Documente Academic
Documente Profesional
Documente Cultură
Crearea Unei Afaceri Online
Crearea Unei Afaceri Online
3. Politici de Securitate
Definirea noțiunii de Securitate a informațiilor
Ca și acțiunile prin care o organizație își apără angajații și bunurile, securitatea
informațiilor este folosită în primul rind pentru a oferi asigurări că drepturile care derive
din proprietatea intelectuală sunt protejate în mod corecpunzător.
Obiectivul principal al unui program pentru protecția informațiilor îl reprezintă
asigurarea încrederii partenerilor de afaceri, avantajul competitive, conformitatea cu
cerințele legale și maximizarea investițiilor. Indiferent de forma pe care o îmbracă,
mijloacele prin care este memorată, transmisă sau disctibuită, informația trebuie protejată.
Securitatea comerțului electronic
Măsurile speciale de securitate în cazul comerțului electronic prin Internet, în care
plățile se fac cu carduri, sunt concentrate, în principal, în două direcții – asigurarea
securității telecomunicațiilor, și asigurarea securității tranzacțiilor prin procedee mai
puternice de autentificare, în principal a deținătorului de card. Prima direcție încearcă să
resolve probleme riscurilor generate de caracterul public al transmisiunilor prin rețeaua
Internetului, iar a doua pe aceea a riscurilor generate de o situație în care „cardul nu este
prezent”.
Securitatea tranzacțiilor de plată – protocoalele 3-D Secure, SecureCode și SET.
Protocolul SET îşi propune șapte obiective de securitate în comerţul electronic :
Să asigure confidențialitatea instrucţiunilor de plată și a informaţiilor de cerere
care sunt transmise odată cu informatie de plată.
Să garanteze integritatea tuturor datelor transmise.
Să asigure autentificarea cumpărătorului precum şi faptul că acesta este
utilizatorul legitim al unei marci de card.
Să asigure autentificarea vânzătorului precum şi faptul că acesta acceptă
tranzacţii cu carduri prin relația sa cu o institutie financiară achizitoare.
Să folosească cele mai bune metode de securitate pentru a proteja părţile
antrenate în comerţ.
Să fie un protocol care să nu depindă de mecanismele de securitate ale
transportului şi care să nu împiedice folosirea acestora.
Să faciliteze şi să încurajeze interoperabilitatea dintre furnizorii de soft şi cei
de reţea.
Protocol numit 3-D Secure, mai simplu şi mai uşor de implementat, bazat pe un
model de sistem de securitate care cuprinde trei domenii. Scopul celor trei domenii este
acela de a defini clar responsabilităţile părţilor implicate în tranzacţie. Cele trei domenii
sunt Domeniul Emitentului, care cuprinde deţinătorii de card şi emitenţii cardurilor lor.
Domeniul Acceptatorului, care cuprinde comercianţii şi acceptatorii lor, şi Domeniul de
Interoperabilitate, care asigură comunicarea între emitenți, acceptatori şi sistemul Visa.
Protocolul asigură autentificarea numărului de card, a deţinătorului de card, şi a
comerciantului, la fiecare tranzacţie.
Potocolul SecureCode asemeni lui Visa şi tot în 2001, MasterCard anunţă protocolul
SPA (Secure Payment Application) bazat pe utilizarea unui mecanism de transport de date
prin reţeaua sa (BankNet), denumit UCAF (Universal Cardholder Authentification Field)
care transportă un aşa numit "semn de autentificare" (authentication token) utilizat pentru
a indica autentificarea deţinătorului de card care a făcut tranzacţia, motiv pentru care este
numit SPA/UCAF. Protocolul CAP (Chip Card Authentication Program) este o variantă a
SPA pentru plata cu carduri inteligente şi presupune de regulă cuplarea la calculator a unui
cititor de astfel de carduri. MasterCard adoptă apoi în 2002 protocolul 3-D Secure într-o
variantă proprie şi îl prezintă tot sub denumirea generică de SecureCode. Acceptatorii
MasterCard au libertatea de a-şi alege tipul dorit de protocol.
Emitentul dispune de un server de ePortofel (wallet server, sau SPA server) şi
distribuie cumpărătorilor care se înregistrează câte un ePortofel pe care aceştia şi-l
instalează apoi în calculatorul lor personal. În momentul înregistrării (enrollment)
cumpărătorul îşi va defini şi o parolă, sau un PIN, după care va fi autentificat ulterior.