Bài giảng Thương mại điện tử - Chương 5: Bảo mật & thanh toán trong thương mại điện tử

2/25/2018

PHẦN 1:

Bảo mật & an ninh trong TMĐT

Ths. Huỳnh Hạnh Phúc

Email: hanhphuc25@gmail.com

Web: thayphuchuynh.wordpress.com

Nội dung

Yêu cầu đối với

an toàn

thương mại

điện tử

Các đe doạ

Giải pháp bảo

an trong

thương mại

điện tử

Các vấn đề an

toàn thương

mại điện tử

trong môi

trường thương

mại điện tử

1

2/25/2018

2

2/25/2018

3

2/25/2018

Môi trường bảo mật TMĐT

Yêu cầu đối với an toàn TMĐT

Các trang web và

các mẫu khai thông

tin không chứa

đựng các đoạn mã

nguy hiểm bên

trong

Dữ liệu

Giải pháp công

nghệ

Website truy cập

được xác thực và

hợp pháp

Thông tin cá nhân

được đảm bảo bí

mật

Chính sách và

thủ tục tổ chức

Luật & các tiêu

chuẩn

Từ phía

người

sử dụng

Yêu cầu đối với an toàn TMĐT

Từ

phía

tổ

Máy chủ, nội dung và các

dịch vụ cung cấp trên

website không bị phá vỡ

Từ hai

phía

Thông tin trao đổi giữa hai bên

không bị biến đổi

chức

Hoạt động kinh doanh diễn

ra đều đặn, không bị làm

gián đoạn

Thông tin trao đôi giữa người

sử dụng và tổ chức, không bị

bên thứ ba “nghe trộm”

4

2/25/2018

Các vấn đề an toàn TMĐT

• Tập hợp thông tin về quá trình truy cập của

người sử dụng

Kiểm soát

Tính tin cậy

Tính riêng tư

Tính ích lợi

Không phủ định: Các

Tính toàn vẹn: Dữ

liệu/thông tin không bị

thay đổi khi lưu trữ hoặc

chuyển phát.

bên tham gia giao dịch

không phủ nhận các hành

động trực tuyến mà họ đã

thực hiện

• Ngoài những người có quyền, không ai có thể

xem các thông điệp và truy cập những dữ liệu

có giá trị

Tính xác thực: Khả

năng nhận biết các đối

tác tham gia giao dịch

trực tuyến

Cấp phép: Xác định

quyền truy cập các tài

nguyên của tổ chức

• Khả năng kiểm soát việc sử dụng các thông tin

cá nhân của khách hàng

• Các chức năng của một website thương mại

điện tử được thực hiện đúng như mong đợi

Các vấn đề an toàn TMĐT

Các đe doạ trong môi trường TMĐT

•Mã độc

•Tấn công từ chối phục

vụ (Denial of Service –

DOS)

•Chương trình không

mong muốn (potentially

unwanted programs -

PUPS)

•Tấn công từ chối phục

vụ phân tán (Distributed

Denial of Service –

DDOS)

•Phishing

•Tin tặc (hacker) và các

chương trình phá hoại

•…

5

2/25/2018

Mã độc

PUPS

• Một đoạn mã phần mềm tự xâm nhập vào

một máy chủ, bao gồm cả hệ điều hành, để

nhân lên; nó yêu cầu các chương trình của

máy chủ khi chạy phải kích hoạt nó

Virus

Adware

• Một chương trình phần mềm được chạy một

cách độc lập, chi phối nhiều tài nguyên của

máy chủ cho nó và nó có khả năng nhân giống

tới các máy khác

• Một dạng phần mềm quảng cáo lén lút cài

đặt vào máy tính người dùng hoặc cài đặt

thông qua một phần mềm miễn phí

Sâu máy

tính (worm)

• Một chương trình xuất hiện với những chức

năng hữu dụng nhưng nó bao gồm các chức

năng ẩn có các nguy cơ về an ninh

Trojan

horse

Spyware

• Là phần mềm theo dõi những hoạt động

của người dùng trên máy tính

• 1 loại mã độc có thể cài trên máy tính khi kết

nối internet, sau khi kết nối nó sẽ phản hồi với

những yêu cầu từ bên ngoài của hacker, máy

tính trở thành zombie

Bots

Những yếu tố để một cuộc tấn công

Phishing thành công

Phishing

•Là một hình thức gian lận để có những thông tin nhạy cảm

như username, password, credit card … bằng cách giả mạo

như là một thực thể đáng tin cậy trong các giao tiếp trên

mạng.

Nghệ thuật

Sự thiếu hiểu

đánh lừa ảo

biết

• Quá trình giao tiếp thường diễn ra tại các trang mạng xã

hội nổi tiếng, các trang web đấu giá, mua bán hàng

online…mà đa số người dùng đều không cảnh giác với nó.

giác

•Phishing sử dụng email hoặc tin nhắn tức thời, gửi đến

người dùng, yêu cầu họ cung cấp thông tin cần thiết. Người

dùng vì sự chủ quan của mình đã cung cấp thông tin cho

một trang web, trông thì có vẽ hợp pháp, nhưng lại là trang

web giả mạo do các hacker lập nên.

Không chú ý

đến những chỉ

tiêu an toàn

6

2/25/2018

Một số vụ tấn công điển hình ở Việt nam

Tin tặc (hacker) và các chương trình

phá hoại

•Hacker là người có thể viết hay chỉnh sửa phần mềm, phần

cứng máy tính bao gồm lập trình, quản trị và bảo mật. Những

người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy

tính và dùng kiến thức của bản thân để làm thay đổi, chỉnh sửa

nó với nhiều mục đích tốt xấu khác nhau.

• Đường dây làm giả thẻ ATM do Nguyễn Anh

Tuấn cầm đầu để rút được số tiền khoảng 2,6

tỷ đồng

• 235 website của Việt Nam (.vn) bị hacker

nước ngoài tấn công. Trong đó có web của

Bộ Thương mại

- mot.gov.vn, Bộ Tài

•Hack là hành động thâm nhập vào phần cứng máy tính, phần

mềm máy tính hay mạng máy tính để thay đổi hệ thống đó.

nguyên Môi trường - ciren.gov.vn, Bộ Khoa

học Công nghệ - oss.gov.vn …

•Hacker có 3 loại:

• Hacker mũ trắng

• Hacker mũ đen

• Hacker mũ xám

• Nhóm hacker Việt và con số 182 tỉ đồng: Vụ

việc của nhóm hacker Lê Đăng Khoa,

Nguyễn Ngọc Lâm, Nguyễn Ngọc Thành và

Nguyễn Đình Nghị, năm 2010 thực sự chấn

động cả cộng đồng khi 4 kẻ này đã thực hiện

hành vi ăn cắp gần 6 triệu bảng Anh, tương

đương với 182 tỉ đồng.

Tấn công từ chối phục vụ phân tán

(Distributed Denial of Service – DDOS)

Tấn công từ chối phục vụ (Denial of

Service – DOS)

Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông

tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị

quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng

hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài

7

2/25/2018

Đánh cắp thẻ tín dụng

Sniffing

• Thông tin thẻ tín dụng của 20

triệu người, tương đương gần

một nửa dân số Hàn Quốc đã bị

đánh cắp và bán cho các công ty

quảng cáo. Vụ việc đang làm

rúng động dư luận nước này và

khiến hàng loạt lãnh đạo ngân

hàng bị mất chức.

•Sniffer được hiểu đơn giản như là một chương trình

cố gắng nghe ngóng các lưu lượng thông tin trên

một hệ thống mạng.

•Là một công cụ giúp cho các quản trị mạng theo dõi

và bảo trì hệ thống mạng

•Theo hướng tiêu cực nó có thể là một chương trình

được cài vài một hệ thống mạng máy tính với mục

đích đánh hơi, nghe nén các thông tin trên đoạn

mạng này

• Theo kênh BBC, thông tin thẻ

tín dụng bị đánh cắp bởi một

nhân viên máy tính làm việc cho

một công ty có tên Cục tín dụng

Hàn Quốc, cơ quan chuyên cung

cấp điểm tín dụng.

Các mối đe doạ khác

Quản trị an toàn TMĐT

• Đánh giá các rủi ro bằng các xác định các tính chất, các điểm dễ bị tổn

thương của hệ thống và những đe dọa đối với các điểm này

•An toàn thông tin trên mạng xã hội

Đánh

giá

•An toàn thông tin trên nền tảng di động

• Xác định các đe dọa

Lên kế

hoạch

• Xác định các biện pháp xử lý cho phù hợp

• Lựa chọn công nghệ để đối phó với các đe doạ

Thực

hiện

• Tình trạng hiện thời của hệ thống

• Các mối đe doạ mới

Theo

dõi /

Kết luận

• Trình độ công nghệ hiện tại

• Bổ sung thêm danh mục các hệ thống cần bảo vệ

8

2/25/2018

Các biện pháp bảo an kỹ thuật

Các hệ thống xác thực

•Điều khiển và kiểm soát truy cập

Hệ thống nhận dạng các bên tham gia là hợp pháp để thực

hiện giao dịch, xác định các hành động của họ là được

phép thực hiện và hạn chế những hoạt động của họ, chỉ

cho những giao dịch cần thiết được khởi tạo và hoàn

thành

• Các hệ thống xác thực

•Các kỹ thuật mã hoá

• Mã hoá

• Chữ ký điện tử

• Chứng thực điện tử

• Cơ chế điều khiển truy nhập

• Giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một

•Các giao thức an toàn

nhóm

• SSL, SET, TLS

• Thiết bị (Passive tokens)

• Tokens tạo khoá theo thời gian thực

•Bảo vệ hệ thống mạng của tổ chức

• Các yếu tố điều kiện nhận dạng

• Mật khẩu

• Bức tường lửa

• Các hệ thống sinh trắc học

•Các biện pháp bảo vệ hệ thống khách/chủ

• Các chương trình cảnh báo xâm nhập

• Anti virus

Các hệ thống sinh trắc học

Kỹ thuật mã hóa và các ứng dụng

•Hệ thống nhận dạng để xác nhận một người bằng

cách đánh giá ,so sánh các đặc tính sinh học như dấu

vân tay, mạch máu mắt, đặc điểm mặt, giọng nói

hoặc hành vi

•Mã hoá là quá trình xáo trộn (mã hóa) một tin nhắn,

văn bản hay các tài liệu thành văn bản, tài liệu dưới

dạng mật mã để bất cứ ai, ngoài người gửi và người

nhận, đều không thể hoặc khó có thể đọc

• Nhận dạng vân tay

• Nhận dạng mạch máu mắt

• Nhận dạng giọng nói

9

2/25/2018

Các khái niệm về mã hoá

Kỹ thuật mã hóa và các ứng dụng

•Bản gốc hay bản rõ (Plaintext)

• Mục đích của kỹ thuật mã hoá

• Một mẩu tin/văn bản không mã hóa và con người có thể đọc

• Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn cho

thông tin khi truyền phát trên mạng.

•Bản mã hoá hay bản mờ (Ciphertext)

• Kỹ thuật mã hoá đảm bảo

• Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc

•

Tính toàn vẹn của thông điệp;

Chống phủ định;

• Khóa (Key)

• Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin

Tính xác thực;

Tính bí mật của thông tin.

• Thuật toán mã hóa (Encryption algorithm)

• Là một công thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược

• Các kỹ thuật mã hoá cơ bản

lại

•

Mã hoá bằng thuật toán băm (hàm Hash)

Mã hoá khoá bí mật

Mã hoá khoá công khai

Mã hóa bằng thuật toán băm (Hash)

•Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật

toán HASH để mã hoá thông điệp

• Tính chất cơ bản của hàm HASH

• Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả*

• Tính duy nhất: xác suất để có một vụ va chạm (hash collision), tức là hai

• Hàm hash (hàm băm) là hàm một chiều mà nếu đưa

một lượng dữ liệu bất kì qua hàm này sẽ cho ra một

chuỗi có độ dài cố định ở đầu ra

thông điệp khác nhau có cùng một kết quả hash, là cực kì nhỏ.

• Ứng dụng của hàm Hash

• Chống và phát hiện xâm nhập: chương trình chống xâm nhập so sánh giá trị

hash của một file với giá trị trước đó để kiểm tra xem file đó có bị ai đó thay

đổi hay không

• Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả

E783A3AE2ACDD7DBA5E1FA0269CBC58D.

• Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng cách kiểm tra

giá trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những thay

đổi cho dù là nhỏ nhất

• Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả

sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit)

•

A766F44DDEA5CACC3323CE3E7D73AE82.

• Tạo chìa khóa từ mật khẩu

• Tạo chữ kí điện tử.

10

2/25/2018

Mã hóa khóa bí mật & Mã hóa khóa

công cộng

Mã hóa khóa bí mật và Mã hóa khóa

công cộng

•Mã hoá khoá bí mật

• Gọi là mã hoá đối xứng hay mã hoá khoá riêng

• Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi người gửi) và quá

trình giải mã (thực hiện bởi người nhận)

•Mã hoá khoá công cộng

• Gọi là mã hoá không đối xứng hay mã hoá khoá chung

• Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để mã hoá thông

điệp và một khoá khác dùng để giải mã.

Kết hợp 2 loại mã hoá

So sánh

Mã hóa khóa bí mật Mã hóa khóa công cộng

Số khoá

Một khoá đơn

Khoá bí mật

Một cặp khoá

Loại khoá

Quản lý khoá

Một khoá bí mật và một

khoá công khai

Đơn giản nhưng

khó quản lý

Yêu cầu các chứng

thực điện tử và bên tin

cậy thứ ba

Tốc độ giao dịch

Ứng dụng

Nhanh

Chậm

- Mã hoá hàng loạt

- Mã hoá đơn lẻ

- Các đối tác thường - Khối lượng nhỏ

giao dịch - Chữ ký điện tử

11

2/25/2018

Chữ ký điện tử

Chức năng của chữ ký điện tử

•

Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện

tử cụ thể;

•Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký

hiệu, âm thanh hoặc các hình thức khác bằng phương

tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với

thông điệp dữ liệu, có khả năng xác nhận người ký

thông điệp dữ liệu và xác nhận sự chấp thuận của người

đó đối với nội dung thông điệp dữ liệu được ký.

•

Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó

Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm

của người ký

•

Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong

quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị

thay đổi với chữ ký

(Luật Giao dịch điện tử)

Chứng thực điện tử

• Một loại chứng nhận do cơ quan chứng nhận (Certification Authority -

CA) (hay bên tin cậy thứ ba) cấp; là căn cứ để xác thực các bên tham

gia giao dịch; là cơ sở đảm bảo tin cậy đối với các giao dịch thương

mại điện tử

Chữ ký điện tử

• Nội dung của chứng thực điện tử

•Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký

điện tử

• Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện

tử.

• Số hiệu của chứng thực điện tử.

• Thời hạn có hiệu lực của chứng thực điện tử.

• Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực

điện tử.

• Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký

điện tử.

• Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.

•

Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ

12

2/25/2018

Giao thức Secure Socket Layer (SSL)

Tổng quan

• Giao thức bảo mật kết nối giữa client và server

• Cung cấp 1 đường hầm vững chắc để dữ liệu đi qua.

• Trở thành một chuẩn an toàn truy cập dữ liệu được hỗ trợ bởi hầu

hết các browser.

Mô hình

• Là 1 giao thức vận chuyển đặc biệt thêm vào giữa tầng ứng dụng và

tầng giao vận

• Bảo đảm tính riêng tư và toàn vẹn của tất cả dữ liệu được truyền

giữa 2 hoặc nhiều hơn các máy tính khi nó ở trong mạng

• Sử dụng khóa riêng

Giao thức SET

(Secure Electronic Transaction)

Ưu, nhược điểm của Giao thức SSL

Tổng quan

Ưu điểm

• SET - giao thức được thiết kết cung cấp an ninh giao dịch thẻ tín dụng

• Đơn giản, thuận tiện, không yêu cầu thay đổi trong phần

mềm phía người mua và người bán.

trực tuyến cho cả khách hàng và doanh nghiệp

• Một tập các giao thức và định dạng bảo mật cho phép người dùng sử

dụng nền tảng thanh toán bằng thẻ tín dụng trên một mạng mở như

Internet

• Người bán được xác thực đối với người mua.

• Thông tin được đảm bảo tính riêng tư, toàn vẹn.

Nhược điểm

• Không đảm bảo người mua được xác thực với người bán,

nguy cơ người mua phủ nhận giao dịch.

13

2/25/2018

Giao thức SET

(Secure Electronic Transaction)

Ưu điểm của giao thức SET

•Giải pháp bảo mật toàn diện

•Người mua, người bán được xác thực với nhau qua

certificate do CA cấp.

•Phân phát khóa public an toàn qua CA làm cơ sở

cho xác thực qua DS.

•Người bán không biết thông tin cá nhân, tài khoản

của người mua.

•Chữ kí kép giúp loại bỏ những gian lận từ phía người

bán.

Nhược điểm của giao thức SET

So sánh SSL & giao thức SET

• Yêu cầu thay đổi lớn trong nền tảng thanh toán hiện tại.

• Yêu cầu thay đổi trong phần mềm, phần cứng đắt tiền. Yêu cầu này có

thể chấp nhận được đối với các công ty, ngân hàng phát hành thẻ tín

dụng, song khó chấp nhận đối với khách hàng cũng như các cửa hàng.

• Yêu cầu một hạ tầng PKI dựa trên sự có mặt của CA. Các tổ chức tài chính

phải trả thêm chi phí cài đặt và duy trì PKI phải được trả cho CA.

• Các giải thuật trên PKI là phức tạp, tốn kém, tốc độ chậm (ngân hàng yêu

cầu 750 giao dịch/giây trong khi SET mới chỉ đạt 1 giao dịch/giây. Tốc độ

có thể được cải thiện với việc sử dụng phần cứng ->giá thành tăng cao.)

• Chỉ đề cập tới các giao dịch dựa trên thanh tóan thẻ (tín dụng hoặc nợ).

Các giao dịch dựa trên tài khỏan vd: séc điện tử (e-check) không được hỗ

trợ trong SET

• Là một giao thức bảo mật rất toàn diện những cũng rất phức tạp, SET

cần được đơn giản hóa để được chấp nhận bởi mọi tổ chức liên quan

14

2/25/2018

Tường lửa (Firewall)

Đặc điểm của tường lửa (Firewall)

•

Tất cả kết nối từ

Một phần mềm hoặc phần cứng để tách biệt một mạng riêng

với mạng công cộng cho phép những người sử dụng mạng

máy tính của một tổ chức có thể truy cập tài nguyên của các

mạng khác (ví dụ, mạng Internet), nhưng đồng thời ngăn cấm

những người sử dụng khác, không được phép, từ bên ngoài

truy cập vào mạng máy tính của tổ chức

bên trong mạng

máy tính của tổ

chức và ngược lại

đều phải đi qua đó;

Chỉ các kết nối

được phép, theo

qui định về an toàn

mạng máy tính của

tổ chức, mới được

phép đi qua;

•

Không được phép

thâm nhập vào

chính tường lửa.

Bảo vệ hệ thống Khách / Chủ

Các kiểm soát của hệ điều hành

• Kiểm soát truy cập thông qua việc tự động từ chối khi người sử

dụng truy cập vào các khu vực khác (không được phép) của

mạng máy tính

• Kiểm soát việc truy cập tới các tệp dữ liệu của hệ thống, giúp

cho việc đảm bảo an toàn cho cơ sở dữ liệu và cho toàn bộ hệ

thống.

PHẦN 2:

Thanh toán trực tuyến

Phần mềm chống virus và phát hiện xâm nhập

• Phần mềm chống virus: biện pháp đơn giản nhất và ít tốn kém

nhất chống lại các mối đe doạ tính toàn vẹn của các hệ thống

• Hệ thống phát hiện xâm nhập: khả năng dò tìm và nhận biết các

công cụ mà những kẻ tin tặc thường sử dụng hoặc phát hiện

những hành động khả nghi

15

2/25/2018

Giới thiệu về thanh toán

Các nội dung chính

Tiền tệ – phương tiện

biểu trưng cho giá trị –

đã được sử dụng rất

sớm trong lịch sử nhân

loại

Giới thiệu về thanh

toán và các vấn đề

bảo an trong thanh

toán điện tử

Các hệ thống thanh

toán điện tử cơ

bản

Tiền tệ điện tử

Các yêu cầu đối với thanh toán điện tử

Hệ thống thanh toán trực tuyến

•

Chöùng thaät: Laø caùch kieåm tra ngöôøi mua tröôùc khi

vieäc thanh toaùn ñöôïc thöïc hieän.

Toaøn veïn: Baûo ñaûm raèng caùc thoâng tin seõ khoâng bò

thay ñoåi, xoùa do sô xuaát trong quaù trình truyeàn daãn.

Maõ hoùa: Qui trình laøm cho caùc thoâng ñieäp khoâng

ñoïc hay söû duïng ñöôïc ngoaïi tröø nhöõng ngöôøi coù khoùa

giaûi maõ chuùng.

Các loại thẻ thanh

toán trực tuyến

Giao dịch qua

trung gian

Ví điện tử

Thẻ thông minh

•

Quyeàn rieâng tö: ngöôøi baùn khoâng nhaát thieát phaûi

bieát thoâng tin veà theû tín duïng cuûa ngöôøi mua. Ñieuà

naøy caàn ñöôïc thöïc hieän ñeå baûo ñaûm quyeàn rieâng tö

cuûa khaùch haøng.

Chuyển ngân điện

tử

Tiền điện tử

Chi phiếu điện tử

16

2/25/2018

Các loại thẻ thanh toán trực tuyến

Các đối tượng có liên quan

• Loại thẻ điện tử có chứa các thông tin có thể sử

dụng cho mục đích thanh toán

• Có 3 loại thẻ thanh toán cơ bản:

Thẻ tín dụng

Thẻ mua chịu

Thẻ ghi nợ

Rủi ro khi sử dụng thẻ thanh toán

Quy trình xử lý thẻ thanh toán trực tuyến

Chủ thẻ sử dụng quá

hạn mức cho phép

Giao thẻ cho người khác

sử dụng ở nước ngoài

Gian lận của chủ thẻ:

Sử dụng thẻ giả mạo

Báo mất nhưng vẫn sử

dụng thẻ

Chủ thẻ mất khả năng

thanh toán

Người bán

17

2/25/2018

Rủi ro khi sử dụng thẻ thanh toán

Ví điện tử (e-wallet)

Rủi ro

đối

với

chủ

thẻ:

• Là một dạng dịch vụ cho phép người dùng Internet lưu trữ

và sử dụng thông tin trong mua bán.

Rủi ro đối với

ngân hàng

thanh toán:

Rủi ro cho cơ sở chấp nhận thẻ:

• Người dùng kết nối tài khoản ngân hàng & lưu số bằng lái,

thẻ y tế, thẻ khách hàng, và các giấp tờ nhận dạng khác

trong điện thoại. Những thông tin bảo mật này sẽ được

chuyển đến bên tiếp nhận của cửa hàng thông qua thiết bị

kết nối phạm vi gần NFC

Sửa chữa

Thẻ hết

hiệu lực

mà cơ sở

không

phát

hiện ra

Chấp

nhận

thanh

toán

vượt

mức

Cố tình

tách nhỏ

thương

vụ để

khỏi xin

cấp phép

Không

số tiền

trên hoá

đơn (cố ý

hoặc do

ghi

Sai sót

trong

việc cấp

phép

cung cấp

kịp thời

danh

sách

Bulletin

Mất thẻ

và để lộ

nhầm)

Thẻ thông minh (smart card)

Cấu trúc thẻ thông minh

• Thẻ thông minh biểu hiện là một tấm thẻ nhựa, trên đó có

gắn vi mạch điện tử (microchip) hoạt động nhờ một bộ vi xử

lý; trên đó định nghĩa trước các hoạt động, lưu trữ thông tin;

cho phép người sử dụng thêm, bớt hoặc truy cập các thông

tin trên thẻ.

• Dung lượng thông tin lưu giữ gấp hơn 100 lần thẻ tín dụng

bao gồm: số thẻ tín dụng, hồ sơ sức khoẻ cá nhân, bảo hiểm

y tế, thông tin về cá nhân, tổ chức, hồ sơ công tác, bằng lái

xe...

• Các loại thẻ thông minh:

• Thẻ tiếp xúc

• Thẻ phi tiếp xúc

18

2/25/2018

Thẻ thông minh (smart card)

Các ứng dụng thẻ thông minh

• Thanh toán trong mua bán lẻ

• Ví tiền điện tử

• Thiết bị đọc thẻ

•Kích hoạt và đọc các nội dung chứa trong chip

trên thẻ thông minh;

•Thông thường các thông tin này được chuyển tới

một hệ thống để xử lý và lưu trữ.

• Hệ điều hành thẻ

• Thanh toán phí cầu đường, quá cảnh

• Sử dụng hệ thống thu phí bằng thẻ thông minh

thay cho các loại vé thông thường trong giao

thông.

•Một hệ thống gồm các thiết bị và phần mềm

nhằm quản lý các tệp tin điều khiển, bảo mật,

quản lý nhập/xuất thông tin; thực thi các câu

lệnh vμ cung cấp giao diện chương trình ứng

dụng (API) thẻ.

• Định danh/chứng thực điện tử

• Thẻ lưu trữ giá trị: Thẻ thông minh có khả năng lưu

trữ thông tin cá nhân như ảnh, các đặc điểm sinh

trắc học, chữ kỹ điện tử, khoá riêng…

Thanh toán qua trung gian

Các thức sử dụng paypal

19

2/25/2018

Hệ thống thanh toán tiền mặt số hoá

của PayPal

Tiền điện tử (E-money)

• Tiền điện tử là tiền đã được số hóa, tức là tiền ở dạng những

bit số.

• Tiền điện tử (e-money hay còn được gọi là digital cash) là

một hệ thống cho phép người sử dụng cho có thể thanh toán

khi mua hàng hoặc sử dụng các dịch vụ nhờ truyền đi các con

số từ máy tính này tới máy tính khác.

• Giống như serial trên tiền giấy, số serial của tiền điện tử là

duy nhất.

• Mỗi "tờ" tiền điện tử được phát hành bởi một ngân hàng và

được biểu diễn cho một lượng tiền thật nào đó.

• Tính chất đặc trưng của tiền điện tử cũng giống như tiền giấy

thật, nó vô danh và có thể sử dụng lại..

Ứng dụng của tiền điện tử

Hệ thống thanh toán chi phiếu điện tử

• Được xây dựng trên nguyên tắc của hệ thống

thanh toán chi phiếu truyền thống.

Đang được sử

•

Séc điện tử là một phiên bản có giá trị pháp lý đại

diện cho một tấm chi phiếu giấy

dụng phổ biến

tại các quốc gia

trên thế giới

như:

• Nhật Bản

• Mỹ

Các thông tin cung cấp trên chi phiếu điện tử:

• Số tài khoản của người mua hàng

• 9 ký tự để phân biệt ngân hàng ở cuối tấm chi phiếu

• Loại tài khoản ngân hàng: cá nhân, doanh nghiệp

• Tên chủ tài khoản

• Số tiền thanh toán

• Hàn Quốc

• …

20