Www.alfalayer.com - [email protected] Pag. 1 - Alfa Layer: e-commerce © giugno 2004 e-Commerce...
-
Upload
valerio-franchini -
Category
Documents
-
view
212 -
download
0
Transcript of Www.alfalayer.com - [email protected] Pag. 1 - Alfa Layer: e-commerce © giugno 2004 e-Commerce...
www.alfalayer.com - [email protected]. 1 - Alfa Layer: e-commerce © giugno 2004
e-Commerce
Alberto Giustie-mail: [email protected]
www.alfalayer.com - [email protected]. 2 - Alfa Layer: e-commerce © giugno 2004
Obiettivi Introdurre le tematiche di fondo
relative all’e-Commerce Analizzare le implicazioni esistenti
nell’ambito della Sicurezza Informatica Analizzare i processi relativi alle
Transazioni in un progetto e-Commerce
www.alfalayer.com - [email protected]. 3 - Alfa Layer: e-commerce © giugno 2004
Introduzione al Commercio elettronico
www.alfalayer.com - [email protected]. 4 - Alfa Layer: e-commerce © giugno 2004
Definizioni “Il commercio elettronico è costituito da
operazioni che coinvolgono imprese e individui, mirate allo scambio di beni materiali o immateriali a cui è assegnato un valore, attraverso un'infrastruttura informatica o una rete di telecomunicazione”
www.alfalayer.com - [email protected]. 5 - Alfa Layer: e-commerce © giugno 2004
Definizioni (continua) Forrester include nel commercio elettronico solo le transazioni
concluse in rete Activmedia ricomprende nel commercio elettronico i redditi
derivanti dal risparmio di costi generato dalle attività online e le transazioni “almeno iniziate online”
Il Ministero dell’industria, del commercio e dell’artigianato dice che il Commercio Elettronico: può riguardare tutte le fasi e le transazioni di tipo informativo, documentale, contrattuale, fino alla regolazione finanziaria del rapporto, con l’esclusione della consegna fisica dei beni materiali trattati, che possiamo definire Commercio Elettronico "indiretto", ovvero può comprendere anche la consegna on-line di beni e servizi immateriali (software, prodotti di editoria elettronica, video, servizi informativi, ecc.), per cui parleremo di Commercio Elettronico "diretto".
www.alfalayer.com - [email protected]. 6 - Alfa Layer: e-commerce © giugno 2004
Attori coinvolti nelle transazioni Business to Business (tra imprese): Il commercio elettronico tra
imprese esiste ormai da molti anni, sotto forma di EDI (electronic data interchange) e di EFT (electronic fund transfer). L’internet commerce ha però un valido punto di forza rispetto a queste due tecnologie: è basato su standard aperti, e quindi non richiede investimenti dedicati da parte delle controparti
Business to Consumer (azienda vs consumatore): l’internet commerce rientra nella categoria delle preesistenti vendite per corrispondenza, e può essere considerato un loro sviluppo. Il catalogo che consulta il cliente non è cartaceo, ma elettronico, e può essere di maggiori dimensioni (non vi sono costi di stampa), contenendo descrizioni più accurate. Inoltre, può contenere elementi multimediali quali ad esempio i filmati, e può indicare la disponibilità ed il tempo previsto di consegna per i singoli prodotti. Il modulo d’ordine può essere parzialmente automatizzato, in modo che l’utente non debba reinserire manualmente ad ogni acquisto i suoi dati
www.alfalayer.com - [email protected]. 7 - Alfa Layer: e-commerce © giugno 2004
Attori coinvolti nelle transazioni (continua) Consumer to Consumer (privato vs privato): la situazione nella
quale sia il venditore che l’acquirente sono privati è quella tipica delle aste on-line. Infatti, in questo tipo di transazioni la casa d’aste si occupa solo di offrire lo spazio per l’annuncio e di individuare l’offerta migliore, rimanendo estranea alla transazione vera e propria
Government to Government (PA vs PA): gli attori in questo caso sono due soggetti pubblici che effettuano transazioni. Questa situazione è regolata da un quadro normativo complesso e da protocolli tipici della PA
Government to Citizens (PA vs privato): gli attori coinvolti sono i soggetti pubblici nei confronti dei cittadini
www.alfalayer.com - [email protected]. 8 - Alfa Layer: e-commerce © giugno 2004
Modelli di Business Un modello di Business è il modo in cui l’impresa “fa
soldi”, cioè il modo in cui conduce i suoi affari per coprire i costi e generare un profitto
Un modello di Business descrive la proposizione di valore che una azienda intende sviluppare attraverso una iniziativa imprenditoriale e individua le seguenti variabili:
Un’architettura per i prodotti, servizi e flussi di informazioni, compresa una descrizione degli attori e dei loro ruoli;
Una descrizione dei benefici potenziali per i vari attori coinvolti; Una descrizione delle fonti di guadagno per l’attore focale.
www.alfalayer.com - [email protected]. 9 - Alfa Layer: e-commerce © giugno 2004
Famiglie di Modelli di Business Vendita diretta e-Broker Asta online Basato sulla pubblicità Infomediario
www.alfalayer.com - [email protected]. 10 - Alfa Layer: e-commerce © giugno 2004
Vendita diretta Il modello di business più semplice, almeno per numero
di parti coinvolte, e’ quello della vendita diretta. In questo modello, l’azienda aggiunge valore al prodotto principalmente attraverso i processi di produzione interni: é però necessario che l’azienda disponga anche di buone competenze relative alla fase di commercializzazione che, anche senza offrire al clienti servizi “avanzati”, deve comunque essere svolta in maniera efficiente
I vantaggi che i clienti traggono da questo modello di business sono conseguenti alla maggiore interazione che hanno con l’azienda, che si riflette spesso in una qualche sorta di personalizzazione del prodotto
www.alfalayer.com - [email protected]. 11 - Alfa Layer: e-commerce © giugno 2004
e-Broker L'ectronic broker raccoglie i prodotti da diversi
fornitori, spesso con l’intenzione di offrire la possibilità di acquisti one-stop, cioè facendo in modo che il cliente possa effettuare tutti o quasi i suoi acquisti solamente presso di lui. La caratteristica principale su cui si punta in questo modello di business è quindi l’offerta di contenuto multifonte
I broker creano i mercati, dato che mettono in comunicazione produttori ed acquirenti, facilitando di conseguenza le transazioni. Questo modello di business è indubbiamente uno dei più usati, sia nel commercio tradizionale che nell’e-commerce
www.alfalayer.com - [email protected]. 12 - Alfa Layer: e-commerce © giugno 2004
Aste online Il modello di business dell’asta on-line viene talvolta fatto ricadere nella
famiglia degli e-broker. Tuttavia, ritengo che meriti una classificazione separata, sia perché il suo funzionamento merita di essere adeguatamente precisato, sia perché possiede alcune significative varianti che rendono opportuna la costituzione di una famiglia a sé stante. Nel modello dell’asta, i venditori inseriscono un prodotto e un prezzo base, e gli acquirenti fanno delle offerte: l’asta termina quando viene raggiunta una scadenza temporale o quando per un certo periodo non sono state fatte offerte. L’impresa che gestisce l’asta richiede solitamente ai venditori ridotte commissioni di vendita, puntando quindi sui volumi. Inoltre, non entra in alcun modo nel rapporto tra venditori ed acquirenti: questo è per questi ultimi uno svantaggio in quanto, dato che i venditori sono spesso dei privati, non valgono le leggi a tutela del consumatore.
www.alfalayer.com - [email protected]. 13 - Alfa Layer: e-commerce © giugno 2004
Basato sulla pubblicita’ I modelli di business basati sulla pubblicità sono notevolmente
diffusi. Anzi, considerando il fatto che questo modello può essere integrato con altri, si può dire che quasi tutte le imprese adottano in qualche modo un modello basato sulla pubblicità. Quando non è combinato con altri, il presente modello di business si caratterizza per il fatto che l’impresa non richiede al cliente alcun pagamento a fronte dei servizi offerti, traendo invece il proprio profitto dagli introiti conseguenti alla vendita di spazi pubblicitari. Questo modello è quindi analogo a quello delle televisioni commerciali o della maggior parte dei giornali e riviste, con il vantaggio che in Internet è possibile raggiungere un target più mirato, grazie alle informazioni che il cliente lascia (più o meno consapevolmente) dietro di sé. Basati su questo modello sono:
www.alfalayer.com - [email protected]. 14 - Alfa Layer: e-commerce © giugno 2004
Basato sulla pubblicita’ (continua) Portale generico: il “portale” è un sito pensato in modo da ottenere un
ampio pubblico cui proporre messaggi pubblicitari (sul Web si raggiungono tipicamente cifre intorno alle dieci milioni di visite al mese). Questo risultato viene ottenuto cercando di far sì che il sito diventi la home page di un gran numero di utenti, offrendo tutti i servizi di cui l’utenza può avere bisogno
Portale personalizzato: personalizzando l’interfaccia e soprattutto il contenuto l’utente viene fortemente fidelizzato: sia perché il portale offre un contenuto che lo soddisfa maggiormente, sia perché l’utente ha fatto un investimento specifico in termini di tempo per effettuare la personalizzazione
Portale specializzato: il portale specializzato è un portale orientato ad una specifica categoria di utenti, e che quindi è concentrato su una specifica gamma di contenuti. Un portale di questo tipo attrae un numero minore di utenti, che però risultano più fedeli
www.alfalayer.com - [email protected]. 15 - Alfa Layer: e-commerce © giugno 2004
Basato sulla pubblicita’ (continua) Compratore di attenzione: paga gli utenti per alcune attività:
vedere il contenuto di determinate pagine, ricevere messaggi pubblicitari, o completare questionari. Il pagamento all’utente non avviene necessariamente in denaro, ma spesso consiste in crediti e buoni sconto. Questo approccio è valido soprattutto per imprese che hanno un messaggio molto complesso, che difficilmente verrebbe altrimenti colto dal consumatore, ma può essere adottato con vantaggio da tutte le imprese. Infatti il consumatore “pagato” dedica più attenzione ai messaggi che riceve, ed è quindi più probabile che risulti interessato al loro contenuto
Offerta gratuita: un metodo ormai diffusamente impiegato su Internet per attrarre traffico e quindi audience per i messaggi pubblicitari è l’offerta gratuita di prodotti o servizi. Questi possono essere i più svariati: caselle di posta elettronica, accesso ad Internet, servizi Web, servizi di commercio elettronico, software, hardware
www.alfalayer.com - [email protected]. 16 - Alfa Layer: e-commerce © giugno 2004
Infomediario L’infomediario (termine introdotto da John Hagel III e Jeffrey F.
Rayport) raccoglie i dati dei consumatori e delle loro abitudini di acquisto. Queste informazioni sono di estremo valore, e possono essere impiegate per un’ampia varietà di scopi, ma le preoccupazioni riguardo alla privacy fanno pensare che si arriverà ad una situazione in cui le imprese dovranno negoziare con gli utenti l’accesso ad esse. Di qui emerge l’importanza degli infomediari che dovranno assumere anche il ruolo di controparte di fiducia del cliente in questo genere di transazioni. Fondamentalmente, si possono suddividere gli infomediari in due categorie: quelli orientati ai venditori e quelli orientati agli acquirenti
www.alfalayer.com - [email protected]. 17 - Alfa Layer: e-commerce © giugno 2004
Infomediario (continua)
Infomediari orientati ai venditori: la maggior parte degli infomediari che oggi si incontrano ricadono in questa categoria. Il loro business consiste nella raccolta di informazioni riguardo i consumatori, allo scopo di permettere alle imprese di raggiungere nel modo migliore il loro target. Questi operatori esistono anche all’infuori di Internet, basti pensare alle società che si occupano di sondaggi. Talvolta, questo genere di infomediari non si limita ad aiutare le aziende a individuare quali sia il loro target ottimale e quali siano i mezzi per raggiungerlo, ma possono anche collaborare nella traduzione delle preferenze di un determinato gruppo di consumatori in un prodotto
Infomediari orientati ai consumatori: c’è da aspettarsi che presto si svilupperà notevolmente una nuova categoria di infomediari, che collaboreranno non con i venditori, ma bensì con i consumatori. Le funzioni principali che avranno sono:
1) Aiuto ai consumatori nella massimizzazione del valore dei loro profili, usando le scelte effettuate in passato per determinare quale sia il prodotto che meglio si adatta alle loro necessità, e quindi individuando il venditore che fornisce quel prodotto alle condizioni migliori
2) Rappresentare gli interessi degli acquirenti nelle negoziazioni con i venditori che desiderano acquisire informazioni ad essi relative
3) Filtrare le comunicazioni commerciali dei vari venditori, facendo giungere al cliente solo quelle di suo interesse
www.alfalayer.com - [email protected]. 18 - Alfa Layer: e-commerce © giugno 2004
Modelli progettuali
Che cosa prevede un modello progettuale per l’e-commerce?
Business Model: è una architettura per dei flussi di prodotti, servizi e informazioni, comprensiva delle descrizioni degli attori principali, i relativi ruoli e le fonti di guadagno
Functional Model: rappresenta i processi di interscambio che forniscono i servizi ai clienti del sito. Tali processi sono insiemi di attività interrelate i cui effetto è la realizzazione di un risultato tangibille
Customer Model: esprime gli schemi (pattern) di navigazione degli utenti nelle loro visite al sito. Il modello premette di definire delle metriche legate al comportamento degli utenti. Da tali metriche è possibile dedurre il carico dei diversi server dovuto alla esecuzione delle diverse funzioni
Resource Model: analizza il tempo speso dalle diverse componenti HW e SW e stima i Service Demands per le diverse funzionalità progettate
www.alfalayer.com - [email protected]. 19 - Alfa Layer: e-commerce © giugno 2004
e-Commerce Functional ModelKey functional characteristics: Supporto di diverse periferiche: PCs, notebook,
palari, pagers, gsm, ecc. Supporto di fonti di dati/informazioni diversificate:
rete, mainframe, ERP, intranet servers, ecc. Supporto di ‘rich content’: video, audio, grafica
animata, ecc. Interfacce utente diversificate: compatibilità con
video del palmare, display GSM, ecc. Interazione ‘human like’: voice over IP, chatlive,
ecc.
www.alfalayer.com - [email protected]. 20 - Alfa Layer: e-commerce © giugno 2004
e-Commerce Functional Model (continua) Apprendimento Intelligente: sistemi che
tracciano le attività/azioni degli utenti e sono di enorme supporto alla implementazione di nuovi servizi e alle ricerche di marketing
Interfacce utenti amichevoli! Scalabilità: capacità di supportare un carico di
traffico crescente senza disservizi! Funzionalità più ricche: rispetto al commercio
offline Integrazione con altre applicazioni: sistemi
legacy, web based, ecc.
www.alfalayer.com - [email protected]. 21 - Alfa Layer: e-commerce © giugno 2004
e-Commerce Functional Model (continua) Supporto di pagamenti elettronici: grossa
disintermediazione nelle transazioni e tematiche legate alla Sicurezza
Accesso all’applicazione sicuro e flessibile: privilegi, permessi di lettura, scrittura e cancellazione dati
Vediamo ora l’infrastruttura di pagamento e gli standard di sicurezza relativi…
www.alfalayer.com - [email protected]. 22 - Alfa Layer: e-commerce © giugno 2004
Denaro contante e moneta elettronica Il trasferimento elettronico di fondi non é una
novità (Federal Riserve System, Automated Clearing Houses, ATMs, POS-bancomat e carta di credito, Fedwire, ecc.)
Il problema su Internet é che é una rete pubblica e distribuita: integrità e sicurezza dei dati, certificazione delle identità degli attori, ecc.
www.alfalayer.com - [email protected]. 23 - Alfa Layer: e-commerce © giugno 2004
Categorie dei sistemi di pagamento elettronico Micropagamenti Carte intelligenti o smart card Electronic billing Carte di credito
www.alfalayer.com - [email protected]. 24 - Alfa Layer: e-commerce © giugno 2004
Micropagamenti
Cosa sono: sono tecnologie che permettono agli utenti di effettuare pagamenti nell’ordine di poche decine di centesimi di euro
Che cosa pago: questa tecnologia mi permette di pagare uno o più articoli di una rivista che mi interessa invece di abbonarmi all’intera rivista; vedere un video, ascoltarmi una canzone, scaricarmi un software, ecc.
Descrizione del processo: 1) il cliente invia una richiesta di caricamento dei fondi attraverso un sw (tipicamente un borsellino elettronico) 2) attraverso la rete bancaria viene verificata la disponibilità di tali fondi sulla carta di credito 3) se c’è l’approvazione i fondi sono immediatamente disponibili 4) questi vengono trasferiti nel borsellino elettronico e i cliente processa l’acquisto sul sito web 5) il borsellino addebita le cifre degli acquisti sul conto del cliente
PROBLEMATICHE: tempi lunghi di attesa per l’utente, non esiste uno standard
www.alfalayer.com - [email protected]. 25 - Alfa Layer: e-commerce © giugno 2004
Carte di credito
Gestiscono il 98% dei pagamenti online
Master card e Visa detengono il 70% del mercato
www.alfalayer.com - [email protected]. 26 - Alfa Layer: e-commerce © giugno 2004
Carte di credito (continua)Descrizione del processo:
AUTORIZZAZIONE:
• Navigazione tramite browser
• Selezione di uno o più articoli e inserimento nel carrello della spesa
• Inserimento in modalità protetta SSL delle informazioni relative alla spedizione e alla carta di credito
• Viene presentato al cliente un riepilogo delle informazioni contenute nell’ordine
• L’ordine viene spedito i modalità SSL al sito di e-Commerce
• Il server aggiunge al pacchetto le informazioni relative all’identificazione del commerciante
• Tali informazioni raggiungono la banca che ha emesso la carta di credito del cliente (distributore)
www.alfalayer.com - [email protected]. 27 - Alfa Layer: e-commerce © giugno 2004
Carte di credito (continua)• La banca approva/nega l’autorizzazione al pagamento
• La banca invia la risposta attraverso l’istituto finanziario del commerciante fino al sistema del commerciante stesso
LIQUIDAZIONE:
• La Banca a cui a cui è appoggiata la carta di credito del cliente liquida la transazione
• L’operatore commerciale consegna i beni al cliente e richiede la liquidazione finanziaria
• La cifra viene depositata al netto delle commissioni della banca del commerciante, di quelle dell’associazione della carta di credito (visa, ecc.) e di quelle della banca del cliente
www.alfalayer.com - [email protected]. 28 - Alfa Layer: e-commerce © giugno 2004
SSL (Secure Socket Layer) proposto da Netscape Communications protocollo di trasporto sicuro (circa livello
sessione): crittografia simmetrica dei messaggi autenticazione (server, server+client) integrità dei messaggi protezione da replay e da filtering
applicabile facilmente a HTTP, SMTP, NNTP, FTP, TELNET, ...
HTTP sicuro (https://....) = TCP/443 NNTP sicuro = TCP/563
www.alfalayer.com - [email protected]. 29 - Alfa Layer: e-commerce © giugno 2004
SSL: use case
(1) https://www.polito.it/
(3) cert (www.polito.it)
(4) cert (utente)
(2) configurazione di sicurezza
(5) canale sicuro (SSL)
serverWeb
sicurobrowser(3bis) server challenge /response
(4bis) client challenge /response
www.alfalayer.com - [email protected]. 30 - Alfa Layer: e-commerce © giugno 2004
Connection-id Tipica transazione Web:
1. open, 2. GET page.htm, 3. page.htm, 4. close 1. open, 2. GET home.gif, 3. home.gif, 4. close 1. open, 2. GET logo.gif, 3. logo.gif, 4. close 1. open, 2. GET back.jpg, 3. back.jpg, 4. close 1. open, 2. GET music.mid, 3. music.mid, 4. close
Se ogni volta si devono rinegoziare i parametri crittografici per SSL, il collegamento si appesantisce molto.
www.alfalayer.com - [email protected]. 31 - Alfa Layer: e-commerce © giugno 2004
Connection-id per evitare di dover ri-negoziare ad ogni
sessione i parametri crittografici il server SSL può offrire un connection identifier
se il client, all’apertura della sessione, presenta un connection-id valido si salta la fase di negoziazione e si procede subito col dialogo SSL
il server può rifiutare l’uso del connection-id (in assoluto o dopo un certo tempo dalla sua emissione)
www.alfalayer.com - [email protected]. 32 - Alfa Layer: e-commerce © giugno 2004
SSL con session-ID: use case
(1) https://www.polito.it/
(1bis) session-ID
(5) canale sicuro (SSL)
serverWeb
sicurobrowser
www.alfalayer.com - [email protected]. 33 - Alfa Layer: e-commerce © giugno 2004
TLS Transport Layer Security standard IETF (TLS-1.0 = RFC-2246) TLS-1.0 = SSL-3.1 al 99% coincide con SSL-3 enfasi su algoritmi crittografici e di digest
standard (non proprietari): DH + DSA + 3DES HMAC
www.alfalayer.com - [email protected]. 34 - Alfa Layer: e-commerce © giugno 2004
Sicurezza del WWW
HTTP-1.0 password-based
l’accesso è limitato da username e password inviate con UUENCODE(Basic Protection Scheme)
address-basedil server consente/impedisce l’accesso in base all’indirizzo IP del client
entrambi gli schemi sono altamente insicuri (perché HTTP suppone che sia sicuro il canale!)
www.alfalayer.com - [email protected]. 35 - Alfa Layer: e-commerce © giugno 2004
HTTP - basic protection scheme
GET /path/alla/pagina/protetta HTTP/1.0 401 Unauthorized - authentication failed WWW-Authenticate: Basic realm="RealmName"Authorization: Basic UU_encoded_username_password HTTP/1.0 200 OK
Server: NCSA/1.3MIME-version: 1.0Content-type: text/html
<HTML> pagina protetta … </HTML>
www.alfalayer.com - [email protected]. 36 - Alfa Layer: e-commerce © giugno 2004
Sicurezza del WWW canale SSL:
protezione delle transazioni protezione delle password applicative
password: del servizio HTTP del S.O. che ospita il server (es. NT o UNIX)
ACL per accedere ai documenti: in funzione dell’autenticazione effettuata
(utenti del S.O., DN per X.509)
www.alfalayer.com - [email protected]. 37 - Alfa Layer: e-commerce © giugno 2004
Protezione della chiave privata
deve usarla un processo in chiaro dentro un file (facile ma richiede la
protezione del server) in un file criptato, con chiave fornita all’avvio
(operatore all’avvio + attaccabile da root via debug della RAM + non usabile per processi automatici)
su un dispositivo protetto (acceleratore crittografico o crypto-engine) che effettua anche le operazioni di crittografia:
genera la coppia Kpub / Kpri cifra e decifra
www.alfalayer.com - [email protected]. 38 - Alfa Layer: e-commerce © giugno 2004
Sicurezza degli accessi remoti a DBMS
modalità di accesso a dati remoti: in emulazione di terminale
= protezione del canale (SSL-telnet, SSH, ...)
tramite interfaccia WWW= protezione del Web (SSL, ...)
client-server = sistema di sicurezza proprietario, oppure transazioni appoggiate su IPsec
www.alfalayer.com - [email protected]. 39 - Alfa Layer: e-commerce © giugno 2004
Sistemi di pagamento elettronico
fallimento della moneta elettronica per problemi tecnici e normativi(es. bancarotta di DigiCash)
attualmente il metodo più usato è trasmissione del numero di carta di credito su canale SSL ...
... che però non garantisce contro le frodi: VISA Europa dichiara che il 50% dei tentativi di frode nascono da transazioni Internet, che però sono solo il 2% del suo volume d’affari!
www.alfalayer.com - [email protected]. 40 - Alfa Layer: e-commerce © giugno 2004
Sicurezza delle transazionibasate su carta di credito
STT(Secure Transaction Technology)VISA + Microsoft
SEPP(Secure Electronic Payment Protocol)Mastercard, IBM, Netscape, GTE, CyberCash
SET = STT + SEPP(Secure Electronic Transaction)
www.alfalayer.com - [email protected]. 41 - Alfa Layer: e-commerce © giugno 2004
Protocolli di pagamento: SET
SET non è un sistema di pagamento ma un insieme di protocolli per usare in rete aperta in modo sicuro un’infrastruttura esistente basata su carte di credito
usa certificati X.509v3 dedicati esclusivamente alle transazioni SET
assicura la privacy degli utenti perché mostra a ciascuna parte solo i dati che le competono
www.alfalayer.com - [email protected]. 42 - Alfa Layer: e-commerce © giugno 2004
Caratteristiche di SET versione 1.0 (maggio 1997) digest: SHA-1 crittografia simmetrica: DES scambio chiavi: RSA firma digitale: RSA con SHA-1
www.alfalayer.com - [email protected]. 43 - Alfa Layer: e-commerce © giugno 2004
Architettura di SET
issuer
paymentgateway
acquirer
merchant
paymentnetwork
INTERNET
cardholder
www.alfalayer.com - [email protected]. 44 - Alfa Layer: e-commerce © giugno 2004
Attori in SET (I) cardholder
legittimo possessore di una carta di credito aderente a SET
merchantvenditore di un prodotto via Internet (Web o e-mail)
issueristituto finanziario che ha emesso la carta di credito dell’utente
www.alfalayer.com - [email protected]. 45 - Alfa Layer: e-commerce © giugno 2004
Attori in SET (II) acquirer
organizzazione finanziaria che stabilisce un rapporto col mercante e lo interfaccia con uno o più circuiti di pagamento
payment gatewaysistema che traduce transazioni SET nel formato richiesto dal circuito di pagamento dell’acquirer
certification authorityemette certificati X.509v3 e CRL X.509v2 per tutti gli altri attori di SET
www.alfalayer.com - [email protected]. 46 - Alfa Layer: e-commerce © giugno 2004
Doppia firma SET per garantire privacy all’utente nei confronti
di merchant e del sistema finanziario (acquirer + issuer) si usa una doppia firma
al merchant non vengono fatti sapere gli estremi del pagamento
alla banca non viene fatto sapere quale merce si è acquistata
solo l’utente può dimostrare l’associazione tra merce e pagamento
www.alfalayer.com - [email protected]. 47 - Alfa Layer: e-commerce © giugno 2004
Problemi di SET software molto caro (sia per le CA, sia
per il merchant e l’acquirer) necessita di un’applicazione speciale dal
lato utente (SET wallet) procedura di rilascio del certificato a
chiave pubblica per gli utenti complessa in sviluppo la versione 2.0 di SET che
farà a meno del wallet (userà un browser)
www.alfalayer.com - [email protected]. 48 - Alfa Layer: e-commerce © giugno 2004
SSL
Architettura di pagamento via Web
cardholder merchant
POSvirtuale
paymentnetwork
1. offerta
2. ordine
3. redire
ct
4. richiesta c.c.
5. dati c.c. 6. dati c.c. OK?
8. pagamento OK!Internet
mondofinanziario
paymentgateway
7. OK!
www.alfalayer.com - [email protected]. 49 - Alfa Layer: e-commerce © giugno 2004
Pagamento con carta di credito via Web
ipotesi base: l’acquirente possiede una carta di credito l’acquirente ha un browser con SSL
conseguenze: la sicurezza effettiva dipende dalla
configurazione sia del server sia del client il payment gateway ha tutte le
informazioni (pagamento + merce) mentre il merchant ha solo le informazioni sulla merce