSL in modo trasparente;

Cifratura a 128 bit nella trasmissione dati tra il Browser ed il Server;

È un protocollo con bassissimi costi di manutenzione (cosa non da poco)

28

TESTIMONIANZA DI UNA TRUFFA SUBITA CON PAYPAL

Un ragazzo vuole vendere il suo perosnaggio di World of Warcraft per 280 $ ad un certo utente chiamato BROWN.

BROWN paga con Paypal e ottiene tramite MSN user e password dell’account.

Dopo 15 minuti BROWN apre una constestazione e chiede un rimborso dell’intera cifra.

Il venditore cerca di far valere le sue ragioni dimostrando di aver spedito i dati anche tramite raccomandata.

Paypal rimborsa BROWN

29

Grazie per l’attenzione