Commercio Commercio Elettronico Elettronico
e e Transazioni Transazioni
Commerciali Commerciali in in
InternetInternet
Betty BronziniBetty Bronzini Corso di Sicurezza 2003Corso di Sicurezza 2003
Per transazione commerciale si intende lo Per transazione commerciale si intende lo
scambio di informazioni su prodotti, listini, scambio di informazioni su prodotti, listini,
ordini di beni/servizi e pagamento ordini di beni/servizi e pagamento elettronico.elettronico.
Il commercio elettronico è l’insieme delle Il commercio elettronico è l’insieme delle varie varie
transazioni commerciali tra produttore e transazioni commerciali tra produttore e
consumatore finale, realizzate con tecnologieconsumatore finale, realizzate con tecnologie
informatiche, e finalizzate allo scambio di informatiche, e finalizzate allo scambio di
informazioni correlate alla vendita di beni o informazioni correlate alla vendita di beni o
servizi.servizi.
Elaboratori: permettono la gestione Elaboratori: permettono la gestione e la manipolazione dei dati.e la manipolazione dei dati.
Reti telematiche: consentono la Reti telematiche: consentono la comunicazione fra computer e comunicazione fra computer e server, trasportando le informazioni server, trasportando le informazioni secondo formati e protocolli secondo formati e protocolli standard.standard.
Strumenti informatici Strumenti informatici usati nel usati nel
Commercio ElettronicoCommercio Elettronico
Ambiti di applicazione delle Ambiti di applicazione delle tecnologie informatichetecnologie informatiche
Area Intranet: mercato interno Area Intranet: mercato interno dell’organizzazionedell’organizzazione
Area Extranet: mercato creato Area Extranet: mercato creato dall’azienda venditrice con le dall’azienda venditrice con le aziende clienti e fornitriciaziende clienti e fornitrici
Area Internet: area finale del Area Internet: area finale del mercato, dove i prodotti e i servizi mercato, dove i prodotti e i servizi sono offerti direttamente ai sono offerti direttamente ai consumatori consumatori
Stretta interazione fra le varie Stretta interazione fra le varie unità dell’azienda, rapida ed unità dell’azienda, rapida ed efficiente circolazione delle efficiente circolazione delle informazioni e sicurezza.informazioni e sicurezza.
Le aziende hanno vantaggi Le aziende hanno vantaggi strategici, economici ed strategici, economici ed organizzativi. organizzativi.
IntranetIntranet
E’ il mercato che la singola organizzazione E’ il mercato che la singola organizzazione crea con le aziende fornitrici e crea con le aziende fornitrici e collaboratrici e con cui ha rapporti di collaboratrici e con cui ha rapporti di assistenza. assistenza.
Standard comuni per la sicurezza, Standard comuni per la sicurezza, controllo degli accessi e per il trasposto controllo degli accessi e per il trasposto delle informazionidelle informazioni
Abbattimento dei costi gestionali, Abbattimento dei costi gestionali, incremento dell’efficienza, semplificazione incremento dell’efficienza, semplificazione del funzionamento.del funzionamento.
Struttura regolata da norme giuridiche e Struttura regolata da norme giuridiche e culturali, che la rendono duratura e culturali, che la rendono duratura e affidabileaffidabile
ExtranetExtranet
In quest’area i vincoli precedenti In quest’area i vincoli precedenti vengono a mancare, e spesso le vengono a mancare, e spesso le parti interagiscono senza parti interagiscono senza conoscenza reciproca.conoscenza reciproca.
Quest’ area costituisce il vero Quest’ area costituisce il vero mercato elettronico.mercato elettronico.
InternetInternet
Vantaggi per il Vantaggi per il commerciantecommerciante
Ampliamento su scala geografica Ampliamento su scala geografica dei clienti potenzialmente dei clienti potenzialmente raggiungibiliraggiungibili
Costi di gestione ridottiCosti di gestione ridotti Pubblicità mirata e inviata solo agli Pubblicità mirata e inviata solo agli
utenti potenzialmente interessati utenti potenzialmente interessati ad un certo prodottoad un certo prodotto
Servizio 24 ore su 24Servizio 24 ore su 24
Vantaggi per il clienteVantaggi per il cliente
Maggiori possibilità di sceltaMaggiori possibilità di scelta RisparmioRisparmio Maggiore comoditàMaggiore comodità
Come si svolge una Come si svolge una transazione commerciale transazione commerciale
in area Internetin area Internet
Il potenziale acquirente si collega Il potenziale acquirente si collega ad un sito dedicato alla vendita di ad un sito dedicato alla vendita di prodottiprodotti
Il sito richiede l’identificazione Il sito richiede l’identificazione dell’acquirente dell’acquirente
L’acquirente sceglie i prodotti L’acquirente sceglie i prodotti Ed effettua il pagamento tramite la Ed effettua il pagamento tramite la
modalità prescelta (carta di modalità prescelta (carta di credito,contrassegno, bollettino credito,contrassegno, bollettino postale). postale).
Informazioni per gli Informazioni per gli acquirentiacquirenti
Quando un sito è sicuro appare Quando un sito è sicuro appare sulla barra degli indirizzi del sulla barra degli indirizzi del browser l’acronimo “https” in browser l’acronimo “https” in sostituzione della sigla “http”. sostituzione della sigla “http”.
Nella barra di stato del browser Nella barra di stato del browser appare un lucchetto (o una chiave, appare un lucchetto (o una chiave, a seconda del browser utilizzato): a seconda del browser utilizzato): cliccando l’icona appare il cliccando l’icona appare il certificato di garanzia.certificato di garanzia.
Situazione ItalianaSituazione Italiana
+ 69%: è l’aumento di spesa in + 69%: è l’aumento di spesa in acquisti on-line riscontrato rispetto acquisti on-line riscontrato rispetto allo scorso anno.allo scorso anno.
La spesa media pro-capite è di 730 La spesa media pro-capite è di 730 €.€.
Si prevede che nel 2004 la spesa Si prevede che nel 2004 la spesa media pro-capite supererà i 1000 €.media pro-capite supererà i 1000 €.
Scarsa fiducia nel modo di tutela Scarsa fiducia nel modo di tutela dei dati personali.dei dati personali.
Diffidenza nei confronti dei siti di Diffidenza nei confronti dei siti di commercio elettronico che commercio elettronico che potrebbero spacciarsi per ciò che potrebbero spacciarsi per ciò che non sono realmente.non sono realmente.
Sussistono ancora timori Sussistono ancora timori dei potenziali acquirenti dei potenziali acquirenti
derivanti daderivanti da
Requisiti a garanzia Requisiti a garanzia di una sicura di una sicura transazione transazione commercialecommerciale
Questo requisito può essere suddiviso in due sottorequisiti: l’acquirente deve poter verificareche il sito presso il quale sta facendo acquisti non sia un falso sito, con il quale un hacker potrebbe“catturare” i numeri delle carte di credito da utilizzare per scopi illegali; il commerciante dovrebbe essere in grado di verificare che l’identità dell’utente corrisponda a quella
dichiarata al momento dell’acquisto.
Autenticazione: Autenticazione: ciascuna delle due parti ciascuna delle due parti deve verificare l’identità deve verificare l’identità
dell’altra.dell’altra.
Sia il primo che il secondo requisito vengono soddisfatti automaticamente dai protocolli che utilizzano una terza parte fidata e con l’utilizzo
dei certificati; in particolare l’autenticazione dei venditori da parte dei clienti viene spesso ottenuta attraverso il protocollo SSL e l’uso di certificati emessi dalla Autorità di Certificazione (riconosciuti internazionalmente).L’autenticazione dei clienti da parte del venditore, invece, avviene solo in sistemi che prevedono forme di pagamento via rete ed attraverso la mediazione di un istituto di
credito.
Integrità: i dati non Integrità: i dati non devono essere modificati devono essere modificati da terzi.da terzi.I dati scambiati durante una transazione potrebbero essere modificati.
L’integrità viene garantita utilizzando opportuni algoritmi crittografici inclusi nei protocollisicuri.
Riservatezza: i dati non Riservatezza: i dati non devono essere visibili a devono essere visibili a nessuno al di fuori della nessuno al di fuori della
transazionetransazione I dati che vengono scambiati durante l’operazione
di acquisto sono da ritenersi confidenziali: l’utente non desidera che un attaccante, in grado di analizzare il suo traffico di rete, possa conoscere la merce che acquista e tanto meno il suo numero di carta di credito.
Questo requisito viene soddisfatto abbastanza bene utilizzando protocolli crittografici, come ad esempio il Secure Socket Layer (SSL) sviluppato da Netscape.
Il non utilizzo di protocolli sicuri come l’SSL espone a grossi rischi: quasi tutti i browser avvertono l’utente quando questi sta per inviare dati al server utilizzando un canale non sicuro.
Disponibilità: Il servizio deve essere attivo 24 ore su 24, senzainterruzioni. Questo requisito viene soddisfatto
utilizzando gli stessi accorgimenti tecnici che si utilizzano per proteggere i normali server Web.
In particolare, oltre ad utilizzare hardware e software robusti, dispositivi di back-up e gruppi di continuità, occorre anche configurare opportunamente il sistema
perrenderlo resistente ai possibili attacchi che potrebbero arrivare dall’esterno. (es: Denial of Service)
Quindi i server devono utilizzare sempre softwareaggiornati. L’adozione di un firewall potrebbe costituire un’ulteriore forma di protezione, sempre che questo supporti i protocolli tipo SSL.
Non Ripudio:
Un acquirente non deve poter negare di aver effettuato un certo ordine, mentre uncommerciante non deve poter negare di aver offerto certi prodotti a certi prezzi.
Questo requisito viene soddisfatto utilizzando algoritmi di firma digitale dei contrattiche vincolino cliente e venditore agli impegni presi. Entrambe le parti firmanol’ordine prima che questo venga evaso.
Top Related