e-Commerce
Alberto Giusti
e-mail: [email protected]
Pag. 1 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Obiettivi



Introdurre le tematiche di fondo relative
all’e-Commerce
Analizzare le implicazioni esistenti
nell’ambito della Sicurezza Informatica
Analizzare i processi relativi alle
Transazioni in un progetto e-Commerce
Pag. 2 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Introduzione al Commercio
elettronico
Pag. 3 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Definizioni

“Il commercio elettronico è costituito da operazioni
che coinvolgono imprese e individui, mirate allo
scambio di beni materiali o immateriali a cui è
assegnato un valore, attraverso un'infrastruttura
informatica o una rete di telecomunicazione”
Pag. 4 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Definizioni (continua)

Forrester include nel commercio elettronico solo le transazioni concluse

Activmedia ricomprende nel commercio elettronico i redditi derivanti dal

in rete
risparmio di costi generato dalle attività online e le transazioni “almeno
iniziate online”
Il Ministero dell’industria, del commercio e dell’artigianato dice che il
Commercio Elettronico: può riguardare tutte le fasi e le transazioni di
tipo informativo, documentale, contrattuale, fino alla regolazione
finanziaria del rapporto, con l’esclusione della consegna fisica dei beni
materiali trattati, che possiamo definire Commercio Elettronico
"indiretto", ovvero può comprendere anche la consegna on-line di beni
e servizi immateriali (software, prodotti di editoria elettronica, video,
servizi informativi, ecc.), per cui parleremo di Commercio Elettronico
"diretto".
Pag. 5 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Attori coinvolti nelle
transazioni


Business to Business (tra imprese): Il commercio elettronico tra imprese
esiste ormai da molti anni, sotto forma di EDI (electronic data interchange) e di
EFT (electronic fund transfer). L’internet commerce ha però un valido punto di
forza rispetto a queste due tecnologie: è basato su standard aperti, e quindi non
richiede investimenti dedicati da parte delle controparti
Business to Consumer (azienda vs consumatore): l’internet commerce
rientra nella categoria delle preesistenti vendite per corrispondenza, e può essere
considerato un loro sviluppo. Il catalogo che consulta il cliente non è cartaceo,
ma elettronico, e può essere di maggiori dimensioni (non vi sono costi di
stampa), contenendo descrizioni più accurate. Inoltre, può contenere elementi
multimediali quali ad esempio i filmati, e può indicare la disponibilità ed il tempo
previsto di consegna per i singoli prodotti. Il modulo d’ordine può essere
parzialmente automatizzato, in modo che l’utente non debba reinserire
manualmente ad ogni acquisto i suoi dati
Pag. 6 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Attori coinvolti nelle
transazioni (continua)



Consumer to Consumer (privato vs privato): la situazione nella quale sia il
venditore che l’acquirente sono privati è quella tipica delle aste on-line. Infatti, in
questo tipo di transazioni la casa d’aste si occupa solo di offrire lo spazio per
l’annuncio e di individuare l’offerta migliore, rimanendo estranea alla transazione
vera e propria
Government to Government (PA vs PA): gli attori in questo caso sono due
soggetti pubblici che effettuano transazioni. Questa situazione è regolata da un
quadro normativo complesso e da protocolli tipici della PA
Government to Citizens (PA vs privato): gli attori coinvolti sono i soggetti
pubblici nei confronti dei cittadini
Pag. 7 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Modelli di Business
Un modello di Business è il modo in cui l’impresa “fa soldi”,
cioè il modo in cui conduce i suoi affari per coprire i costi e
generare un profitto
Un modello di Business descrive la proposizione di valore che
una azienda intende sviluppare attraverso una iniziativa
imprenditoriale e individua le seguenti variabili:





Un’architettura per i prodotti, servizi e flussi di informazioni, compresa
una descrizione degli attori e dei loro ruoli;
Una descrizione dei benefici potenziali per i vari attori coinvolti;
Una descrizione delle fonti di guadagno per l’attore focale.
Pag. 8 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Famiglie di Modelli di Business





Vendita diretta
e-Broker
Asta online
Basato sulla pubblicità
Infomediario
Pag. 9 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Vendita diretta


Il modello di business più semplice, almeno per numero di
parti coinvolte, e’ quello della vendita diretta. In questo
modello,
l’azienda
aggiunge
valore
al
prodotto
principalmente attraverso i processi di produzione interni: é
però necessario che l’azienda disponga anche di buone
competenze relative alla fase di commercializzazione che,
anche senza offrire al clienti servizi “avanzati”, deve
comunque essere svolta in maniera efficiente
I vantaggi che i clienti traggono da questo modello di
business sono conseguenti alla maggiore interazione che
hanno con l’azienda, che si riflette spesso in una qualche
sorta di personalizzazione del prodotto
Pag. 10 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
e-Broker


L'ectronic broker raccoglie i prodotti da diversi
fornitori, spesso con l’intenzione di offrire la possibilità
di acquisti one-stop, cioè facendo in modo che il
cliente possa effettuare tutti o quasi i suoi acquisti
solamente presso di lui. La caratteristica principale su
cui si punta in questo modello di business è quindi
l’offerta di contenuto multifonte
I broker creano i mercati, dato che mettono in
comunicazione produttori ed acquirenti, facilitando di
conseguenza le transazioni. Questo modello di
business è indubbiamente uno dei più usati, sia nel
commercio tradizionale che nell’e-commerce
Pag. 11 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Aste online

Il modello di business dell’asta on-line viene talvolta fatto ricadere nella
famiglia degli e-broker. Tuttavia, ritengo che meriti una classificazione
separata, sia perché il suo funzionamento merita di essere
adeguatamente precisato, sia perché possiede alcune significative
varianti che rendono opportuna la costituzione di una famiglia a sé
stante. Nel modello dell’asta, i venditori inseriscono un prodotto e un
prezzo base, e gli acquirenti fanno delle offerte: l’asta termina quando
viene raggiunta una scadenza temporale o quando per un certo periodo
non sono state fatte offerte. L’impresa che gestisce l’asta richiede
solitamente ai venditori ridotte commissioni di vendita, puntando quindi
sui volumi. Inoltre, non entra in alcun modo nel rapporto tra venditori ed
acquirenti: questo è per questi ultimi uno svantaggio in quanto, dato che i
venditori sono spesso dei privati, non valgono le leggi a tutela del
consumatore.
Pag. 12 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Basato sulla pubblicita’

I modelli di business basati sulla pubblicità sono notevolmente
diffusi. Anzi, considerando il fatto che questo modello può essere
integrato con altri, si può dire che quasi tutte le imprese adottano
in qualche modo un modello basato sulla pubblicità. Quando non è
combinato con altri, il presente modello di business si caratterizza
per il fatto che l’impresa non richiede al cliente alcun pagamento a
fronte dei servizi offerti, traendo invece il proprio profitto dagli
introiti conseguenti alla vendita di spazi pubblicitari. Questo
modello è quindi analogo a quello delle televisioni commerciali o
della maggior parte dei giornali e riviste, con il vantaggio che in
Internet è possibile raggiungere un target più mirato, grazie alle
informazioni che il cliente lascia (più o meno consapevolmente)
dietro di sé. Basati su questo modello sono:
Pag. 13 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Basato sulla pubblicita’
(continua)



Portale generico: il “portale” è un sito pensato in modo da ottenere un ampio
pubblico cui proporre messaggi pubblicitari (sul Web si raggiungono tipicamente
cifre intorno alle dieci milioni di visite al mese). Questo risultato viene ottenuto
cercando di far sì che il sito diventi la home page di un gran numero di utenti,
offrendo tutti i servizi di cui l’utenza può avere bisogno
Portale personalizzato: personalizzando l’interfaccia e soprattutto il
contenuto l’utente viene fortemente fidelizzato: sia perché il portale offre un
contenuto che lo soddisfa maggiormente, sia perché l’utente ha fatto un
investimento specifico in termini di tempo per effettuare la personalizzazione
Portale specializzato: il portale specializzato è un portale orientato ad una
specifica categoria di utenti, e che quindi è concentrato su una specifica gamma
di contenuti. Un portale di questo tipo attrae un numero minore di utenti, che
però risultano più fedeli
Pag. 14 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Basato sulla pubblicita’
(continua)


Compratore di attenzione: paga gli utenti per alcune attività: vedere il
contenuto di determinate pagine, ricevere messaggi pubblicitari, o completare
questionari. Il pagamento all’utente non avviene necessariamente in denaro, ma
spesso consiste in crediti e buoni sconto. Questo approccio è valido soprattutto
per imprese che hanno un messaggio molto complesso, che difficilmente
verrebbe altrimenti colto dal consumatore, ma può essere adottato con
vantaggio da tutte le imprese. Infatti il consumatore “pagato” dedica più
attenzione ai messaggi che riceve, ed è quindi più probabile che risulti
interessato al loro contenuto
Offerta gratuita: un metodo ormai diffusamente impiegato su Internet per
attrarre traffico e quindi audience per i messaggi pubblicitari è l’offerta gratuita
di prodotti o servizi. Questi possono essere i più svariati: caselle di posta
elettronica, accesso ad Internet, servizi Web, servizi di commercio elettronico,
software, hardware
Pag. 15 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Infomediario

L’infomediario (termine introdotto da John Hagel III e Jeffrey F.
Rayport) raccoglie i dati dei consumatori e delle loro abitudini di
acquisto. Queste informazioni sono di estremo valore, e possono
essere impiegate per un’ampia varietà di scopi, ma le
preoccupazioni riguardo alla privacy fanno pensare che si arriverà
ad una situazione in cui le imprese dovranno negoziare con gli
utenti l’accesso ad esse. Di qui emerge l’importanza degli
infomediari che dovranno assumere anche il ruolo di controparte di
fiducia del cliente in questo genere di transazioni.
Fondamentalmente, si possono suddividere gli infomediari in due
categorie: quelli orientati ai venditori e quelli orientati agli acquirenti
Pag. 16 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Infomediario (continua)


Infomediari orientati ai venditori: la maggior parte degli infomediari che oggi si
incontrano ricadono in questa categoria. Il loro business consiste nella raccolta di
informazioni riguardo i consumatori, allo scopo di permettere alle imprese di raggiungere
nel modo migliore il loro target. Questi operatori esistono anche all’infuori di Internet,
basti pensare alle società che si occupano di sondaggi. Talvolta, questo genere di
infomediari non si limita ad aiutare le aziende a individuare quali sia il loro target ottimale
e quali siano i mezzi per raggiungerlo, ma possono anche collaborare nella traduzione
delle preferenze di un determinato gruppo di consumatori in un prodotto
Infomediari orientati ai consumatori: c’è da aspettarsi che presto si svilupperà
notevolmente una nuova categoria di infomediari, che collaboreranno non con i venditori,
ma bensì con i consumatori. Le funzioni principali che avranno sono:



1) Aiuto ai consumatori nella massimizzazione del valore dei loro profili, usando le scelte
effettuate in passato per determinare quale sia il prodotto che meglio si adatta alle loro
necessità, e quindi individuando il venditore che fornisce quel prodotto alle condizioni migliori
2) Rappresentare gli interessi degli acquirenti nelle negoziazioni con i venditori che desiderano
acquisire informazioni ad essi relative
3) Filtrare le comunicazioni commerciali dei vari venditori, facendo giungere al cliente solo quelle
di suo interesse
Pag. 17 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Modelli progettuali
Che cosa prevede un modello progettuale per l’e-commerce?
Business Model: è una architettura per dei flussi di prodotti, servizi e
informazioni, comprensiva delle descrizioni degli attori principali, i relativi ruoli
e le fonti di guadagno
Functional Model: rappresenta i processi di interscambio che forniscono i
servizi ai clienti del sito. Tali processi sono insiemi di attività interrelate i cui
effetto è la realizzazione di un risultato tangibille
Customer Model: esprime gli schemi (pattern) di navigazione degli utenti
nelle loro visite al sito. Il modello premette di definire delle metriche legate al
comportamento degli utenti. Da tali metriche è possibile dedurre il carico dei
diversi server dovuto alla esecuzione delle diverse funzioni
Resource Model: analizza il tempo speso dalle diverse componenti HW e
SW e stima i Service Demands per le diverse funzionalità progettate
Pag. 18 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
e-Commerce Functional Model
Key functional characteristics:





Supporto di diverse periferiche: PCs, notebook,
palari, pagers, gsm, ecc.
Supporto di fonti di dati/informazioni diversificate:
rete, mainframe, ERP, intranet servers, ecc.
Supporto di ‘rich content’: video, audio, grafica
animata, ecc.
Interfacce utente diversificate: compatibilità con
video del palmare, display GSM, ecc.
Interazione ‘human like’: voice over IP, chatlive, ecc.
Pag. 19 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
e-Commerce Functional Model
(continua)





Apprendimento Intelligente: sistemi che tracciano le
attività/azioni degli utenti e sono di enorme supporto
alla implementazione di nuovi servizi e alle ricerche di
marketing
Interfacce utenti amichevoli!
Scalabilità: capacità di supportare un carico di traffico
crescente senza disservizi!
Funzionalità più ricche: rispetto al commercio offline
Integrazione con altre applicazioni: sistemi legacy,
web based, ecc.
Pag. 20 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
e-Commerce Functional Model
(continua)


Supporto di pagamenti elettronici: grossa
disintermediazione nelle transazioni e tematiche
legate alla Sicurezza
Accesso all’applicazione sicuro e flessibile: privilegi,
permessi di lettura, scrittura e cancellazione dati
Vediamo ora l’infrastruttura di pagamento e gli
standard di sicurezza relativi…
Pag. 21 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Denaro contante e moneta
elettronica


Il trasferimento elettronico di fondi non é una
novità (Federal Riserve System, Automated
Clearing Houses, ATMs, POS-bancomat e carta di
credito, Fedwire, ecc.)
Il problema su Internet é che é una rete pubblica e
distribuita: integrità e sicurezza dei dati,
certificazione delle identità degli attori, ecc.
Pag. 22 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Categorie dei sistemi di
pagamento elettronico




Micropagamenti
Carte intelligenti o smart card
Electronic billing
Carte di credito
Pag. 23 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Micropagamenti
Cosa sono: sono tecnologie che permettono agli utenti di effettuare pagamenti
nell’ordine di poche decine di centesimi di euro
Che cosa pago: questa tecnologia mi permette di pagare uno o più articoli di
una rivista che mi interessa invece di abbonarmi all’intera rivista; vedere un
video, ascoltarmi una canzone, scaricarmi un software, ecc.
Descrizione del processo: 1) il cliente invia una richiesta di caricamento dei
fondi attraverso un sw (tipicamente un borsellino elettronico) 2) attraverso la
rete bancaria viene verificata la disponibilità di tali fondi sulla carta di credito 3)
se c’è l’approvazione i fondi sono immediatamente disponibili 4) questi vengono
trasferiti nel borsellino elettronico e i cliente processa l’acquisto sul sito web 5) il
borsellino addebita le cifre degli acquisti sul conto del cliente
PROBLEMATICHE: tempi lunghi di attesa per l’utente, non esiste uno standard
Pag. 24 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Carte di credito


Gestiscono il 98% dei pagamenti
online
Master card e Visa detengono il
70% del mercato
Pag. 25 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Carte di credito (continua)
Descrizione del processo:
AUTORIZZAZIONE:
•
Navigazione tramite browser
•
Selezione di uno o più articoli e inserimento nel carrello della spesa
•
Inserimento in modalità protetta SSL delle informazioni relative alla
spedizione e alla carta di credito
•
Viene presentato al cliente un riepilogo delle informazioni contenute
nell’ordine
•
L’ordine viene spedito i modalità SSL al sito di e-Commerce
•
Il server aggiunge al pacchetto le informazioni relative all’identificazione del
commerciante
•
Tali informazioni raggiungono la banca che ha emesso la carta di credito del
cliente (distributore)
Pag. 26 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Carte di credito (continua)
•
La banca approva/nega l’autorizzazione al pagamento
•
La banca invia la risposta attraverso l’istituto finanziario del
commerciante fino al sistema del commerciante stesso
LIQUIDAZIONE:
•
La Banca a cui a cui è appoggiata la carta di credito del cliente liquida
la transazione
•
L’operatore commerciale consegna i beni al cliente e richiede la
liquidazione finanziaria
•
La cifra viene depositata al netto delle commissioni della banca del
commerciante, di quelle dell’associazione della carta di credito (visa,
ecc.) e di quelle della banca del cliente
Pag. 27 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
SSL (Secure Socket Layer)


proposto da Netscape Communications
protocollo di trasporto sicuro (circa livello sessione):





crittografia simmetrica dei messaggi
autenticazione (server, server+client)
integrità dei messaggi
protezione da replay e da filtering
applicabile facilmente a HTTP, SMTP, NNTP, FTP, TELNET,
...


HTTP sicuro (https://....) = TCP/443
NNTP sicuro = TCP/563
Pag. 28 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
SSL: use case
(1) https://www.polito.it/
(2) configurazione di sicurezza
(3) cert (www.polito.it)
server
Web
sicuro
(3bis) server challenge /response
browser
(4) cert (utente)
(4bis) client challenge /response
(5) canale sicuro (SSL)
Pag. 29 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Connection-id

Tipica transazione Web:






1.
1.
1.
1.
1.
open,
open,
open,
open,
open,
2.
2.
2.
2.
2.
GET
GET
GET
GET
GET
page.htm, 3. page.htm, 4. close
home.gif, 3. home.gif, 4. close
logo.gif, 3. logo.gif, 4. close
back.jpg, 3. back.jpg, 4. close
music.mid, 3. music.mid, 4. close
Se ogni volta si devono rinegoziare i parametri
crittografici per SSL, il collegamento si
appesantisce molto.
Pag. 30 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Connection-id



per evitare di dover ri-negoziare ad ogni
sessione i parametri crittografici il server SSL
può offrire un connection identifier
se il client, all’apertura della sessione, presenta
un connection-id valido si salta la fase di
negoziazione e si procede subito col dialogo SSL
il server può rifiutare l’uso del connection-id (in
assoluto o dopo un certo tempo dalla sua
emissione)
Pag. 31 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
SSL con session-ID: use case
(1) https://www.polito.it/
(1bis) session-ID
server
Web
sicuro
browser
(5) canale sicuro (SSL)
Pag. 32 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
TLS





Transport Layer Security
standard IETF (TLS-1.0 = RFC-2246)
TLS-1.0 = SSL-3.1
al 99% coincide con SSL-3
enfasi su algoritmi crittografici e di digest
standard (non proprietari):


DH + DSA + 3DES
HMAC
Pag. 33 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Sicurezza del WWW

HTTP-1.0

password-based
l’accesso è limitato da username e password inviate
con UUENCODE
(Basic Protection Scheme)

address-based
il server consente/impedisce l’accesso in base
all’indirizzo IP del client

entrambi gli schemi sono altamente insicuri
(perché HTTP suppone che sia sicuro il
canale!)
Pag. 34 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
HTTP - basic protection
scheme
GET /path/alla/pagina/protetta

HTTP/1.0 401 Unauthorized - authentication failed

WWW-Authenticate: Basic realm="RealmName"
Authorization: Basic UU_encoded_username_password

HTTP/1.0 200 OK
Server: NCSA/1.3
MIME-version: 1.0
Content-type: text/html

<HTML> pagina protetta … </HTML>

Pag. 35 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Sicurezza del WWW

canale SSL:



password:



protezione delle transazioni
protezione delle password applicative
del servizio HTTP
del S.O. che ospita il server (es. NT o UNIX)
ACL per accedere ai documenti:

in funzione dell’autenticazione effettuata (utenti del
S.O., DN per X.509)
Pag. 36 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Protezione della chiave privata




deve usarla un processo
in chiaro dentro un file (facile ma richiede la protezione
del server)
in un file criptato, con chiave fornita all’avvio
(operatore all’avvio + attaccabile da root via debug
della RAM + non usabile per processi automatici)
su un dispositivo protetto (acceleratore crittografico o
crypto-engine) che effettua anche le operazioni di
crittografia:


genera la coppia Kpub / Kpri
cifra e decifra
Pag. 37 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Sicurezza degli accessi remoti
a DBMS

modalità di accesso a dati remoti:



in emulazione di terminale
= protezione del canale (SSL-telnet, SSH, ...)
tramite interfaccia WWW
= protezione del Web (SSL, ...)
client-server
= sistema di sicurezza proprietario, oppure
transazioni appoggiate su IPsec
Pag. 38 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Sistemi di pagamento
elettronico



fallimento della moneta elettronica per problemi
tecnici e normativi
(es. bancarotta di DigiCash)
attualmente il metodo più usato è trasmissione del
numero di carta di credito su canale SSL ...
... che però non garantisce contro le frodi: VISA
Europa dichiara che il 50% dei tentativi di frode
nascono da transazioni Internet, che però sono
solo il 2% del suo volume d’affari!
Pag. 39 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Sicurezza delle transazioni
basate su carta di credito



STT
(Secure Transaction Technology)
VISA + Microsoft
SEPP
(Secure Electronic Payment Protocol)
Mastercard, IBM, Netscape, GTE,
CyberCash
SET = STT + SEPP
(Secure Electronic Transaction)
Pag. 40 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Protocolli di pagamento: SET



SET non è un sistema di pagamento ma un
insieme di protocolli per usare in rete
aperta in modo sicuro un’infrastruttura
esistente basata su carte di credito
usa certificati X.509v3 dedicati
esclusivamente alle transazioni SET
assicura la privacy degli utenti perché
mostra a ciascuna parte solo i dati che le
competono
Pag. 41 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Caratteristiche di SET





versione 1.0 (maggio 1997)
digest: SHA-1
crittografia simmetrica: DES
scambio chiavi: RSA
firma digitale: RSA con SHA-1
Pag. 42 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Architettura di SET
merchant
cardholder
INTERNET
payment
gateway
payment
network
issuer
Pag. 43 - Alfa Layer: e-commerce © giugno 2004
acquirer
www.alfalayer.com - [email protected]
Attori in SET (I)



cardholder
legittimo possessore di una carta di credito
aderente a SET
merchant
venditore di un prodotto via Internet (Web
o e-mail)
issuer
istituto finanziario che ha emesso la carta
di credito dell’utente
Pag. 44 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Attori in SET (II)



acquirer
organizzazione finanziaria che stabilisce un
rapporto col mercante e lo interfaccia con uno o
più circuiti di pagamento
payment gateway
sistema che traduce transazioni SET nel formato
richiesto dal circuito di pagamento dell’acquirer
certification authority
emette certificati X.509v3 e CRL X.509v2 per tutti
gli altri attori di SET
Pag. 45 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Doppia firma SET




per garantire privacy all’utente nei confronti di
merchant e del sistema finanziario (acquirer +
issuer) si usa una doppia firma
al merchant non vengono fatti sapere gli estremi
del pagamento
alla banca non viene fatto sapere quale merce si è
acquistata
solo l’utente può dimostrare l’associazione tra
merce e pagamento
Pag. 46 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Problemi di SET




software molto caro (sia per le CA, sia per
il merchant e l’acquirer)
necessita di un’applicazione speciale dal
lato utente (SET wallet)
procedura di rilascio del certificato a chiave
pubblica per gli utenti complessa
in sviluppo la versione 2.0 di SET che farà
a meno del wallet (userà un browser)
Pag. 47 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]
Architettura di pagamento via Web
1. offerta
2. ordine
cardholder
Internet
merchant
mondo
finanziario
POS
virtuale
payment
gateway
Pag. 48 - Alfa Layer: e-commerce © giugno 2004
payment
network
www.alfalayer.com - [email protected]
Pagamento con carta di
credito via Web

ipotesi base:



l’acquirente possiede una carta di credito
l’acquirente ha un browser con SSL
conseguenze:


la sicurezza effettiva dipende dalla
configurazione sia del server sia del client
il payment gateway ha tutte le informazioni
(pagamento + merce) mentre il merchant ha
solo le informazioni sulla merce
Pag. 49 - Alfa Layer: e-commerce © giugno 2004
www.alfalayer.com - [email protected]