Il rischio maggiore che si corre nell'uso della carta di credito per fare transazioni online è rappresentato dalla presenza inconsapevole nel proprio PC di un keylogger. Abbiamo analizzato in un articolo precedente cosa sono e la loro pericolosità in quanto spesso non sono rilevati dal programma antivirus. Come soluzione di emergenza è possibile utilizzare la tastiera sullo schermo presente su tutti i maggiori sistemi operativi windows, linux e MAC. Per far fronte a questo nuovo tipo di attacchi i circuiti internazionali Visa e MasterCard hanno introdotto dei nuovi sistemi di sicurezza oltre a quelli classici (codice identificativo,codici di sicurezza e codice pin). Il più importante è il protocollo 3-d Secure (3 domain Secure ). Questo servizio è stato sviluppato da VISA e poi utilizzato anche da MASTERCARD e AMERICANEXPRESS, dal 2008 la registrazione a questo servizio è diventata obbligatoria per poter compiere acquisti online con questi circuiti.
3D-SECURE
Questo protocollo lega il processo di transazione finanziaria con un autenticazione online, e questa autenticazione si basa su un modello a 3 domini:
1.Acquirer Domain (Società che fornisce all'esercente il servizio per l'accettazione dei pagamenti con carta di credito)
2. Issuer Domain (Società che emette la carta di credito )
3. Interoperability Domain (l'infrastruttura fornita per sostenere il protocollo 3-d secure)
Una transazione avviene in questo modo:
a)Il titolare della carta di credito effettua un acquisto su un sito e inserisce i dati della propria carta, dando inizio alla transazione.
b)Il sito dell'esercente si collega, attraverso la componente Merchant Plug-In (MPI), al Directory Server (di Visa o MasterCard), inviando un messaggio di tipo VEReq contenente il PAN della carta.
c)Il Directory Server verifica se il BIN della carta rientra nella lista dei BIN comunicati dai vari Issuer come
aderenti al servizio quindi contatta l'ACS(Access Control Server) dell'Issuer domain che verifica se la singola
carta aderisce al servizio.
d)L'ICS risponde con un messaggio VERes il cui campo PAN Authentication Available indica se un'autenticazione è o non è disponibile per il PAN in questione, assumendo di conseguenza uno di questi valori:
Y se l'autenticazione disponibile
N se il titolare non partecipante al servizio
U se l'autenticazione non è possibile.
Il messaggio VERes è inoltrato al MPI dell'esercente.
e)Se la carta aderisce al servizio, l'MPI invia una richiesta d'autenticazione all'ACS attraverso il messaggio PAReq.
f)l'ACS effettua la fase d'autenticazione secondo le modalità di validazione del pagamento che l'Issuer ha stabilito (tipicamente qui avviene l'inserimento di una password).
g)l'ACS restituisce all'MPI un messaggio PARes i cui campi indicano l'esito dell'autenticazione.
h)Il Merchant Server Plug-in verifica la risposta dell'ACS e decide proseguire o meno con il normale processo autorizzativo.
Utilizzando il 3d-secure l'esercente che aderisce al servizio viene completamente esonerato da qualsiasi responsabilità.Nel caso infatti in cui il cliente dovesse disconoscere una transazione la responsabilità passa dall'Acquirer all'Issuer.
Nessun commento:
Posta un commento