Tải bản đầy đủ (.docx) (87 trang)
  1. Trang chủ
    2. >>
  2. Kinh tế - Quản lý
    3. >>
  3. Tài chính - Ngân hàng

An toàn và bảo mật thông tin trong thanh toán thẻ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (788.35 KB, 87 trang )

An toàn và bảo mật thông tin trong thanh toán thẻ
TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
KHOA HỆ THỐNG THÔNG TIN
NGÀNH HỆ THỐNG THÔNG TIN QUẢN LÝ
Môn học: AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN
Báo cáo đề tài:
AN TOÀN VÀ BẢO MẬT THÔNG TIN
TRONG THANH TOÁN THẺ
GV hướng dẫn: Ths. Nguyễn Hồ Minh Đức
GVHD – Ths. Nguyễn Hồ Minh Đức Page 1
An toàn và bảo mật thông tin trong thanh toán thẻ
MỤC LỤC
Chương I: GIỚI THIỆU TỔNG QUAN
1. Mục tiêu đề tài:
Đề tài nghiên cứu về các phương pháp để thực hiện nhiệm vụ an toàn và
bảo mật trong thương mại điện tử. Đặc biệt là quá trình thanh toán bằng thẻ
nhằm bảo vệ an toàn tuyệt đối thông tin người dùng khi tham gia thương
mại điện tử.
Giúp người tham gia thanh toán thẻ có thể an tâm khi thanh toán, thỏa các
yêu cầu của các doanh nghiệp cũng như khách hàng khi tham gia thương
mại điện tử. Đồng thời hạn chế các rủi ro có thể xảy ra như: thông tin người
dùng bị đánh cắp, giả mạo thông tin để thực hiện các hành vi phạm pháp,…
2. Phạm vi đề tài:
Nghiên cứu về các chính sách bảo vệ thông tin người dùng khi tham gia
vào thanh toán thẻ. Bao gồm thanh toán trực tiếp bằng thẻ hoặc thanh toán
qua Internet.
3. Phương pháp nghiên cứu:
- Thu thập, phân tích các tài liệu và những thông tin liên quan đến đề tài.
- Tìm hiểu các giao dịch trong thương mại điện tử của một số website
trong và ngoài nước.


- Tìm hiểu quy trình thanh toán thẻ trực tiếp và gián tiếp.
- Thu thập các thông tin về bảo mật trên thẻ thanh toán.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 2
An toàn và bảo mật thông tin trong thanh toán thẻ
- Kết hợp các đề tài nghiên cứu đã có của các tác giả trong nước và ngoài
nước cộng với sự hướng dẫn của thầy để hoàn thành nội dung nghiên
cứu.
Chương II: HIỆN TRẠNG VÀ YÊU CẦU HỆ THỐNG
1. Hiện trạng:
1.1 Giới thiệu:
Đối với sự phát triển mang tính toàn cầu của mạng Internet và thương
mại điện tử, con người có thể mua bán hàng hóa và dịch vụ thông qua
mạng máy tính toàn cầu một cách dễ dàng trong mọi lĩnh vực thương
mại rộng lớn. Tuy nhiên đối với các giao dịch mang tính nhạy cảm này
cần phải có những cơ chế đảm bảo an toàn và bảo mật vì vậy vấn đề an
toàn và bảo mật thông tin trong thương mại điện tử là một vấn đề hết
sức quan trọng.
Hiện nay vấn đề An toàn và bảo mật thông tin trong thương mại điện tử
đã và đang được áo dụng phổ biến và rộng rãi ở Việt Nam và trên phạm
vi toàn cầu. Vì thế vấn đề bảo mật thông tin đã và đang được nhiều
người tập trung nghiên cứu. Tuy nhiên cần phải hiểu rằng không có một
hệ thống thông tin nào được bảo mật 100%, bất kỳ một hệ thống thông
tin nào cũng có những lỗ hổng về an toàn và bảo mật mà chưa được
phát hiện ra.
Xuất phát từ những ứng dụng trong thực tế và những ứng dụng đã có từ
các kết quả nghiên cưu trước đây về lĩnh vực an toàn và bảo mật thông
tin. Đề tài sẽ đi sâu nghiên cứu các phương pháp An toàn và bảo mật
thông tin người dùng khi tham gia thanh toán thẻ.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 3
An toàn và bảo mật thông tin trong thanh toán thẻ

1.2 Khái niệm về thẻ thanh toán:
 Thẻ thanh toán (thẻ chi trả) là một phương tiện thanh toán tiền mua
hàng hoá, dịch vụ hoặc có thể được dùng để rút tiền mặt tại các
Ngân hàng đại lý hoặc các máy rút tiền tự động.
 Thẻ thanh toán là một loại thẻ giao dịch tài chính được phát hành
bởi Ngân hàng, các Tổ chức tài chính hay các công ty.
 Thẻ thanh toán là một phương tiện thanh toán không dùng tiền mặt
mà người chủ thẻ có thể sử dụng để rút tiền mặt hoặc thanh toán
tiền mua hàng hoá, dịch vụ tại các điểm chấp nhận thanh toán bằng
thẻ.
 Thẻ thanh toán là phương thức ghi sổ những số tiền cần thanh toán
thông qua máy đọc thẻ phối hợp với hệ thống mạng máy tính kết
nối giữa Ngân hàng/Tổ chức tài chính với các điểm thanh toán
(Merchant). Nó cho phép thực hiện thanh toán nhanh chóng, thuận
lợi và an toàn đối với các thành phần tham gia thanh toán.
1.3 Mô tả quy trình thanh toán thẻ:
a. Quy trình thanh toán thẻ trực tuyến :
- Bước 1 : Khách hàng quyết định mua hàng trực tuyến và điền thông tin
thẻ vào from như phần trên.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 4
An toàn và bảo mật thông tin trong thanh toán thẻ
- Bước 2 : Website của Merchant nhận được thông tin thanh toán và gửi
thông tin này đến đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến
(payment gateway ví dụ như Smartlink).
- Bước 3 : Smartlink chuyển tiếp thông tin đến Tổ chức Thẻ quốc tế (card
scheme như Visa, MasterCard, AMEX,…).
- Bước 4 : Tổ chức Thẻ quốc tế chuyển tiếp thông tin đến Ngân hàng phát
hành thẻ (card issuer)
- Bước 5 : Ngân hành phát hành thẻ kiểm tra khả năng thanh toán của Chủ
thẻ, ngân hàng phát hành thẻ sẽ gửi mã cấp phép hay từ chối về lại cho

tổ chức thẻ quốc tế.
- Bước 6 : Tổ chức thẻ quốc tế (Visa) chuyển trả thông tin về đơn vị cung
cấp dịch vụ xử lý thanh toán trực tuyến (smartlink).
- Bước 7 : Đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến trả kết quả
về cho website của Merchant.
- Bước 8 : Web site Merchant quyết định chấp nhận hay từ chối giao dịch
mua hàng.
b. Qui trình thanh toán bù trừ & kết toán:
GVHD – Ths. Nguyễn Hồ Minh Đức Page 5
An toàn và bảo mật thông tin trong thanh toán thẻ
- Bước 1 : Merchant báo cho Đơn vị cung cấp dịch vụ xử lý thanh toán
trực tuyến thực hiện kết toán cho giao dịch.
- Bước 2 : Đơn vị cung cấp dịch vụ xử lý thanh toán trực tuyến chuyển
thông tin cho tổ chức thẻ quốc tế.
- Bước 3 : Tổ chức thẻ quốc tế kiểm tra thông tin rồi chuyển thông tin
giao dịch cho ngân hàng phát hành thẻ.
- Bước 4 : Giao dịch được kết toán tại ngân hàng phát hành thẻ và tiền
được chuyển giữa ngần hàng thanh toán và ngân hàng phát hành thẻ rồi
tiền được chuyển vào tài khoản của Merchant.
- Bước 5 : Ngân hàng thanh toán ghi có tài khoản của Merchant.
- Bước 6 : Ngân hàng phát hành khấu trừ khoản tiền thanh toán trên tài
khoản thẻ của Chủ thẻ.
c. Quy trình thanh toán trực tiếp bằng thẻ:
GVHD – Ths. Nguyễn Hồ Minh Đức Page 6
An toàn và bảo mật thông tin trong thanh toán thẻ
Quy trình thanh toán cho khách sử dụng thẻ tín dụng thường diễn
ra theo các bước sau:
- Bước 1 : Xác nhận tổng số tiền khách thanh toán.
- Bước 2 : Người thanh toán mượn thẻ của khách hàng để kiểm tra loại thẻ
mà khách hàng đưa.

- Bước 3 : Người thanh toán sẽ quẹt (swipe) thẻ của bạn vào một chiếc
máy đọc thẻ (gọi là EDCT – electronic Data Capture Terminal). EDCT
đọc các thông tin về thẻ của bạ ghi trên dải băng từ và liên lạc với ngân
hàng của cửa hàng (Merchant’s Bank) thông quan moderm, đường điện
thoại hoặc ISDN line, gửi kèm theo yêu cầu về số tiền cần thanh toán,
ngân hàng này kiểm tra trong CSDL của VISA/Master Card.
• Nếu thẻ của bạn là thẻ hết hạn hoặc bị mất cắp, số tiền bạn muốn trả
vượt quá hạn mức… chủ thẻ sẽ yêu cầu bạn thanh toán bằng hình
thức khác.
• Nếu thẻ của bạn hợp lệ, ngân hàng sẽ báo lại ngay trong vài giây về
EDCT là giao dịch được phê duyệt, khi đó EDCT sẽ in ra một tờ
giấy nhỏ ghi rõ số tiền, mã số giao dịch để bạn ký vào đó (Sale Slip).
Bạn được giữ bản chính của sale slip, người bán hàn sẽ giữ bản sao
và gửi về ngân hàng để nhận tiền sau này.
- Bước 4 : Khi nhận được sale slip Merchant's bank sẽ ghi có (credit)
ngay số tiền giao dịch vào tài khoản của Merchant đồng thời gửi thông
GVHD – Ths. Nguyễn Hồ Minh Đức Page 7
An toàn và bảo mật thông tin trong thanh toán thẻ
báo yêu cầu ngân hàng của bạn (Cardholder's Bank) thanh toán số tiền.
Cardholder's bank sẽ thanh toán tiền cho Merchant's Bank và ghi nợ
(debit) số tiền vào tài khoản của bạn.
- Bước 5 : Nhập tổng số tiền khách thanh toán vào máy (có thể nhập tiền
VNĐ hoặc USD) và kiểm tra lại để đảm báo tính chính xác. Máy sẽ tự
động giao dịch với hệ thống của ngân hàng. Nếu giao dịch được chấp
nhận thì máy sẽ tự động in hóa đơn theo các thao tác của nhân viên.
- Bước 6 : Chi tiết về giao dịch sẽ được ghi trong tờ sao kê kế tiếp gửi đến
cho bạn. Giả sử có người ăn cắp thẻ của bạn, giả mạo chữ ký của bạn thì
trong thời hạn nhất định (thường là 2 tuần) bạn có thể liên hệ với ngân
hàng của bạn để đòi lại tiền. VISA đảm bảo rằng nếu ngân hàng của bạn
chứng minh được chữ ký không phải là chữ ký của bạn thì họ sẽ trả lại

tiền cho bạn ngay. Merchant's bank sẽ lấy lại tiền từ tài khoản của
Merchant còn việc tranh chấp là gánh nặng của Merchant đi theo bạn
đòi tiền nếu họ muốn.
.
2. Rủi ro khi tham gia thanh toán thẻ:
GVHD – Ths. Nguyễn Hồ Minh Đức Page 8
An toàn và bảo mật thông tin trong thanh toán thẻ
Loại hình Rủi ro
Đơn vị phát hành
với các thông tin giả
mạo
Ngân hàng có thể phát hành thẻ cho khách hàng có đơn
xinh phát hành với các thông tin giả mạo do không thẩm
định kỹ các thông tin mà khách hàng đưa đến. Trường hợp
này có thể dẫn đến những rủi ro về tín dụng cho ngân hàng
phát hành khi chủ thẻ sử dụng thẻ hoặc không có khả năng
thanh toán.
Thẻ giả
Thẻ do các tổ chức tội phạm hoặc các cá nhân làm giả với
các thông tin có được từ các chứng từ giao dịch hoặc thẻ bị
mất cắp, thất lạc. Thẻ giả được sử dụng tạo ra các giao dịch
giả mạo gây tổn thất cho ngân hàng phát hành bởi theo quy
định của tổ chức thẻ quốc tế, ngân hàng phát hành phải chịu
hoàn toàn trách nhiệm với mọi giao dịch sử dụng thẻ giả có
mã số (PIN) của ngân hàng phát hành. Đây là rủi ro đặc biệt
nguy hiểm khó quản lý vì nằm ngoài sự tiên liệu của ngân
hàng phát hành.
Thẻ bị mất cắp, thất
lạc
Chủ thẻ bị mất cắp, thất lạc thẻ và bị người khác sử dụng

trước khi chủ thẻ kịp thông báo cho ngân hàng phát hành để
có biện pháp hạn sử dụng thẻ hoặc thu hồi thẻ. Các tổ chức
tội phạm có thể in nổi và mã hoá lại các thẻ để thực hiện
các giao dịch giả. Trường hợp này dễ dẫn đến rủi ro cho
chủ thẻ hoặc ngân hàng phát hành. Loại rủi ro này chiếm tỷ
lệ lớn trong các loại, gần 49%.
Chủ thẻ không nhận
được thẻ do ngân
hàng phát hành gửi
đến
Ngân hàng phát hành gửi thẻ cho chủ thẻ bàng đường bưu
điện nhưng thẻ bị đánh cắp trên đường gửi. Thẻ bị sử dụng
trong khi chủ thẻ chính thức không biết gì về việc thẻ đã
được gửi cho mình. Nếu không có biện pháp gì quản lý đảm
bảo, ngân hàng phát hành chịu mọi rủi ro đối với các giao
dịch trong trường hợp này.
Thanh toán hàng
hoá, dịch vụ qua
thư, điện thoại
Cơ sở chấp nhận thẻ cung cấp hàng hoá, dịch vụ qua thư,
điện thoại trên sơ sở thông tin về thẻ như: loại thẻ, số thẻ,
ngày hiệu lực, tên chủ thẻ. Trong trường hợp chủ thẻ chính
thức không phải là người đặt mua hàng thì giao dịch đó cơ
sở chấp nhận thẻ bị ngân hàng thanh toán từ chối thanh
GVHD – Ths. Nguyễn Hồ Minh Đức Page 9
An toàn và bảo mật thông tin trong thanh toán thẻ
toán. Trường hợp này dễ dẫn đến rủi ro cho cơ sở chấp
nhận thẻ hoặc ngân hàng thanh toán.
Tài khoản của chủ
thẻ bị lợi dụng

Đến kì phát hành lại thẻ, ngân hàng phát hành nhận được
thông báo thay đối địa chỉ của chủ thẻ và được yêu cầu gửi
về địa chỉ mới. Do không kiểm tra tính xác thực của thông
báo đó nên ngân hàng phát hành đã gửi thẻ về địa chỉ theo
yêu cầu nhưng thực ra đây không phải là yêu cầu của chủ
thẻ đích thực. Tài khoản của chủ thẻ đã bị người khác sử
dụng và chỉ được phát hiện khi chủ thẻ không nhận được
thẻ nên liên lạc với ngân hàng phát hành hoặc khi ngân
hàng yêu cầu chủ thẻ thanh toán sao kê. Trường hợp này dễ
dẫn đến rủi ro cho chủ thẻ hoặc ngân hàng phát hành.
Nhân viên cơ sở
chấp nhận thẻ in
nhìu hoá đơn thanh
toán của chủ thẻ
Khi thực hiện giao dịch, nhân viên cơ sở chấp nhận thẻ đã
cố tình in nhiều bộ hoá đơn thanh toán thẻ nhưng chỉ giao
một bộ hoá đơn cho chủ thẻ ký để hoàn thành giao dịch.
Sau đó nhân viên cơ sở chấp nhận thẻ mạo chữ ký thật của
chủ thẻ để nộp hoá đơn thanh toán cho ngân hàng thanh
toán. Trường hợp này dễ dẫn đến rủi ro cho ngân hàng phát
hành hoặc cơ sở chấp nhận thẻ.
Tạo băng từ giả
Là loại giao dịch thẻ sử dụng kỹ thuật công nghệ cao, trên
cơ sở thu thập các thông tin trên băng từ của thẻ thật thanh
toán tại cơ sở chấp nhạn thẻ, các tổ chức tội phạm làm thẻ
giả đã sử dụng phần mềm riêng để mã hoá và in tạo ra các
băng từ trên thẻ giả. Sau đó chúng thực hiện giao dịch giả
mạo thẻ. Loại này đang tăng nhanh ở các nước tiên tiến.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 10
An toàn và bảo mật thông tin trong thanh toán thẻ

Chương III: CÁC GIẢI PHÁP SECURITY CHO HỆ THỐNG
1. Các phương pháp mã hóa:
1.1 Mã hóa đối xứng:
a. Định nghĩa :
Thuật toán đối xứng là thuật toán mà tại đó khoá mã hoá có thể tính
toán ra được từ khoá giải mã.Trong rất nhiều trƣờng hợp, khoá mã
hoá và khoá giả mã là giống nhau. Thuật toán này còn có nhiều tên
gọi khác như thuật toán khoá bí mật, thuật toán khoá đơn giản, thuật
toán một khoá. Thuật toán này yêu cầu người gửi và người nhận
phải thoả thuận một khoá trước khi thông báo được gửi đi, và khoá
này phải được cất giữ bí mật. Độ an toàn của thuật toán này phụ
thuộc vào khoá, nếu để lộ ra khoá này nghĩa là bất kì người nào
cũng có thể mã hoá và giải mã thông báo trong hệ thống mã hoá.
b. Chuẩn hóa dữ liệu DES :
DES là thuật toán mã hoá khối (block algorithm), nó mã hoá một
khối dữ liệu 64 bit bằng một khoá 56 bit. Một khối bản rõ 64 bit đưa
vào thực hiện, sau khi mã hoá dữ liệu ra là một khối bản mã 64 bit.
Cả mã hoá và giải mã đều sử dụng cùng một thuật toán và khoá.
Nền tảng để xây dựng khối của DES là sự kết hợp đơn giản của các
kỹ thuật thay thế và hoán vị bản rõ dựa trên khoá, đó là các vòng
lặp. DES sử dụng 16 vòng lặp áp dụng cùng một kiểu kết hợp các kỹ
thuật trên khối bản rõ.
c. Hệ mã hóa AES :
AES (viết tắt của từ tiếng Anh: Advanced Encryption Standard, hay
tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được
chính phủ Hoa Kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu
GVHD – Ths. Nguyễn Hồ Minh Đức Page 11
An toàn và bảo mật thông tin trong thanh toán thẻ
chuẩn tiền nhiện DES, AES được kỳ vọng áp dụng trên phạm vi thế
giới và đã được nghiên cứu rất kỹ lưỡng. AES đƣợc chấp thuận làm

tiêu chuẩn liên bang bởi viện tiêu chuẩn và công nghệ quốc gia Hoa
Kỳ (NIST ) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm.
Khác với DES, AES có thể dễ dàng thực hiện vớ tố độ cao bằng
phần mềm hoặc phần cứng và không đòi hỏi nhiều bộ nhớ. Do AES
là một tiêu chuẩn mã hóa mới, nó đang được sử dụng rộng rãi trong
nhiều ứng dụng.
1.2 Mã hóa bất đối xứng:
Thuật toán mã hóa công khai là thuật toán được thiết kế sao cho khóa
mã hóa là khác so với khóa giải mã. Mà khóa giải mã hóa không thể
tính toán được từ khóa mã hóa .Khóa mã hóa gọi là khóa công khai
(public key ), khóa giải mã được gọi là khóa riêng (private key).
Đặc trưng nổi bật của hệ mã hóa công khai là cả khóa công khai (public
key) và bản tin mã hóa (ciphertext) đều có thể gửi đi trên một kênh
thông tin không an toàn.
Ví dụ: Thuật toán mã hóa RSA.
2. Chữ ký số:
2.1 Khái niệm chữ ký số.
Chữ ký số là một phương pháp mang tinh toán học để chứng minh tính
chính xác của tin nhắn hay tài liệu số. Một chữ ký số hợp lệ khiến người
nhận tin rằng thông điệp được tạo bởi chính người gửi, như vậy người
gửi không thể phủ nhận việc đã gửi tin nhắn (tính xác thực và không
thoái thác trách nhiệm) cũng như thông điệp đó không bị thay đổi trong
quá trình gửi đi (tính toàn vẹn). Chữ ký số thường được sử dụng trong
chuyển giao phần mềm, các giao dịch tài chính, và trong các trường hợp
mà việc phát hiện giả mạo hay sự thay đổi thông tin là quan trọng.
2.2 Đánh giá tính an toàn
- Khả năng xác định nguồn gốc
Các hệ thống mật mã hóa khóa công khai cho phép mật mã hóa văn bản
với khóa bí mật mà chỉ có người chủ của khóa biết. Để sử dụng chữ ký
GVHD – Ths. Nguyễn Hồ Minh Đức Page 12

An toàn và bảo mật thông tin trong thanh toán thẻ
số thì văn bản cần phải được mã hóa bằng hàm băm (văn bản được
"băm" ra thành chuỗi, thường có độ dài cố định và ngắn hơn văn bản)
sau đó dùng khóa bí mật của người chủ khóa để mã hóa, khi đó ta được
chữ ký số. Khi cần kiểm tra, bên nhận giải mã (với khóa công khai) để
lấy lại chuỗi gốc (được sinh ra qua hàm băm ban đầu) và kiểm tra với
hàm băm của văn bản nhận được. Nếu 2 giá trị (chuỗi) này khớp nhau
thì bên nhận có thể tin tưởng rằng văn bản xuất phát từ người sở hữu
khóa bí mật. Tất nhiên là chúng ta không thể đảm bảo 100% là văn bản
không bị giả mạo vì hệ thống vẫn có thể bị phá vỡ.
Vấn đề nhận thực đặc biệt quan trọng đối với các giao dịch tài chính.
Chẳng hạn một chi nhánh ngân hàng gửi một gói tin về trung tâm dưới
dạng (a,b), trong đó a là số tài khoản và b là số tiền chuyển vào tài
khoản đó. Một kẻ lừa đảo có thể gửi một số tiền nào đó để lấy nội dung
gói tin và truyền lại gói tin thu được nhiều lần để thu lợi (tấn công
truyền lại gói tin).
- Tính toàn vẹn
Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn
bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm
băm cũng sẽ thay đổi và lập tức bị phát hiện. Quá trình mã hóa sẽ ẩn nội
dung của gói tin đối với bên thứ 3 nhưng không ngăn cản được việc
thay đổi nội dung của nó. Một ví dụ cho trường hợp này là tấn công
đồng hình (homomorphism attack): tiếp tục ví dụ như ở trên, một kẻ lừa
đảo gửi 1.000.000 đồng vào tài khoản của a, chặn gói tin (a,b) mà chi
nhánh gửi về trung tâm rồi gửi gói tin (a,
b3
) thay thế để lập tức trở thành
triệu phú! Nhưng đó là vấn đề bảo mật của chi nhánh đối với trung tâm
ngân hàng không hẳn liên quan đến tính toàn vẹn của thông tin gửi từ
người gửi tới chi nhánh, bởi thông tin đã được băm và mã hóa để gửi

đến đúng đích của nó tức chi nhánh, vấn đề còn lại vấn đề bảo mật của
chi nhánh tới trung tâm của nó
- Tính không thể phủ nhận
Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do
mình gửi. Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi
phải gửi kèm chữ ký số với văn bản. Khi có tranh chấp, bên nhận sẽ
GVHD – Ths. Nguyễn Hồ Minh Đức Page 13
An toàn và bảo mật thông tin trong thanh toán thẻ
dùng chữ ký này như một chứng cứ để bên thứ ba giải quyết. Tuy nhiên,
khóa bí mật vẫn có thể bị lộ và tính không thể phủ nhận cũng không thể
đạt được hoàn toàn.
2.3 Thuật toán Chữ ký số:
2.3.1 RSA:
- RSA là một thuật toán mật mã hóa khóa công khai. Đây là thuật toán
đầu tiên phù hợp với việc tạo ra chữ ký điện tử đồng thời với
việc mã hóa. RSA đang được sử dụng phổ biến trong thương mại
điện tử và được cho là đảm bảo an toàn với điều kiện độ dài khóa đủ
lớn.
- Hoạt động của RSA:
+ Tạo khóa: Khóa công khai và Khóa bí mật.
+ Mã hóa.
+ Giải mã.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 14
An toàn và bảo mật thông tin trong thanh toán thẻ
2.3.2 DSA:
Chữ ký dạng DSS là một dạng chữ ký kèm thông điệp, điều đó có
nghĩa là chữ ký phải được gửi kèm với thông điệp mà bản thân chữ
ký không chứa (hoặc không sinh ra) thông điệp, thông thường nhưng
chữ ký dạng này đều đòi hỏi có một hàm băm trên thông điệp (do
nội dung thông điệp có độ dài không xác định). Hàm băm này được

sử dụng trong quá trình sinh chữ ký để xây dựng một dạng nén của
dữ liệu (condensed version of data). Dữ liệu này gọi là đại diện văn
bản (message digest). Phần đại diện văn bản này là đầu vào của giải
thuật sinh chữ ký. Người xác nhận chữ ký cũng sử dụng hàm băm
này để xây dựng phương pháp xác nhận chữ ký. Đối với sơ đồ chữ
ký DSS hàm băm là security Hash Algorithm (SHA) được miêu tả
trong FIPS 186, hàm băm này tạo ra một giá trị số nguyên 160 bít
đặc trưng cho một thông điệp, điều này làm hạn chế một trong các
giá trị tham số của DSS phảI là 160 bit. Ngoài ra, chuẩn này yêu cầu
việc sinh chữ ký phải sử dụng một khóa riêng cho mỗi người ký,
ngược lại để xác nhận chữ ký, người xác nhận phải có một khóa
công khai tương ứng với khóa riêng của người gửi.
3. Chứng chỉ số:
GVHD – Ths. Nguyễn Hồ Minh Đức Page 15
An toàn và bảo mật thông tin trong thanh toán thẻ
Việc sử dụng mã hóa hay kí số chỉ giải quyết được vấn đề bảo mật thông
điệp và xác thực. Tuy nhiên không có thể đảm bảo rằng đối tác không thể bị
giả mạo, trong nhiều trường hợp cần thiết phải “chứng minh” bằng phương
tiện điện tử danh tính của ai đó.
Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân,
một máy dịch vụ, một tổ chức, …nó gắn định danh của đối tượng đó với
một khóa công khai, giống như bằng lái xe, hộ chiếu, chứng minh nhân
dân.
Cơ quan xác thực chứng chỉ (Certificate Authority-CA) là nơi có thể chứng
nhận các thông tin của bạn là đúng. Là một đơn vị có thẩm quyền xác nhận
định danh và cấp các chứng chỉ số. CA có thể là một đối tác thứ ba đứng
độc lập hoặc có các tổ chức tự vận hành một hệ thống tự cấpcác chứng chỉ
cho nội bộ của họ. Các phương pháp để xác định định danh phụ thuộc vào
các chính sách mà CA đặt ra.Chính sách lập ra phải đảm bảo việc cấp
chứng chỉ số phải đúng đắn, ai được cấp và mục đích dùng vào việc gì.

Thông thường, trước khi cấp một chứng chỉ số, CA sẽ công bố các thủ tục
cần thiết phải thực hiện cho các loại chứng chỉ số. Trong chứng chỉ số chứa
một khóa công khai được gắn với một tên duy nhất của một đối tượng (như
tên của một nhân viên hoặc máy dịch vụ). Các chứng chỉ số giúp ngăn chặn
việc sử dụng khóa công khai cho việc giả mạo. Chỉ có khóa công khai được
chứng thực bởi chứng chỉ số sẽ làm việc với khóa bí mật tương ứng, nó
được sở hữu bởi đối tượng có định danh nằm trong chứng chỉ số.
Ngoài khóa công khai, chứng chỉ số còn chứa thông tin về đối tượng như
tên mà nó nhận diện.hạn dùng, tên của CA cấp chứng chỉ số, mã số… Điều
quan trọng nhất là chứng chỉ số phải có chữ ký số của CA đã cấp chứng chỉ
số đó. Nó cho phép chứng chỉ số như đã được đóng dấu để người sử dụng
có thể kiểm tra.
4. Giao thức SSL:
Giao thức SSL cung cấp sự bảo mật truyền thông vốn có 3 đặc tính cơ bản
- Các bên giao tiếp (nghĩa là Client và server) có thể xác thực nhau
bằng cách sử dụng mật mã khóa chung.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 16
An toàn và bảo mật thông tin trong thanh toán thẻ
- Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa
trong suốt sau khi một sự thiết lập quan hệ ban đầu và sự thương
lượng khóa session đã xảy ra.
- Tính xác thực và tính toàn vẹn của lưu lượng dữ liệu cũng được bảo
vệ vì các thông báo được xác thực và được kiểm tra tính toán toàn
vẹn một cách trong suốt bằng cách sử dụng MAC.
5. Hàm HASH:
Hàm băm (Hash function) là một hàm toán chuyển đổi một thông điệp đầu
vào có độ dài bất kỳ thành một dãi bit có độ dài cố định (tùy vào thuật toán
băm). Dãy bit này được gọi là thông điệp rút gọn (message digest) hay giá
trị băm (hash value), đại diện cho thông điệp ban đầu.
Ứng dụng của hàm hash:

- Xác thực mật khẩu.
- Xác thực thông điệp.
- Bảo vệ tính toàn vẹn của tập tin, thông điệp được gửi qua mạng.
- Tạo chữ ký điện tử.
 Thuật giải SHA-1:
- SHA-1 là một hàm băm mật mã được thiết kế bởi Cơ Quan An Ninh
Quốc Gia và được công bố bởi NIST hay còn gọi là Cục Xử Lý Thông
Tin Tiêu Chuẩn Liên Bang của Mỹ.
- Đầu vào: thông điệp với độ dài tối đa 2
64
bit, đầu ra: giá trị băm
(message digest) có độ dài 160 bit.
- Giải thuật gồm 5 bước thao tác trên các khối 512 bit.
+ Nhồi dữ liệu.
+ Thêm độ dài.
+ Khởi tạo bộ đệm MD (MD Buffer).
+ Xử lý các khối dữ liệu 512 bit.
+ Xuất kết quả.
6. SET:
GVHD – Ths. Nguyễn Hồ Minh Đức Page 17
An toàn và bảo mật thông tin trong thanh toán thẻ
- SET là viết tắt của các từ Secure Electronic Transaction, là một nghi
thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm
bảo an toàn cho các giao dịch mua bán trên mạng.
- Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA,
MASTER CARD và các tổ chức khác trên thế giới. Mục địch của
SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh
nghiệp, ngân hàng, các tổ chức tài chính sự tin cậy trong khi giao
dịch mua bán trên Internet.
- Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất

quán trong các doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức
tín dụng và trung tâm xử lý thẻ tín dụng qua mạng.
- Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương
hỗ (method of interoperability) nhằm bảo mật các dịch vụ qua mạng
trên các phần cứng và phần mềm khác nhau.
- Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân
cũng như thông tin về tài chính trong quá trình mua bán và giao dịch
trên mạng.
7. Các tính năng bảo mật của thẻ:
i. Dải băng từ:
Dải băng từ nằm ở mặt sau của thẻ MasterCard, là nơi lưu trữ thông
tin tài khoản. Dải băng từ không lưu trữ thông tin cá nhân như ngày
tháng năm sinh hoặc họ tên của mẹ chủ thẻ.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 18
An toàn và bảo mật thông tin trong thanh toán thẻ
ii. Những con số khắc nổi:
Số tài khoản khắc nổi trên mặt trước của thẻ MasterCard được khắc
lấn vào hình ảnh nhận diện ba chiều (nếu hình ảnh ba chiều được
thiết kế ở mặt trước của thẻ).
iii. Dải băng chữ ký chống tẩy xóa:
Dải chữ ký trên mặt sau của thẻ MasterCard dùng để chống lại việc
sử dụng thẻ giả mạo. Vì thế, hãy luôn luôn nhớ là bạn phải ký vào
dải băng chữ ký trước khi sử dụng thẻ.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 19
An toàn và bảo mật thông tin trong thanh toán thẻ
iv. Mã số nhận dạng cá nhân PIN:
Số PIN dùng để bảo vệ các giao dịch tại máy ATM và giao dịch bằng
thẻ ghi nợ.
v. Mã số xác nhận thẻ hợp lệ lần 2.
Ba chữ số được khắc lõm vào dải chữ ký cho phép người bán hàng

xác nhận chắc chắn chủ thẻ đang giữ chiếc thẻ trong tay khi giao
dịch qua điện thoại hoặc giao dịch trên Internet.
vi. Hình ảnh ba chiều hologram:
Một hình ảnh không gian ba chiều với hình quả địa cầu lồng vào
nhau phản chiếu ánh sáng và hình ảnh có vẻ như di chuyển khi xoay
hướng thẻ.
Holomag – là sự kết hợp tính năng của dải băng từ với tính năng an
toàn của kỹ thuật ảnh ba chiều hologram, giúp ngăn chặn việc làm
thẻ giả.
8. Các chương trình tích hợp nhằm xác thực chủ thẻ:
i. Card Validation Code (CVC2)
GVHD – Ths. Nguyễn Hồ Minh Đức Page 20
An toàn và bảo mật thông tin trong thanh toán thẻ
CVC2, mà là viết tắt của Card Validation Code 2, nằm trên mặt sau
của tất cả các thẻ MasterCard. Đây là một mã số ba chữ số in trên
bảng điều khiển chữ ký thẻ MasterCard. CVC2 là trước bởi bốn chữ
số cuối của số tài khoản của thẻ, in trong khung chữ ký. Biện pháp
này tăng cường bảo mật cho phép thương mại điện tử và MO / TO
các nhà bán lẻ để xác minh rằng người mua có thẻ thực tế của mình
hoặc sở hữu của mình trong một giao dịch thẻ không hiện diện.
Được gọi là bảo mật mã tương đương Visa Card Verification Value 2
(CVV2).
ii. Address Verification Service (AVS)
- Tự động so sánh địa chỉ trên hóa đơn của khách hàng với địa chỉ đã
đăng kí với ngân hầng phát hành
- Đặc biệt hữu ích cho giao dịch trên mạng
- Cho phép merchant ra quyết định đúng đắn
iii. Internal Security Assessor (ISA)
Các merchant lớn, ngân hàng và bộ xử lý có thể sẽ cân nhắc sử dụng
PCI SSC Internal Security Assessor (ISA) Program như một phương

pháp để xây dựng nội bộ PCI Security Standards chuyên sâu và tăng
cường phương pháp tiếp cận của họ cho việc bảo mật dữ liệu thanh
toán, cũng như tăng hiệu quả cho phù hợp với tiêu chuẩn bảo mật dữ
liệu. Các ISA Program cung cấp cơ hội cho các chuyên gia kiểm
GVHD – Ths. Nguyễn Hồ Minh Đức Page 21
An toàn và bảo mật thông tin trong thanh toán thẻ
toán có đủ điều kiện an toàn nội bộ của các tiêu chuẩn tổ chức để
nhận đào tạo PCI DSS và xác nhận rằng sẽ cải thiện sự hiểu biết của
tổ chức về PCI DSS, tạo điều kiện thuận lợi cho những tương tác của
tổ chức với QSAs, nâng cao chất lượng, độ tin cậy và tính nhất quán
về sự tự đánh giá của các tổ chức nội bộ PCI DSS, và hỗ trợ sự nhất
quán cũng như sự phù hợp cho các đơn nộp vào bằng các phương
pháp và kiểm soát PCI DSS.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 22
An toàn và bảo mật thông tin trong thanh toán thẻ
Chương IV: CÁC POLICY LIÊN QUAN
PCI DSS được đưa ra bởi PCI Security Standards Council (bao gồm các thành
viên là các tổ chức thẻ quốc tế: Visa Inc, MasterCard Worldwide, American
Express, Discover Financial Services, JCB International). Mục đích của PCI DSS
bảo đảm an toàn cho dữ liệu thẻ khi được xử lý và lưu trữ tại các ngân hàng hoặc
doanh nghiệp thanh toán. PCI DSS giúp đưa ra những chuẩn mực về bảo mật
thông tin thẻ và được áp dụng trên toàn cầu.
PCI DSS là là một hệ thống các yêu cầu để đáp ứng các chuẩn mực về an ninh,
chính sách, quy trình, cấu trúc mạng, hệ thống phần mềm và một số yếu tố khác.
Tập hợp các chuẩn mực này định hướng cho các ngân hàng hoặc doanh nghiệp về
thanh toán đảm bảo an ninh cho dữ liệu của thẻ thanh toán.
Phần dưới đây nêu ra những nguyên tắc, yêu cầu, cơ chế cho việc Bảo mật thông
tin Thanh toán thẻ.
Yêu cầu 1: Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
Tường lửa là một dịch vụ kiểm soát lưu lượng truy cập máy tính cho phép giữa

mạng nôi bộ và mạng bên ngoài (không đáng tin cậy), cũng như lưu lượng truy
cập vào và ra khỏi khu vực nhạy cảm trong mạng nội bộ tin cậy của một thực thể.
Môi trường dữ liệu chủ thẻ là một ví dụ cụ thể của khu vực nhạy cảm hơn trong
mạng lưới đáng tin cậy của thực thể.
Một bức tường lửa kiểm tra tất cả lưu lượng truy cập mạng và ngăn chặn các
đường truyền không đáp ứng các tiêu chí đảm bảo an toàn.
Tất cả hệ thống phải được bảo vệ khỏi những truy cập trái phép từ các mạng
không đáng tin như: vào hệ thống thông qua Internet như thương mại điện tử, nhân
viên truy cập Internet thông qua trình duyệt máy tính để bàn, nhân viên truy cập e-
mail, kết nối dành riêng cho B2B thông qua mạng không dây hoặc thông qua các
nguồn khác. Thông thường, những hệ thống quan trọng có thể bỏ qua những chi
tiết không đáng kể hoặc những mạng không đáng tin và không bảo vệ. Tường lửa
là một cơ chế bảo vệ quan trọng đối với bất kỳ một mạng máy tính nào.
Thành phần hệ thống khác có thể cung cấp chức năng tường lửa sao cho đáp ứng
các yêu cầu tối thiểu cho các tường lửa theo quy định tại Yêu cầu 1. Nơi các
thành phần hệ thống khác được sử dụng trong môi trường dữ liệu chủ thẻ cung cấp
GVHD – Ths. Nguyễn Hồ Minh Đức Page 23
An toàn và bảo mật thông tin trong thanh toán thẻ
chức năng tường lửa, các thiết bị này phải bao gồm phạm vi và đánh giá của Yêu
cầu 1.
Policy – Standards Procudures – Baselines - Guidelines
R1.1 Thiết lập các tiêu chuẩn tường lửa
và cấu hình router bao gồm:
P1.1 Thu thập và kiểm tra các bức
tường lửa, các tiêu chuẩn cấu hình
router và các tiêu chuẩn tài liệu khác
theo quy định dưới đây để xác minh
rằng các tiêu chuẩn được hoàn thành.
Các thao tác sau:
R1.1.1 Một quá trình chính thức phê

duyệt và kiểm tra tất cả các kết nối
mạng, thay đổi các bức tường lửa và bộ
định tuyến cấu hình.
P1.1.1 Xác minh rằng có một qui
trình chính thức để thử nghiệm và phê
duyệt tất cả các kết nối mạng, thay đổi
tường lửa và bộ định tuyến cấu hình.
R1.1.2 Sơ đồ mạng hiện tại với tất
cả các kết nối dữ liệu chủ thẻ, bao gồm
bất kỳ mạng không dây.
P1.1.2.a Xác minh có một sơ đồ
mạng hiện tại (ví dụ, một luồng dữ liệu
chủ thẻ qua mạng) tồn tại và nó chứa
tất cả các kết nối đến dữ liệu chủ thẻ,
bao gồm bất kỳ mạng không dây.
P1.1.2.b Xác minh rằng sơ đồ
được lưu giữ hiện hành.
R1.1.3 Yêu cầu đối với một bức
tường lửa tại mỗi kết nối Internet và
giữa các khu phi quân sự và vùng mạng
nội bộ.
P1.1.3.a Xác minh các tiêu chuẩn
cấu hình tường lửa bao gồm các yêu
cầu cho một tường lửa tại mỗi kết nối
Internet và giữa các DMZ và nội bộ
khu mạng.
P1.1.3.b Xác minh rằng các sơ đồ
mạng hiện nay là phù hợp với tiêu
chuẩn cấu hình tường lửa.
R1.1.4 Mô tả nhóm, vai trò và trách

nhiệm quản lý của các thành phần mạng.
P1.1.4 Xác minh các tiêu chuẩn
tường lửa và cấu hình router bao gồm
mô tả nhóm, vai trò và trách nhiệm
quản lý của các thành phần mạng.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 24
An toàn và bảo mật thông tin trong thanh toán thẻ
R1.1.5 Tài liệu và minh chứng cho
việc kinh doanh tất cả các dịch vụ, giao
thức và cổng cho phép, bao gồm tài liệu
hướng dẫn của tính năng bảo mật được
thực hiện cho những giao thức được coi
là không an toàn. Ví dụ về các dịch vụ
không an toàn, các giao thức hoặc cổng
bao gồm nhưng không giới hạn FTP,
Telnet, POP3, IMAP và SNMP.
P1.1.5.a Xác minh các tiêu chuẩn
tường lửa và cấu hình router bao gồm
danh sách tài liệu của các dịch vụ, giao
thức và cổng cần thiết cho kinh doanh.
Ví dụ như giao thức HTTP, SSL
(Secure Sockets Layer), SSH (Secure
Shell), VPN (Virtual Private Network).
P1.1.5.b Xác định dịch vụ không
an toàn, giao thức và cổng cho phép và
xác minh dịch vụ đó là cần thiết và tính
năng bảo mật tài liệu thực hiện bằng
cách kiểm tra các tiêu chuẩn và các
thiết lập tường lửa và cấu hình router
cho mỗi dịch vụ.

R1.1.6 Yêu cầu xem xét lại các quy
tắc đặt ra cho tường lửa và bộ định tuyến
ít nhất sáu tháng một lần.
P1.1.6.a Xác minh rằng các tiêu
chuẩn cho tường lửa và cấu hình router
được xem xét lại 6 tháng một lần.
P1.1.6.b Kiểm tra tài liệu và xác
minh rằng các bộ quy tắc được xem xét
ít nhất mỗi 6 tháng.
R1.2 Xây dựng cấu hình tường lửa và bộ
định tuyến hạn chế các kết nối giữa các
mạng không đáng tin cậy và các thành
phần hệ thống trong môi trường dữ liệu
chủ thẻ. Lưu ý: mạng không đáng tin cậy
là bất cứ mạng nào bên ngoài thuộc về
thực thể được xem xét và không nằm
trong khả năng kiểm soát của đơn vị
hoặc quản lý.
P1.2 Kiểm tra cấu hình tường lửa và
bộ định tuyến để xác minh rằng các kết
nối bị hạn chế giữa các mạng không
đáng tin cậy và các thành phần hệ
thống trong môi trường dữ liệu chủ thẻ
như sau:
R1.2.1 Hạn chế lưu lượng người
truy cập trong và ngoài nước là cần thiết
cho môi trường dữ liệu chủ thẻ.
P1.2.1.a Kiểm tra lưu lượng ngườ
truy cập trong và ngoài nước được giới
hạn là cần thiết cho môi trường dữ liệu

chủ thẻ và các hạn chế được ghi nhận.
GVHD – Ths. Nguyễn Hồ Minh Đức Page 25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×