PAYPAL, LA SICUREZZA NEL PAGAMENTO Di Paolo Piersanti e Francesco Leccese 1 Prof. Stefano Bistarelli CHE COSA E’ PAYPAL Paypal è un servizio di trasferimento di denaro nato proprio per rendere più sicure le transazioni online sia per i compratori, sia per i venditori. E’ possibile spedire e ricevere denaro in tutta sicurezza non fornendo i numeri della carta di credito ma solamente l’indirizzo e mail. 2 LE POLICY DI PAYPAL PRIVACY POLICY ACCETTABLE DELIVERY USE POLICY POLICY 3 PRIVACY POLICY Per usufruire del servizio, Paypal ci obbliga a fornire i nostri dati personali quali: 1. Informazioni di contatto – nome, indirizzo, telefono, email, Skype ID e simili 2. Informazioni finanziarie – conto corrente e/o i numeri delle carte di credito che fanno riferimento all’accout paypal 4 UTILIZZO DEI COOKIES Paypal fa uso dei cookies al fine di: a) Riconoscere l’utente come un paypal customer b) Collezionare informazioni sulla macchina dell’utente per mitigare il rischio, prevenire le frodi e promuovere fiducia e sicurezza 5 ACCETTABLE USE POLICY L’utilizzo di Paypal è vietato per le attività che: o infrangono qualsiasi legge o mettono a rischio la sicurezza del consumatore o Implicano transazioni illegali (trasferimenti offshore, marketing piramidale, ecc.) o Implicano la vendita di prodotti considerati fraudolenti dalle agenzie governative o Violano le leggi vigenti sulla vendita di farmaci e tabacco o Coinvolgono il gioco d’azzardo 6 UTILIZZO DELLE INFORMAZIONI PERSONALI Fornire i servizi efficientemente Elaborare le transazioni e le notifiche relative Risolvere controversie Prevenzione da azioni che sono vietate dalla Accettable Use Policy Comparazione con terze parti per verifica dell’autenticità 7 DELIVERY POLICY Il sistema comunica attraverso il sito o attraverso l’e-mail dell’utente Vengono comunicatici tutti i movimenti (pagamenti effettuati, ricevuti, bilancio annuo) Per usufruire del servizio di consegna è necessaria una connessione internet e una crittografia a 128 bit L’utente ha la responsabilità di aggiornare i propri recapiti per mantenere attiva la comunicazione col servizio 8 SISTEMA MESSAGGISTICO IPN (INSTANT PAYMENT NOTIFICATION) Cos’è IPN è un message system che in Paypal è utilizzato per notificare ogni tipo di evento che interviene in una transazione 1) Pagamento Istantaneo 2) Notifiche di spedizione 3) Controversie 9 A COSA SERVE IPN ha il compito di accelerare ed ottimizzare l’invio di messaggi tra utenti e il server PayPal Usa un listener (detto anche handler), cioè uno script modificabile dall’utente che auto-gestisce le notifiche, le liste dei clienti, ecc. 10 COME FUNZIONA 11 PROTOCOLLO IPN 12 FRAUD MANAGEMENT FILTERS I Filitri mitigano i tentativi antifrode Free Filters Advanced Filters L’attività si articola in tre step: 1. 2. 3. Configurazione Manuale Revisione Trasferimento (o Negazione) 13 STEP DI FUNZIONAMENTO DEI FMF Configurazione Manuale Revisione Trasferimento / Negazione 14 TIPI DI FILTRI Maximum transaction amount filter Country monitor filter Card security code mismatch filter Minimum transaction amount filter 15 MAXIMUM TRANSACTION AMOUNT FILTER Entra in azione se l’importo è molto maggiore delle cifre che riguardano le transazioni di un dato venditore Esempio: Se il volume medio delle mie transazioni è di 100 $ e mi viene proposta una transazione da 1000 $ allora il filtro entra in funzione Usato da solo non è molto affidabile perché, se il venditore considera affidabile la fonte, può accettare la transazione 16 COUNTRY MONITOR FILTER Consente la creazione di una Black list di Paesi ritenuti poco affidabili Se il Paese che origina il pagamento fa parte di questa lista allora il pagamento viene automaticamente annullato senza dover chiedere il consenso all’utente 17 MINIMUM AMOUNT TRANSACTION FILTER Serve ad ottimizzare l’azione del sistema FMF. Deve essere impostata una soglia minima. Se il pagamento è minore o uguale del valore soglia allora vi è l’immediata accettazione senza dover passare per i restanti tre filtri. Esempio: Se la soglia minima è di 10 $ e devo ricevere un pagamento di 10 $, il filtro convalida la transazione senza passare per gli altri tre. Se invece dovrei ricevere un pagamento di 20 $ allora entrano in azione anche gli altri filtri. 18 CARD SECURITY CODE MISMATCH FILTER Entra in azione quando l’emettitore del pagamento fornisce un codice di sicurezza della carta di credito differente. Se vi è incongruenza, questa viene segnalata e spetterà all’utente la decisione se accettare o meno il pagamento. 19 20 SICUREZZA DEI DATI E CRITTOGRAFIA Paypal codifica automaticamente i dati trasferiti dal computer dell’utente attraverso il protocollo SSL (Secure Socket Layer) con una crittografia a 128 bit, la migliore in commercio. Vengono usati AVS e CVV2 per controllare gli indirizzi di accredito 21 PROTOCOLLO SSL (SECURE SOCKETS LAYER) 22 STRUTTURA DEL SSL SSL Handshake, permette al server e all’utente di autenticarsi a vicenda. Consente inoltre di stabilire un algoritmo di crittografia e le relative chiavi prima che il livello di applicazione trasmetta o riceva il suo primo byte. SSL Record, è basato su di un protocollo di trasporto affidabile come il TCP. È usato per l'incapsulamento dei dati provenienti dai protocolli superiori. 23 STRUTTURA DEL SSL Transmission Control Protocol: E' un protocollo di trasporto di tipo connection-oriented per la trasmissione dati tra due host, cioè offre un servizio orientato alla connessione garantendo la consegna e l'ordinamento corretto dei dati grazie all'utilizzo di sequence number e conferme di consegna. Gli host impegnati comunicano attraverso un canale che consente lo scambio interattivo delle informazioni (full-duplex). TCP segmenta e invia i dati ai protocolli superiori come un'unica sequenza (byte-stream). 24 STRUTTURA DEL SSL Internet Protocol: fornisce un metodo di indirizzamento logico e di gestione frammentazione/riassemblaggio per la trasmissione dati tra gli host di una rete. L'IP protocol definisce una tecnica di trasmissione dati non orientata alla connessione (connectionless) e senza riscontro (non c'è garanzia che i pacchetti giungano a destinazione e nella sequenza corretta). Esso prevede che le informazioni vengano strutturate in unità chiamate datagrammi IP (IP datagram), di lunghezza massima 65535 byte, suddivise in due aree: il campo dati (data) che contiene il messaggio da inviare e l'intestazione (header) che contiene le informazioni necessarie per instradare il pacchetto. 25 OBIETTIVI DEL SSL Confidenzialità: I dati coinvolti in una comunicazione vengono protetti utilizzando algoritmi di crittografia a chiave simmetrica Autenticazione: L'autenticazione dell'identità (sia degli utenti che del server) nelle connessioni è eseguita usando la crittografia a chiave pubblica (RSA). Integrità: Con un apposito MAC (Message Authentication Code), che utilizza funzioni hash, i dati vengono controllati e protetti da eventuali modifiche esterne. 26 VANTAGGI DELL’SSL SSL è indipendente dal protocollo di applicazione, in tal modo un protocollo di livello più alto può interfacciarsi sul protocollo SSL in modo trasparente; Cifratura a 128 bit nella trasmissione dati tra il Browser ed il Server; È un protocollo con bassissimi costi di manutenzione (cosa non da poco) 27 TESTIMONIANZA DI UNA TRUFFA SUBITA CON PAYPAL Un ragazzo vuole vendere il suo perosnaggio di World of Warcraft per 280 $ ad un certo utente chiamato BROWN. BROWN paga con Paypal e ottiene tramite MSN user e password dell’account. Dopo 15 minuti BROWN apre una constestazione e chiede un rimborso dell’intera cifra. Il venditore cerca di far valere le sue ragioni dimostrando di aver spedito i dati anche tramite raccomandata. Paypal rimborsa BROWN 28 29