XI Международная студенческая научная конференция Студенческий научный форум - 2019

Введение. Важнейшей проблемой в современном мире при проведении Web-транзакций является их безопасность. Каждый день миллионы людей по всему миру совершают покупки в интернете, оставляя свои данные на различных сервисах, которые отвечают за переводы денег между счетами покупателя и продавца.

Под информационной безопасностью понимают практику предотвращения несанкционированного доступа для использования информации в корыстных целях, изменения, искажения, а также её уничтожения.

Объект исследования: безопасность транзакции в интернете.

Предмет исследования: изучение безопасности проведения транзакций в интернете

Цель исследования: изучить основные виды безопасности платежных систем для защиты личных данных, средств защиты от злоумышленников

Самая первая система безопасности электронных платежей в России была изобретена в 2003 году и называлась ASSIST. Данная система была сертифицирована компанией VISA International и стала новым и важным этапом в развитии электронных платежей в России.

Банки имеющие лицензию на интернет-оплату товаров и услуг могут подключать свои платежные системы к системе защиты электронных платежей ASSIST. В деле использования к оплате карт международных платежных систем активно принимала участие такая компания, как PayOnline System – самая современная из российских систем интернет-платежей. Данная компания сертифицирована на систему защиты электронных платежей PCI DSS и прошла сертификацию в компаниях Visa International и MasterCard Worldwide. Так же многие компании использующие систему электронных платежей используют стандарт безопасности PCI DSS. Он используется для защиты данных банковских карт. Любая компания, которая использует электронные платежи ежегодно должна проходить проверку на соответствие данному стандарту.

Так же существует такая технология защиты интернет-платежей, как 3-D Secure. Важной частью защиты информации при совершении электронного платежа является проверка личности держателя карты в реальном времени. Обычно это осуществляется при помощи СМС. После ввода своего номера телефона, привязанного к карте, клиент перенаправляется на сервер своего банка. В качестве подтверждения банк отправляет на номер телефона СМС с секретным кодом, который нужно ввести в определенное поле для подтверждения оплаты. Такие платежные система как PayPal или Apple Pay идентифицируют и авторизуют клиента автоматически, что снижает риск утечки информации при совершении платежа.

Рисунок 1 – Требования к информационной безопасности

Как видно на рисунке 1 для защиты данных пользователей требуется высокий уровень безопасности систем электронных платежей, которых существует большое количество. Каждая организация подбирает для себя собственную стратегию ( методику ) охраны информации от злоумышленников.

Конфиденциальность - Защита информации от несанкционированного доступа, которая обеспечивается шифрованием данных.

Аутентификация - Каждый раз, когда пользователь использует свои данные для получения доступа к какому-либо ресурсу (в том числе в выполнении онлайн оплаты ) – он проходит процедуру аутентификации.

Электронная цифровая подпись (ЭЦП) - это подобие обычной подписи на документе, которое применяется для придания юридической силы документации, но находится в электронном виде, а не в физическом.

Для осуществления финансовых операций в интернете используют ряд инструментов, с которыми каждый сталкивался в своей жизни.

Банковские платежные карты – это пластиковые карты, которые используются для расчётов между покупателями и поставщиками с использованием дополнительных мер по защите данных (шифрование, электронная подпись и д.р.). В таких крупных компаниях, как VISA и MasterCard для осуществления платежей в сети интернет используют собственный стандарт безопасности SET. (SET использует криптографические алгоритмы DES и RSA, также ключ PKI на базе сертификатов по стандарту X.509 и ISO)

Электронные деньги – это средство платежа, при осуществлении покупок товаров и услуг, которые хранятся на электронных кошельках. Безопасность таких кошельков обеспечивается криптографическим шифрованием, а при осуществлении платежа через интернет используется ЭЦП.

Виртуальные карточки – специальные карты, которые используются только для проведения расчетов исключительно в интернете.

Безопасность платежных систем обеспечивают 3 типа защиты:

1. Техническая защита. Данный вид защиты обеспечивается благодаря: фиксированию к IP адресу и сотовому телефону платежного сервиса, использование специальной ( экранной ) клавиатуры, которая предотвращает дистанционный перехват данных, вводимых через обычную клавиатуру, перехват осуществляется при помощи различных вирусов, использование зашифрованного подключения к платежным системам, при помощи протоколов HTTPS/SSL, использование мобильного аутентификатора.

2. Клиентская защита. Использование персонального логина и пароля для входа в онлайн системы для проведения транзакций, использование SMS подтверждений перевода средств, CVC/CVV код, созданный для защиты карты во время её использования без физического воздействия, PIN-code – персональный код для получения доступа к карте.

3. Сертификация платежных систем. Все крупные сервис-провайдеры должны проходит сертификацию, которая соответствует стандарту Playment Card Industry Data Security Standard (PCI DSS), так же обязателен сертификат безопасности на международном уровне ISO/ISEC 27001:2005, использование ЭПЦ. Сервис-провайдер должен иметь лицензию на шифрование (криптографических) средств.

Далее рассмотрим уязвимые места, которые часто встречаются в электронных системах оплаты, и способы их защиты.

С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

1. Пересылка платежных сообщений между банком и клиентом;

2. Обработка информации внутри организации отправителя и получателя платежей;

3. Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежей между банками, между банком и банкоматом, между банком и клиентом.

Защита при пересылке платежей обеспечивается внутренними системами платежей организаций и клиентов, которые должны иметь должный уровень защиты информации при пересылке платежей. Также для обеспечения безопасности информации при совершении интернет-платежа, взаимодействие отправителя и получателя электронного платежа должно осуществляться по закрытому каналу.

Для обеспечения защиты информации на узлах системы электронных платежей используются следующие механизмы защиты данных:

- управление доступом на оконечных системах;

- контроль целостности сообщения;

- обеспечение конфиденциальности сообщения;

- взаимная аутентификация абонентов;

- невозможность отказа от авторства сообщения;

- гарантии доставки сообщения;

- невозможность отказа от принятия мер по сообщению;

- регистрация последовательности сообщений;

- контроль целостности последовательности сообщений.

Если Вы желаете обезопасить свои данные и средства от злоумышленников, то мы предлагаем Вам прибегнуть к следующим мерам, которые повысят безопасность в несколько раз.

Обязательно устанавливайте на мобильный телефон приложение «интернет-банк».

Подключите СМС уведомление на ВАШ номер телефона.

Проверяйте верификацию сайта, на котором Вы собираетесь сделать покупку (обычно обозначается Verified by Visa / MasterCard Securecode).

ВНИМАТЕЛЬНО смотрите за протоколом сайта! Всегда он должен быть на базе HTTPS, выглядит это примерно так – https://адрессайта. Левее от адресной строки должен быть знак закрытого замка.

Если же Вы очень боитесь за свои средства, то заведите себе специальную карту для онлайн покупок!

Никогда никому не сообщайте/фотографируйте данные своей карты.

Можете воспользоваться сервисом Apple Pay (для владельцев Apple техники) или PayPal, так как данные системы не требуют ввода данных при оплате и не делятся ими с другой стороной.

Внимательно проверяйте СМС уведомления, то есть смотрите номер, с которого оно Вам отправлено (есть случаи, когда мошенники прикидываются сотрудниками банка).

Не стоит сразу же сообщать свои данные, если поступает сообщение о блокировке или списание X средств с банковской карты, такой вид мошенничества существует.

Не совершайте покупки на сомнительных сайтах.

После оплаты товара в интернет магазине Вам не будет звонить сотрудник для уточнения информации, тем более с целью узнать Ваши личные данные, логин, пароль, CVV и CVC код.

Вывод: Итак, на данный момент система безопасности онлайн транзакций находится на должном уровне, но это не исключает случаи мошенничества. Нужно быть аккуратным совершая покупки в интернете, проверять сайты и никогда не предоставлять свои данные неизвестным в интернете.

В наше время существует достаточное количество систем безопасности, HTTPS/SSL протокол, сертификация платежных систем, SET, различные аутентификаторы и другие, способных защитить наши данные от мошенников. Данные системы нужно использовать по максимуму, чтобы избежать кражу своих личных данных.

Список литературы:

А.В. Мордвинцев «Безопасность в интернете. Как защитить свои платежи?» [Электронный ресурс] : Журнал FORBES. URL: http://www.forbes.ru/finansy-i-investicii/346943-bezopasnost-v-internete-kak-zashchitit-svoi-platezhi (дата обращения - 6.11.2018)

Б.И. Скородумов «Стандарты для безопасности электронной коммерции в сети Интернет» [Электронный ресурс] : http://www.bre.ru/security/10495.html (дата обращения - 6.11.2018)

В.В. Гончаров «Безопасность и защита интернет-платежей» [Электронный ресурс]: https://bankir.ru/publikacii/20100727/bezopasnost-i-zaschita-internet-platejei-5899180/(дата обращения - 6.11.2018)

«Безопасность электронных платежей» [Электронный ресурс] - http://pay2.ru/payment-security/ (дата обращения - 6.11.2018)

Шарлотта Адамс (внештатный автор журнала ComputerWorld) «Безопасность транзакций в системе WEB» [Электронный ресурс]: https://www.osp.ru/nets/1997/02/142224/ (дата обращения - 6.11.2018)

«PSI_DSS» [Электронный ресурс]: Cвободная энциклопедия ВикипедиЯ https://ru.wikipedia.org/wiki/PCI_DSS ред.05.2018г. (дата обращения - 6.11.2018)

Код для цитирования: Скопировать