Electronic Payment Systems Γιώργος Θάνος Παρασκευή 12 Δεκεμβρίου 2008
Μέθοδοι πληρωμών on-line Bank Transfers Electronic Checks Cash on Delivery (CoD) Credit Cards Debit Cards Other non-standard (i.e. PayPal) Διαφάνεια 2
Απαιτούμενα στοιχεία on-line πληρωμών (1/2) Ανεξαρτησία από ειδική τεχνολογία Δεν πρέπει να απαιτείται ειδικό s/w ή h/w για την ολοκλήρωση της πληρωμής. Χρήση των υπαρχόντων συστημάτων για τους τελικούς χρήστες. Συνήθως web browser με χρήση HTTP+SSL. Ασφάλεια Εξασφαλίζεται από τη χρήση σύγχρονων μεθόδων κρυπτογράφησης. Ανωνυμία Πολλοί αγοραστές, ειδικά στο Internet επιθυμούν να μην είναι ανιχνέυσιμα τα ίχνη τους. Διαφάνεια 3
Απαιτούμενα στοιχεία on-line πληρωμών (2/2) Ανεξαρτησία από το ποσό αγοράς Οι πιστωτικές κάρτες δεν είναι κατάλληλες για αγορές πολύ μικρής αξίας ή πολύ μεγάλης αξίας. Η μέθοδος με το μεγαλύτερο ( συμφέρον ) εύρος πληρωμών είναι περισσότερο ευέλικτη. Ευκολία χρήσης Οι πιστωτικές κάρτες χρησιμοποιούνται ευρέως και λόγω της ευκολίας χρήσης τους. Χαμηλή προμήθεια ανά συναλλαγή. Ικανό θεσμικό / νομικό πλαίσιο. Απαιτήσεις για θέσπιση διεθνών συμφωνιών. Διαφάνεια 4
Είδη ηλεκτρονικών καρτών on-line Πιστωτικές κάρτες (Credit Cards) Οι κάρτες κατά κανόνα δεν έχουν ετήσιο χρέωση. Συνήθως χρεώνουν υψηλά επιτόκια. Χρεωστικές κάρτες (Debit Cards) Το ποσό εκταμιεύεται απευθείας από το λογαριασμό του καταναλωτή με τον οποίο είναι συνδεδεομένη η κάρτα. Προπληρωμένες κάρτες (Pre-payed Cards) Ο καταναλωτής προσθέτει ένα ποσό στην κάρτα, το οποίο έχει τη δυνατότητα να το καταναλώσει on-line. Εάν κλαπούν τα στοιχεία της κάρτας ( ή η ίδια η κάρτα ), ο κλέφτης μπορεί να κάνει αγορές που ισοδυναμούν στο υπάρχον ποσό. Διαφάνεια 5
Διεξαγωγή πληρωμών on-line Περιλαμβάνει δύο φάσεις Authorization Περιλαμβάνει την αναγνώριση της κάρτας και τον έλεγχο κατά πόσο το διαθέσιμο υπόλοιπο επαρκεί για τη διεξαγωγή της συναλλαγής. Settlement Περιλαμβάνει την μεταφορά χρημάτων από την κάρτα προς τον λογαριασμό του πωλητή. Η μεταφορά των χρημάτων συνήθως περνά από τα πιστωτικά ιδρύματα πωλητή και αγοραστή. Διαφάνεια 6
Περιγραφή του κύκλου on-line πληρωμής Πηγή : Διαφάνεια 7
Η εικόνα για τον πελάτη Πηγή : Διαφάνεια 8
Payment gateway και έλεγχος ασφαλείας Πηγή : Διαφάνεια 9
Μεταφορά των χρημάτων σε ενδιάμεσο λογαριασμό Πηγή : Διαφάνεια 10
Έκδοση απόδειξης και αναφορών προς τον πελάτη Πηγή : Διαφάνεια 11
Λήψη των χρημάτων Πηγή : Διαφάνεια 12
Παράνομη χρήση πιστωτικών καρτών Κατά τις on-line αγορές οι οργανισμοί που δέχονται κλεμμένους αριθμούς πιστωτικών καρτών, χρεώνονται τη ζημία ~ 1.1% των αγορών αφορούν κλεμμένους αριθμούς πιστωτικών καρτών. ~ μέση χρέωση κάθε αγοράς 150$ ( η αντίστοιχη για τις νόμιμες αγορές είναι 100$) ~2.7% για αγορές από διαφορετικές χώρες. Οι μεγαλύτεροι οργανισμοί που έχουν επενδύσει στην ασφάλεια, έχουν και πολύ λιγότερα κρούσματα. Καθώς αυξάνει ο κύκλος εργασιών των on-line αγορών και εξελίσσονται οι μέθοδοι υποκλοπών και παραβιάσεων αναμένεται άυξηση των κρουσμάτων. Διαφάνεια 13
Έλεγχοι που γίνονται σε μία πιστωτική κάρτα για τη διασφάλιση τη ταυτόητας του χρήστη Επιβεβαίωση των παρακάτω στοιχείων : Αριθμός κάρτας Ημερομηνία λήξης χρήσης της κάρτας. Όνομα πάνω στην κάρτα ( λατινικοί χαρακτήρες ) CCV (checksum στο πίσω μέρος της κάρτας ) Σημαντικό στοιχείο για τη διασφάλιση ότι τα στοιχεία της κάρτας δεν θα χρησιμοποιηθούν παράνομα ( υποκλαπούν ) είναι η χρήση ενός ευρέως γνωστού payment gateway. Διαφάνεια 14
Άλλες μέθοδοι διασφάλισης της ταυτότητας του χρήστη Address Verification System Επιβεβαιώνεται η διεύθυνση που έχει δηλωθεί στη πιστωτική κάρτα ( οδηγεί σε αρκετά false positives). Manual Review Επικοινωνία με τους πελάτες για τις αγορές που φαίνονται ύποπτες ( μεγάλο κόστος για το πιστωτικό ίδρυμα ). Automated Decision Models Η πληρωμή εγκρίνεται ή απορρίπτεται με βάση τη χρήση κάποιων αυτοματοποιημένων κριτηρίων ( οδηγεί σε αρκετά false positives). CVN (Card Verification Number) Δεν έχει αξία εάν κλαπεί η πιστωτική κάρτα. Διαφάνεια 15
Εικονικές πιστωτικές κάρτες Το πιστωτικό ίδρυμα προμηθεύει το χρήστη μέ ένα κωδικό μίας χρήσεως για την επίτευξη αγοράς. Ο κωδικός είναι συνδυασμένος με την πιστωτική κάρτα του χρήστη. Ο χρήστης δημοσιοποιεί το συγκεκριμένο κωδικό και όχι τον αριθμό της πιστωτικής του κάρτας. Η μέθοδος θεωρείται αρκετά ασφαλείς διότι απομονώνει τα στοιχεία της κάρτας από την τελική αγορά. Το μειονέκτημα είναι ότι ανάλογες αγορές δεν είναι δυνατόν να επιβεβαιωθούν ή να αρνηθούν από τους εντολείς τους. Διαφάνεια 16
SMART Cards Πρόκειται για κάρτες που μοιάζουν με τις πιστωτικές, αλλά διαθέτουν επιπλέον chip για την αποθήκευση πληροφορίας. Διακρίνονται σε : Contact Cards : Απαιτούν επαφή με reader Περιέχουν EPROM ή EEPROM (Electronic Erasable Programmable RO Memory). Contactless ή Proximity Cards: Διαθέτουν antenna και απαιτούν τη χρήση reader από απόσταση. Βρίσκουν χρήση σε πληρωμές διοδίων, εισητηρίων και γενικότερα εκεί που η επαφή δεν είναι δυνατή ή δεν είναι εύχρηστη. Σημαντική είναι η ανάγκη χρήσης ανοικτών standards, ώστε όλες οι κάρτες να διαβάζονται από τον ίδιο reader. Διαφάνεια 17
Εφαρμογές για SMART Cards Αγορές λιανικής Οι SMART Cards θεωρούνται ασφαλέστερες από τις υπόλοιπες πιστωτικές κάρτες λόγο της χρήσης του chip ( μόνο για τις off-line αγορές ). Χρήση σε μέσα μαζικής μεταφοράς Χρήση της δυνατότητας αναγνώρισης της κάρτας και από απόσταση είναι σημαντικό για πολλές μικρές πληρωμές. E-identification Πολλές χώρες με πρωτοστατούσα την Κίνα εκδίδουν προσωπικές ταυτότητες με χρήση chip. Το chip έχει τη δυνατότητα να αποθηκεύει τα προσωπικά στοιχεία του χρήστη. Διαφάνεια 18
Εφαρμογές για SMART Cards Εφαρμογές υγείας Εφαρμόζεται με επιτυχία στη Γερμανία. Τα πλεονεκτήματα είναι : 1. Αποθήκευση ζωτικής σημασίας πληροφοριών σε περιπτώσεις έκτακτης ανάγκης. 2. Εμποδίζει τους ασθενείς να λαμβάνουν πολλαπλές ιατρικές συνταγές από διαφορετικούς γιατρούς. 3. Επιβεβαιώνουν την κατάσταση της ιατροφαρμακευτικής ασφάλισης του πελάτη. 4. Παρέχουν πρόσβαση στο πλήρες ιατρικό ιστορικό του ασθενούς. 5. Επιταχύνουν την εισαγωγή των ασθενών στο νοσοκομείο. 6. Επιταχύνουν τις διαδικασίες πληρωμών. Διαφάνεια 19
Προδιαγραφές ασφαλείας για SMART Cards Οι SMART Cards θεωρούνται ασφαλέστερες από τις απλές κάρτες διότι ο χρήστης συνήθως καλείται να προσθέσει κάποιο PIN το οποίο βρίσκεται στο chip και το οποίο επιβεβαιώνει την ταυτότητα του. ΟΙ SMART Cards είναι πιθανό να περιέχουν κλειδιά κρυπτογράφισης ή και κρυπτογραφημένα στοιχεία για τους χρήστες τους. Διαφάνεια 20
Προ - πληρωμένες κάρτες (Stored-Value) Εξωτερικά και από κατασκευαστική άποψη μοιάζουν με οποιαδήποτε πιστωτική κάρτα. Διακρίνονται σε : Closed-Loop Οι κάρτες εκδίδονται από ένα συγκεκριμένο κατάστημα ή οργανισμό για αγορές εντός του οργανισμού. Π. χ. Mall cards, store cards, gift cards, prepaid telephone cards. Open-Loop Οι κάρτες μπορούν να χρησιμοποιηθούν σε οποιοδήποτε κατάστημα και για οποιαδήποτε συναλλαγή. Οι προπληρωμένες κάρτες βρίσκουν ιδιαίτερη εφαρμογή σε ομάδες του πληθυσμού που δεν μπορούν να έχουν πιστωτικές κάρτες Διαφάνεια 21
E-Micropayments Το μοντέλο χρέωσης των πιστωτικών καρτών ανά συναλλαγή είναι της μορφής $ %. Το μοντέλο αυτό δουλεύει καλά για μεσαία ή μεγάλα ποσά, δεν είναι όμως αποδοτικό για ποσά μιρκότερα των $5-$7. Σε αυτές τις περιπτώσεις ο σταθερός όρος της χρέωσης είναι σημαντικός. Η ζήτηση για μικρές αγορές στο Internet είναι σημαντική ( π. χ. Apple itunes ή ringtones κινητών τηλεφώνων ). Πολλές εταιρίες (start-ups) προσπάθησαν να προσφέρουν λύσεις στο πρόβλημα. Καμία δεν είχε την ανάλογη απήχηση. Διαφάνεια 22
E-Micropayments 4 μέθοδοι για την αντιμετώπιση του προβλήματος Aggregation Πολλές μικρές πληρωμές μαζεύονται σε μία μεγαλύτερη ( χρήση από Apple itunes) Direct Payment Οι πληρωμές προστίθενται στο μηνιαίο λογαρισμό του πελάτη ( π. χ. Ringtones στον τηλεφωνικό λογαριασμό ). Stored Value Οι αγορές αφαιρούνται μία - μία από μία κάρτα προπληρωμένου χρόνου. Ala Carte Διαπραγμάτευση τιμών για πολύ μεγάλο αριμό transactions ( π. χ. αλυσίδες fast-food)