PAYPAL, LA
SICUREZZA NEL
PAGAMENTO
Di Paolo Piersanti e Francesco Leccese
1
Prof. Stefano Bistarelli
CHE COSA E’
PAYPAL


Paypal è un servizio di trasferimento di denaro
nato proprio per rendere più sicure le transazioni
online sia per i compratori, sia per i venditori.
E’ possibile spedire e ricevere denaro in tutta
sicurezza non fornendo i numeri della carta di
credito ma solamente l’indirizzo e mail.
2
LE POLICY DI
PAYPAL
 PRIVACY
POLICY
 ACCETTABLE
 DELIVERY
USE POLICY
POLICY
3
PRIVACY POLICY
Per usufruire del servizio, Paypal ci obbliga a
fornire i nostri dati personali quali:
1. Informazioni di contatto – nome, indirizzo,
telefono, email, Skype ID e simili
2.
Informazioni finanziarie – conto corrente e/o i
numeri delle carte di credito che fanno
riferimento all’accout paypal
4
UTILIZZO DEI COOKIES
Paypal fa uso dei cookies al fine di:
a)
Riconoscere l’utente come un paypal customer
b)
Collezionare informazioni sulla macchina
dell’utente per mitigare il rischio, prevenire le
frodi e promuovere fiducia e sicurezza
5
ACCETTABLE USE POLICY
L’utilizzo di Paypal è vietato per le attività che:
o infrangono qualsiasi legge o mettono a rischio la
sicurezza del consumatore
o Implicano transazioni illegali (trasferimenti
offshore, marketing piramidale, ecc.)
o Implicano la vendita di prodotti considerati
fraudolenti dalle agenzie governative
o Violano le leggi vigenti sulla vendita di farmaci e
tabacco
o Coinvolgono il gioco d’azzardo
6
UTILIZZO DELLE INFORMAZIONI
PERSONALI

Fornire i servizi efficientemente

Elaborare le transazioni e le notifiche relative

Risolvere controversie


Prevenzione da azioni che sono vietate dalla
Accettable Use Policy
Comparazione con terze parti per verifica
dell’autenticità
7
DELIVERY POLICY
Il sistema comunica attraverso il sito o attraverso
l’e-mail dell’utente
 Vengono comunicatici tutti i movimenti
(pagamenti effettuati, ricevuti, bilancio annuo)
 Per usufruire del servizio di consegna è
necessaria una connessione internet e una
crittografia a 128 bit
 L’utente ha la responsabilità di aggiornare i
propri recapiti per mantenere attiva la
comunicazione col servizio

8
SISTEMA MESSAGGISTICO IPN
(INSTANT PAYMENT
NOTIFICATION)
Cos’è
IPN è un message system che in Paypal è utilizzato
per notificare ogni tipo di evento che interviene in
una transazione
1)
Pagamento Istantaneo
2)
Notifiche di spedizione
3)
Controversie

9
A COSA SERVE


IPN ha il compito di accelerare ed ottimizzare
l’invio di messaggi tra utenti e il server PayPal
Usa un listener (detto anche handler), cioè uno
script modificabile dall’utente che auto-gestisce le
notifiche, le liste dei clienti, ecc.
10
COME FUNZIONA
11
PROTOCOLLO IPN
12
FRAUD MANAGEMENT
FILTERS
I Filitri mitigano i tentativi antifrode
 Free Filters
 Advanced Filters
L’attività si articola in tre step:
1.
2.
3.
Configurazione Manuale
Revisione
Trasferimento (o Negazione)
13
STEP DI FUNZIONAMENTO DEI FMF
Configurazione
Manuale
Revisione
Trasferimento
/
Negazione
14
TIPI DI FILTRI

Maximum transaction amount filter

Country monitor filter

Card security code mismatch filter

Minimum transaction amount filter
15
MAXIMUM TRANSACTION AMOUNT
FILTER

Entra in azione se l’importo è molto maggiore
delle cifre che riguardano le transazioni di un
dato venditore
Esempio:
Se il volume medio delle mie transazioni è di 100 $
e mi viene proposta una transazione da 1000 $
allora il filtro entra in funzione
Usato da solo non è molto affidabile perché, se il
venditore considera affidabile la fonte, può
accettare la transazione
16
COUNTRY MONITOR
FILTER

Consente la creazione di una Black list di Paesi
ritenuti poco affidabili
Se il Paese che origina il pagamento fa parte di
questa lista allora il pagamento viene
automaticamente annullato senza dover chiedere
il consenso all’utente
17
MINIMUM AMOUNT TRANSACTION FILTER

Serve ad ottimizzare l’azione del sistema FMF.
Deve essere impostata una soglia minima.
Se il pagamento è minore o uguale del valore
soglia allora vi è l’immediata accettazione senza
dover passare per i restanti tre filtri.
Esempio:
Se la soglia minima è di 10 $ e devo ricevere un
pagamento di 10 $, il filtro convalida la
transazione senza passare per gli altri tre. Se
invece dovrei ricevere un pagamento di 20 $
allora entrano in azione anche gli altri filtri.

18
CARD SECURITY CODE MISMATCH FILTER

Entra in azione quando l’emettitore del
pagamento fornisce un codice di sicurezza della
carta di credito differente.
Se vi è incongruenza, questa viene segnalata e
spetterà all’utente la decisione se accettare o
meno il pagamento.
19
20
SICUREZZA DEI DATI E
CRITTOGRAFIA


Paypal codifica automaticamente i dati trasferiti
dal computer dell’utente attraverso il protocollo
SSL (Secure Socket Layer) con una crittografia a
128 bit, la migliore in commercio.
Vengono usati AVS e CVV2 per controllare gli
indirizzi di accredito
21
PROTOCOLLO SSL
(SECURE SOCKETS
LAYER)
22
STRUTTURA DEL SSL
SSL Handshake, permette al server e
all’utente di autenticarsi a vicenda.
Consente inoltre di stabilire un algoritmo
di crittografia e le relative chiavi prima
che il livello di applicazione trasmetta o
riceva il suo primo byte.
SSL Record, è basato su di un
protocollo di trasporto affidabile
come
il
TCP.
È
usato
per
l'incapsulamento dei dati provenienti dai
protocolli superiori.
23
STRUTTURA DEL SSL
Transmission Control Protocol: E' un protocollo
di trasporto di tipo connection-oriented per la
trasmissione dati tra due host, cioè offre un
servizio
orientato
alla
connessione
garantendo la consegna e l'ordinamento corretto
dei dati grazie all'utilizzo di sequence
number e conferme di consegna. Gli host
impegnati comunicano attraverso un canale che
consente
lo
scambio
interattivo
delle
informazioni (full-duplex). TCP segmenta e
invia i dati ai protocolli superiori come un'unica
sequenza (byte-stream).
24
STRUTTURA DEL SSL
Internet Protocol: fornisce un metodo di
indirizzamento
logico
e
di
gestione
frammentazione/riassemblaggio
per
la
trasmissione dati tra gli host di una rete.
L'IP protocol definisce una tecnica di
trasmissione dati non orientata alla connessione
(connectionless) e senza riscontro (non c'è
garanzia che i pacchetti giungano a destinazione
e nella sequenza corretta). Esso prevede che le
informazioni vengano strutturate in unità
chiamate datagrammi IP (IP datagram), di
lunghezza massima 65535 byte, suddivise in
due aree: il campo dati (data) che contiene il
messaggio da inviare e l'intestazione (header)
che contiene le informazioni necessarie per
instradare il pacchetto.
25
OBIETTIVI DEL SSL
Confidenzialità: I dati coinvolti in una
comunicazione vengono protetti utilizzando
algoritmi di crittografia a chiave simmetrica
 Autenticazione: L'autenticazione dell'identità
(sia degli utenti che del server) nelle connessioni
è eseguita usando la crittografia a chiave
pubblica (RSA).
 Integrità: Con un apposito MAC (Message
Authentication Code), che utilizza funzioni hash,
i dati vengono controllati e protetti da eventuali
modifiche esterne.

26
VANTAGGI DELL’SSL



SSL è indipendente dal protocollo di applicazione,
in tal modo un protocollo di livello più alto può
interfacciarsi sul protocollo SSL in modo
trasparente;
Cifratura a 128 bit nella trasmissione dati tra il
Browser ed il Server;
È un protocollo con bassissimi costi di
manutenzione (cosa non da poco)
27
TESTIMONIANZA DI UNA TRUFFA SUBITA
CON PAYPAL
Un ragazzo vuole vendere il suo perosnaggio di
World of Warcraft per 280 $ ad un certo utente
chiamato BROWN.
BROWN paga con Paypal e ottiene tramite MSN
user e password dell’account.
Dopo 15 minuti BROWN apre una constestazione e
chiede un rimborso dell’intera cifra.
Il venditore cerca di far valere le sue ragioni
dimostrando di aver spedito i dati anche tramite
raccomandata.
Paypal rimborsa BROWN
28
29