Proiect de semestru

Tehnici de secretizare a informaiei

Protocolul 3D-Secure

Student: Groan Clina-Andrada

Profesor coordonator: Prof.dr.ing. Monica Borda

Cuprins:
1.
2.
3.
4.
5.

Introducere n e-commerce
Interfaa 3D-Secure
Descrierea tehnic a protocolului
Avantaje
Bibliografie

1. Introducere n e-commerce
Ideea de comer electronic se refer la organizarea tranzaciilor, comunicaiilor i
informaiilor, precum i la planificarea i controlul unei afaceri, folosind ntregul potenial al
tehnologiei.
n perioada anilor 90, comerul i plata valorilor aferente acestuia erau caracterizate prin
plata n numerar, la locul de unde s-ar fi achiziionat respectivul bun sau serviciu. Cu timpul
au aprut cardurile i au nceput s simplifice anumite aspecte ale comerului, un lucru ce a
adus beneficii att bncilor care le-au emis, ct i comercianilor care aveau sigurana banilor
livrai direct n cont. n paralel cu evoluia Internetului ca i mijloc de comunicare, a aprut i
comerul electronic, care ne permite s cumprm produse i servicii direct din faa
calculatorului personal, dup ce vizionm oferta respectivei companii.
Comerul electronic se refer la prezentarea, vnzarea i comercializarea diferitelor bunuri
i servicii prin intermediul tehnologiilor folosite de Internet, dar poate avea loc i prin reele
de telecomunicaii care nu sunt publice, ci aparin unor sisteme private de pli i transfer de
fonduri.
De asemenea, comerul electronic (CE), denumit i E-commerce, poate fi considerat o
metodologie modern de afaceri care urmrete satisfacerea nevoilor organizaiilor,
comercianilor i consumatorilor, prin costuri minime, mbuntirea continu a calitii
produselor i serviciilor i minimizarea timpului de livrare.
Comerul electronic este structurat n dou mari categorii: comerul ntre persoane i companii
(B2C, business-to-consumers) i comerul ntre companii (B2B, business-to-business). De
asemenea, se mai pot distinge i: B2E Business-to-Employees, C2B Consumer-toBusiness, C2C Consumer-to-Consumer, G2B Government-to-Business, G2C
Government-to-Consumer .
n cazul primului model, B2C, tranzaciile sunt realizate ntre comerciani, care i
expun produsele pe un site, i consumatorii individuali, care aleg din produsele expuse, dup
care iniiaz plata prin card bancar. Consumatorii beneficiaz de: posibilitatea alegerii unui
produs n funcie de un numr mult mai mare de opiuni dect n cazul comerului tradiional,
acces la o gam variat de produse i servicii de la numeroi furnizori i pot vizita mai multe
magazine virtuale ntr-un timp foarte scurt.
n cadrul B2C majoritatea comenzilor sunt pltite cu cardul de credit.
ntreprinztorilor le plac plile cu cardul, deoarece mecanismul instant de autorizare
garanteaz validitatea cardului. Pe de alt parte, i clienii prefer plata cu cardul, deoarece
pot uor s refuze o tranzacie n cazul n care se rzgndesc sau nu sunt satisfcui de
produsele sau de serviciile cumprate.

Un exemplu de site care urmrete modelul B2C este www.Amazon.com, ilustrat n

Figura 1.

Figura 1. Site de comer electronic B2C

n cazul comerului ntre companii, B2B, tranzaciile sunt realizate n mod majoritar,
ntre companiile care se aprovizioneaz i cele care sunt furnizori de produse i servicii.
Furnizorii i expun marfa pe Internet, iar companiile care sunt interesate emit o comand
electronic de achiziionare. Din perspectiva companiilor care utilizeaz comerul electronic,
promovarea produsului se realizeaz mai amplu i mai rapid, costurile de procesare a
tranzaciei sunt sczute, se elimin interaciunea dintre cumprtor i intermediarii tranzaciei,
ceea ce duce la scderea costurilor interne, i dezvoltarea de produse noi se poate realiza n
concordan cu cerinele consumatorilor, monitoriznd atitudinea acestora fa de anumite
produse sau servicii.
Un exemplu de site care urmrete modelul B2B este www.ibm.com/ro, ilustrat n
Figura 2.

Figura 2. Site de comer electronic B2B

Avantajele comune celor dou categorii de comer electronic, B2C i B2B const n
posibilitatea efecturii de tranzacii 24 de ore pe zi, indiferent de locaie, doar cu acces la
Internet, reducerea erorilor, procesul fiind automatizat, i economii la vnzarea i cumprarea
produselor.
Un factor principal care frneaz dezvoltarea comerului electronic l constituie
insecuritatea. Iniial, serviciile din Internet au fost proiectate pentru cercetare i nu pentru
desfurarea unor tranzacii comerciale. Msurile speciale de securitate n cazul n care plile
se fac prin intermediul cardurilor, sunt concentrate, n principal, n dou direcii asigurarea
securitii telecomunicaiilor, i asigurarea securitii tranzaciilor prin procedee mai puternice
de autentificare, n principal a deintorului de card. Securizarea tranzaciilor presupune
finanare extensiv pe de o parte, iar pe de alt parte, are ca rezultat creterea cifrei de afaceri
care duce la creterea profitabilitii i la dezvoltarea afacerii.
4

2. 3D-Secure
Logo-ul bncii de care aparii

Numele comerciantului de la
care achiionezi produsul
Suma tranzaciei care urmeaz a
fii efectuat
Data
Ultimele 4 cifre ale numrului de
card
Mesajul personal setat n
momentul nregistrrii

Figura 3. Interfaa 3D-Secure

3D-Secure este un protocol de plat creat s aduc un plus de siguran n cazul
tranzaciilor online cu cardul de credit sau de debit. 3-D Secure duce sigurana comerului
electronic la un alt nivel. Este un nou standard de siguran creat de Visa n 2001. Scopul
principal al acestuia este de a salva plile online i de a reduce riscul de fraud. Datorit
simplitii i succesului, acest protocol a fost adoptat i de MasterCard i de JCB
International. Acest standard a fost promovat drept MasterCard Secure Code, J-Secure and
Verified by Visa.
Principiul 3D-Secure este destul de simplu. Titularul de card poate s se logheze la
contul bancii emitente a cardului n timpul tranzaciei online. Practic, se adaug un alt pas de
autentificare pentru plile online. n anumite condiii, vnztorii au posibilitatea de a pune pe
seama bncilor emitente responsabilitatea n cazul tranzaciilor frauduloase. Pentru ca 3DSecure s funcioneze, clienii trebuie n primul rnd s se nregistreze la banc i s i
activeze serviciul. Apoi, de fiecare dat cnd un titular de cont viziteaz un magazin online
care a aderat n prealabil la 3D-Secure i iniiaz o plat pentru un produs sau un serviciu, 3DSecure trimite cererea de cumprare a clientului sistemului vnztorului, fcnd astfel ca
ntregul proces de plat s se fac n cadrul protocolului securizat.
5

O cretere substanial a securitii tranzaciilor de plat se poate obine prin folosirea

unor protocoale de autentificare al cror rol este s autentifice actorii principali ai tranzaciei
ce are loc pe Internet deintorul de card i cardul lui, comerciantul i acceptatorul lui, i
poarta de acces (gateway) din Internet ctre sistemul de pli prin carduri. Aceast
autentificare se face fie prin certificate de autenticitate care necesit un sistem de chei publice
(PKI, Public Key Infrastructure), fie prin alte metode, mai simple. Esenial este
autentificarea deintorului de card, deoarece aici se afl sursa majoritii fraudelor.

3. Descrierea tehnic a protocolului

Protocolul schimb mesaje n format XML prin SSL (Secure Sockets Layer- un protocol
de criptare). Acesta asigur att autenticitatea serverului ct i pe cea a clientului utiliznd
certificate digitale. Conceptul protocolului este de a lega procesul de autentificare cu un
formular online de autentificare. Acest mecanism de autentificare este creat pe un model bazat
pe trei domenii (de aici i numele de 3D). Aceste 3 domenii sunt:
Domeniul Emitentului - reprezint banca ce a emis cardul
Domeniul Acceptatorului banca vnztorului ctre care se transfer banii
Domeniul de Interoperabilitate reprezint infrastructura oferit de ctre schema
crii de credit care accept protocolul 3D-Secure. Acest domeniu include Internetul,
ACS (Access Control Server), MPI (Merchant Plug In) sau oricare alt furnizor de
Internet.
Scopul celor trei domenii este acela de a defini clar responsabilitile prilor implicate
n tranzacie. Protocolul asigur autentificarea numrului de card, a deintorului de
card, i a comerciantului, la fiecare tranzacie.
n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip direct
emitentul cardului i comerciantul. n momentul n care cumprtorul iniiaz plata,
comerciantul (modulul de 3D-Secure din site-ul lui) va cere mai nti autentificarea numrului
cardului, iar apoi va cere emitentului s-i autentifice deintorul de card. Dup ce va primi
autentificarea semnat, va urma autorizarea normal a plii (trimite la emitent, prin sistem, o
cerere de autorizare, etc). Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i
autentifice mai nti cardul i deintorul de card. Deintorul de card trebuie s se nregistreze
n sistem la emitentul su i s-i declare cel puin un nume i o parol prin care emitentul
poate s-l autentifice n momentul tranzaciei, trimind apoi aceast autentificare
comerciantului. Protocolul las libertatea emitentului de a alege i alte metode de autentificare
a deintorului de card care s arate, n momentul efecturii tranzaciei, c este deintorul
legitim al cardului cu care se face plata. Uzual ns deintorul de card e autentificat de
emitent doar prin nume i parol. Dup ce l autentific, emitentul va genera un rspuns
semnat electronic pe care l trimite comerciantului pentru a-i confirma autenticitatea
6

deintorului de card, iar comerciantul va putea trece la faza de autorizare normal a

tranzaciei. Deintorul de card este liber s-i instaleze i un portofel electronic (eWallet),
care va conine informaiile de identitate (nume, adres, parol, etc) i cele de card (tip card,
numr card, dat de expirare) i care i poate servi la automatizarea procesului de completare
a formularului de plat i la pstrarea chitanelor pentru tranzaciile efectuate.
Emitentul dispune de un serviciu de nregistrare n sistemul 3D-Secure a cardurilor i
deintorilor de card (nregistrarea se poate face i prin Internet) pstrnd ntr-un server de
nregistrare numerele de card, numele i parola deintorilor participani. Emitentul mai
dispune i de un server de control al accesului (ACS, Access Control Server) care are rolul de
a primi cererile de autentificare a cumprtorului venite de la comerciani, de a face
autentificarea acestuia verificnd numrul de card, numele i parola i de a trimite rspunsul
semnat napoi la comerciant. n domeniul de interoperabilitate Visa (sau MasterCard, care a
aderat la sistem) dispune de un Director (Directory Service) care este un server central pe
Internet (ce dispune de un certificat de autenticitate) n care se pstreaz numerele de card ale
tuturor cardurilor nregistrate n sistemul 3D-Secure, precum i adresele de Internet (URL) ale
serverelor de control al accesului (ACS) ale emitenilor cardurilor nregistrate. n acest
Director se pstreaz i o arhiv a tuturor autentificrilor date de emiteni, pentru a servi
rezolvrii unor eventuale dispute.
n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de acces
(payment gateway) la sistemul de plat prin carduri Visa/MasterCard, iar comercianii lor
trebuie s-i instaleze, pe lng modulul client de e-Commerce, i un modul de 3D-Secure
care poart numele standard de MPI (Merchant Plug-In module), adic modul de comerciant
3D-Secure instalat n site. Acest modul de comerciant 3D-Secure va genera cereri de
autentificare a cardului i a cumprtorului ctre emitent, prin intermediul Directorului, iar
dup primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de acces a
acceptatorului, care, o va trimite mai departe n sistemul de carduri prin acceptator. n cursul
acestei operaii modulul MPI al comerciantului se va autentifica fa de Director printr-un
certificat de autenticitate sau, mai simplu, printr-un password, iar Directorul va face acelai
lucru fa de comerciant. n felul acesta are loc, la fiecare tranzacie, i o autentificare a
comerciantului. Dup primirea rspunsului de autorizare, modulul comerciantului va trimite
cumprtorului o pagin cu un raport asupra efecturii tranzaciei. n cazul n care tranzacia
este iniiat de un card care nu este nregistrat n sistemul 3D-Secure, comerciantul va putea
sri peste etapa de autentificare a cumprtorului i va trece direct la autorizare, sau va
respinge tranzacia, dup cum a ales acceptatorul.

Site

Figura 4. Schema de principiu a domeniilor protocolului 3D-Secure

Figura 4 prezint schema de principiu a domeniilor protocolului 3D-Secure. Mesajele
privind autentificarea circul ntre Domeniile emitentului i acceptatorului n cadrul
Domeniului de interoperabilitate, i au loc prin Internet. Mesajele prin care se face
autentificarea deintorului de card circul ntre acesta i emitentul su, n cadrul Domeniului
emitentului. Mesajele prin care se cere autorizarea tranzaciei i se face procesarea plii
circul ntre comerciant i acceptatorul su, n cadrul Domeniului acceptatorului, iar aceleai
mesaje dar care se schimb ntre acceptator i emitent n vederea realizrii autorizrii i
procesrii plii, circul n cadrul Domeniului de interoperabilitate prin sistemul de carduri
(VisaNet, BankNet).
Legturile prin Internet sunt legturi sigure, efectuate prin protocolul SSL, n care
fiecare entitate server dispune de un certificat de autenticitate, iar mesajele sunt criptate.
Comerciantul nu are acces la datele cardului de plat, care nu sunt stocate pe site-ul su, i
poate vedea numai verdictul final de autentificare dat de emitent autentificat sau
neautentificat. Protocolul 3-D Secure verific esenialmente autenticitatea cardului i a
deintorului de card i d astfel comerciantului ncrederea c va fi pltit dup ce va livra
produsele comandate. Protocolul poate fi folosit n principiu i pe alte canale de plat
telefoane mobile, asisteni digitali personali (PDA) sau televiziunea digital prin cablu.

4. Avantaje
Beneficiile pentru Titularii de card

ncredere sporit a cumprturilor efectuate online

Nu este necesar nicio aplicaie suplimentar pentru titularul de card.
Uor de utilizat
Control al cardului n cadrul tranzaciilor online

Beneficii pentru vnztor

ncredere sporit a clientului pentru tranzaciile online, poate duce la creterea

vnzrilor
Reducerea riscului de tranzacii frauduloase
Reducerea costurilor operaionale datorit limitrii litigiilor tranzacionale

Beneficii pentru emitent

Reducerea tranzaciilor frauduloase
Creterea vizibilitii mrcii pe piaa online deoarece emitentul este implicat n fiecare
tranzacie. Acest lucru aduce plusvaloare i ntrete relaia emitentului cu titularul de card.
Acordarea dreptului emitentului de a verifica datele de autentificare n timpul
procesrii cererii de autorizare.
Beneficii pentru beneficiari

Reducerea tranzaciilor frauduloase

Reducerea costurilor operaionale prin diminuarea numrului de refuzuri ale plilor.
mbuntirea valorii vnztorilor prin creterea oportunitilor de vnzare i limitarea
litigiilor tranzacionale.

5. Bibliografie:

[1] Conf. Dr. Ing. N. Popescu, E-COMMERCE, Cursul 1, 2012,

http://andrei.clubcisco.ro/cursuri/4ec/nirvana/curs01.PDF
[2] (2013) Comerul electronic n Romnia, http://www.programesoft.ro/comertul-electronic-inromania/
[3] Dr. Ing. D. Vasilache, Pli electronice. O introducere, Ed. Rosetti, Bucureti, 2004,
http://www.danvasilache.info/eplati.html
[4] L. A. Kovacs, Comer electronic, Editura Presa Universitar Clujean, Cluj-Napoca, 2002,
http://www.liciniu.ro/ecs/comert/
[5] Online Shopping website, http://www.amazon.com/
[6] IBM Managed Services website, http://www.ibm.com/
[7] Interfaa 3D-Secure, http://help.loco2.com/article/278-problems-making-payment
[8] Site-ul Slideshare, http://www.slideshare.net/vladpetre88/the-3d-secure-protocol

10