ダミーのインターネット取得

こんにちは、habravchane！



この記事では、インターネットの一般的な獲得に光を当て、それが何で食べられるかを伝えたいと思います。

記事の目的：一般的な開発用。



電子商取引は、コンピューターネットワークを使用して実行されるすべての金融および取引トランザクション、およびそのようなトランザクションに関連するビジネスプロセスを含む経済部門です。



電子商取引には以下が含まれます。



•電子情報交換（電子データ交換、EDI）、

•電子資本フロー（電子資金振替、EFS）、

•電子商取引（eトレード）、

•電子マネー（e-cash）、

•電子マーケティング（eマーケティング）、

•電子バンキング（eバンキング）、

•電子保険サービス（e保険）。



事業スキーム：



1）B2Bまたは企業間

エンティティは別のエンティティと取引しています。 B2Bは、現在最も有望で急速に発展しているeコマース分野の1つです。 B2Bトランザクションの例は、企業独自のWebリソースの設計の基礎として後で使用するための企業向けWebサイトテンプレートの販売です。



2）B2Cまたはビジネス消費者

この場合、会社は既にクライアント（法人ではなく個人）と直接取引しています。 このタイプの取引の例は、従来のオンラインストア、ソーシャルコマース、またはソーシャルネットワークでの商品とサービスの販売範囲です。



3）C2Cまたは消費者消費者

法律上の意味で起業家ではない2人の消費者間で取引を行う。 原則として、C2Cスキームによる商取引は、インターネットオークションサイトで実行されます。



インターネット取得とは、特別に開発されたWebインターフェイスを使用して、インターネット経由でプラスチックカードによる支払いを受け入れることを意味する一般的な用語です。 eコマースのコンポーネントとしてのインターネット取得は、インターネット上の銀行カードを使用して行われたトランザクションのeコマース組織との決済を含む信用機関（取得銀行）の活動です。 買収銀行によるeコマース組織の接続は、通常、サービスプロバイダーの技術サポートによって実行されます。サービスプロバイダーは、3-Dセキュア認証プロトコルとSSLを使用して支払いのセキュリティを確保し、オンラインストアで実行される操作の不正監視を担当します。 このシステムで支払うには、クレジットカードが必要です。クレジットカードのアカウントは、インターネット上だけでなく、実際の店舗でも商品やサービスの支払い専用に設計されています。



使用の利点：



組織の場合：

グローバル規模

コスト削減

supplyサプライチェーンの改善

ビジネスは常に営業しています（24時間365日）

カスタマイズ

迅速な市場投入

digitalデジタル製品の低コストの流通



消費者向け：

ユビキタス

匿名性

goods豊富な品揃えとサービス

カスタマイズ

安価な製品とサービス

迅速な配達

電子社会化



社会のために：

provided提供される幅広いサービス（教育、医療、公共サービスなど）

living生活水準の向上

national国家安全保障の向上

digitalデジタルデバイドの削減

オンライン販売/商品/サービスの注文により、車の交通量が減少し、環境汚染が減少します



短所：

組織の場合：

projectプロジェクトの会社への加入に関する当事者の疑い（否定的な匿名性）

Internetインターネット上で企業の活動を維持し、正当化するのが難しい



消費者向け：

Internetインターネット経由で販売されるサービスに対する消費者の不信

goods手で商品に「触れる」ことができない

purchased購入した製品の配達待ち



社会のために：

魅力的な詐欺プラットフォーム（ネットワークセキュリティの低下）

commercial商業的オフライン企業の市場からの排除



状態の場合：

"「灰色」の会計スキームを維持する場合の州予算への納税の欠如



市場参加者：

1.バイヤー-Webブラウザーとインターネットアクセスを備えたコンピューターを持っているクライアント。

2.発行銀行。 こちらが購入者の銀行口座です。 発行銀行はカードを発行し、クライアントの財政的義務の履行を保証します。

3.売り手。 商品とサービスのカタログが保持され、購入のための顧客注文が受け入れられるEコマースサーバー。

4.銀行取得者。 各売り手は、彼が彼を保持する単一の銀行を持っています

当座預金口座（アルファバンク、ロスバンク、VTB 24、ライファイゼンバンク、トランスクレジットバンク）。

取得銀行には独自の処理が必要です。

5.支払いシステムインターネット。 他の参加者間を仲介する電子コンポーネント。

6.従来の支払いシステム。 このタイプのカードをサービスするための金融および技術ツールのセット。 商品やサービスの支払い手段としてのカードの使用、銀行サービスの使用、相殺などの確保 （Visa Int。、MasterCard WorldWide、Diners Club、Amex、JCB、China Union Pay）。

7.支払いシステムの処理センター。 従来の支払いシステムの参加者間に情報と技術的相互作用を提供する組織。

8.支払システムの決済銀行。 処理センターに代わって支払いシステムの参加者間で決済を実行する信用機関。



取得スキーム：







1.顧客がオンラインストアで購入します。

2.プラスチックカードで注文の支払いを選択すると、クライアントはプロバイダーの認証ページにリダイレクトされ、支払いの詳細を入力します。

3.プロバイダーは認証要求を生成し、クライアントを発行銀行の認証システム（ACS）に送信します。

4.認証後、プロバイダーは承認リクエストの情報をプロセッサーに送信します。

5.処理者は、操作の承認を求める要求を国際決済システムに送信します。

6.認証結果に応じて、処理者は操作または拒否に関するメッセージをプロバイダに生成します。

7.プロバイダーは、オンラインストアと顧客に操作の結果を通知します。

8.操作の結果に応じて、オンラインストアは販売を行うか、注文をキャンセルします。

9.プロセッサは、決済用のクリアリングファイルを決済銀行に送信します。

10.決済銀行は、完了した取引の補償をオンラインストアの口座に振り替えます。

11.報告期間の結果に応じた最終法の方向。



インターネット取得のフレームワーク内で、サービスプロバイダーは幅広いサービスを提供します

電子商取引企業向けのサービスの範囲：



-個人アカウント;

-仮想端末-インターネット経由でリアルタイムに支払いを承認するためのプログラム。コンピューターのオンラインストアまたはオフラインストアにインストールされます。

-不正行為を防ぐための一連の方法、

-承認要求の作成、または金融取引のファイルの取得者への転送をさらに決済するために。

-チャージバックの形成。

-不正行為を検出して保護するための内部ツール。

-多通貨支払い

-カスタマーおよびテクニカルサポートは年中無休

-競争力のあるコスト削減ポリシー

-安全基準

-高レベルのサービス。

-顧客ロイヤルティを高めるための追加サービスを提供する企業との関係の発展。



詐欺



詐欺（英語から。詐欺）-情報技術の分野における詐欺の一種。特に、通信ネットワークにおけるリソースとサービスの不正な行為と不正な使用。



詐欺およびクレジットカード



カーディング （英語のカードから）は、支払いカードまたはその詳細を使用して操作が実行され、その所有者によって開始または確認されない詐欺の一種です。 原則として、支払いカードの詳細は、ハッキングされたオンラインストアのサーバー、支払いおよび決済システム、およびパーソナルコンピューター（直接または「トロイの木馬」および「ワーム」を介して）から取得されます。 販売者が3DSecureを使用しない場合、そのような詐欺に対する責任は販売者にあります。



フィッシング （フィッシング、歪んだ「フィッシング」）は、ユーザーが信頼するサイト（ユーザーの銀行のWebサイトに似たサイトなど）の詐欺師による作成であり、これを介して支払いカードの詳細が盗まれます。



スキミング （スキム-スキムクリーム）。スキマーを使用します。スキマーは、支払いカードの磁気経路などを読み取るための攻撃者のツールです。 この不正な操作を実行する場合、スキミングデバイスの複合体が使用されます。



スキマー -支払いカードの磁気トラックを読み取るためのツールは、カードリーダーに取り付けられたデバイスであり、銀行の敷地内の顧客サービスエリアへの入り口にあるカードリーダーです。 これは、磁気読み取りヘッド、アンプ、コンバーター、メモリー、コンピューターに接続するためのアダプターを備えたデバイスです。 スキマーは、持ち運び可能なミニチュアです。 スキミングの主なアイデアとタスクは、カードの磁気ストリップの必要なデータ（トラック/トラックの内容）を読み取って、偽のカードで再生することです。 したがって、偽のカードで取引を登録する場合、不正な取引の承認リクエストと資金の差し引きは、元の「スキム」カードの口座から実行されます。 スキマーは盗まれたプラスチック情報を蓄積できる

カード、またはリモートで無線で近くの攻撃者に送信します。 カードから情報をコピーした後、詐欺師は複製カードを作成し、PINを知って、ロシアと海外の両方で、発行限度内のすべてのお金を引き出します。



ATMにインストールされ、ATMバイザーや広告オーバーレイなどの外部オーバーレイの形式で入力キーボードに送信されるビデオカメラは、スキマーと組み合わせて使用​​され、PINホルダーを取得します。



これらのデバイスは、自律的なエネルギー源（ミニチュアパワーバッテリー）で駆動され、検出を困難にするために、通常、ATMの色と形として作成および偽装されています。



詐欺とGSM



GSM詐欺オプション



1）一部のコンテンツを条件付き料金で購読する場合、クライアントは契約に非常に高い購読解除率を含め、その後、クライアントが購読を停止することを決定できるように可能な限りのことを行います。

2）SIMカードによる返金不可のクレジットプラン。

3）受信したSIMカードを海外ローミングで使用するための、紛失した文書のSIMカードの登録。 同時に、ローカルオペレーターは、SIMカードを発行したオペレーターに通話料金を少し遅れて請求しますが、今のところは自分で通話料金を支払います。

4）フランク詐欺、発信者が自分の電話に少量を転送することであなたがあなたを助けると言うとき

事故またはその他の困難な状況にあった親relative。

5）SMSメッセージ経由の支払い方法で有料サービスを開くことができます。 同時に、デビット料金プランを使用してSIMカードの残高をマイナスにすることも技術的に可能です。

6）OSSプラットフォームの技術的能力により、送信されたSMSリクエストの数の制限を超え、実際に支払いをせずに注文されたサービスを加入者が受け取ることになります。



国際GSMネットワークオペレーター協会は、詐欺犯罪の分類を開発しました 。



アクセス詐欺 -不正アクセス-ESN（電子シリアル番号）および/またはMIN（モバイル識別番号）の携帯電話番号の意図的または非意図的な干渉、操作、または再プログラミングによるセルラーサービスの不正使用。 この方法は、認証なしのネットワークで可能です。



Stolen Phone Froud-盗難または紛失したstov電話の不正使用。 この方法は、所有者が会社に通知するまで機能し、盗まれた電話からのアクセスをブロックしません。



サブスクリプション詐欺 -契約を締結する際に不正なデータを示し、クレジットサービスを使用して支払いを行わないことを意図しています。



法的側面



取得契約は、貿易およびサービス会社が適用法と支払いシステムおよび取得銀行によって確立された規則の両方に従って働く義務を負う法的文書です。 この契約の基本要件は、支払いシステムの規則で定義されています（たとえば、

Visa International Operating Regulationsの専門セクション）、ただし買収者はそのような契約の形式と内容の両方を変更する権利があります。



インターネット取得接続：



-オンラインストアはサービスプロバイダー（電子決済システム）に対応しています-Assist、MoneyOnlineなど

-これらのプロバイダーのいずれかを選択することにより、オンラインストアはそのWebサイトに登録されます。 登録フォームに記入し、支払いのためにプラスチックカードを受け入れるつもりであること、およびこのサービスを提供する銀行の提案リストからどの銀行にサービスを提供するかを示しています。

-接続のアプリケーションは、サービスプロバイダーによって銀行に送信されます。

-銀行はこのアプリケーションを処理し、指定された連絡先情報を使用してオンラインストアに連絡します。

-オンラインストアは、契約に署名するまですべての段階を経ます。

-その結果、オンラインストアは、インターネットの取得に関する契約に署名し、支払いのためにインターネット経由でプラスチックカードを受け入れ始めます。



による電子インターネット支払いのためのセキュリティ技術

プラスチックカード。



SSLプロトコル（Secure Socket Layer）+ 3Dセキュアプロトコル



3-D Secureは、オンラインクレジットカードおよびデビットカードの追加レベルのセキュリティ、2要素ユーザー認証として使用されるXMLプロトコルです。 インターネット支払いのセキュリティを向上させるためにVisaによって開発され、Visa検証サービス（VbV）サービスを顧客に提供しました。 このプロトコルに基づいたサービスは、MasterCardによってMasterCard SecureCode（MCC）という名前で採用されており、JCB InternationalはJ / Secureとして採用されています。 3-D Secureは、オンライン用に別の認証手順を追加します

支払い。



3-D Secureは、カードの裏面に印刷されているCVV2コードと混同しないでください。



3-D SecureはVISA Corporationの商標です。



3ドメインシステム：



3-Dセキュアモデルは、トランザクションが生成および検証される3つのドメインに基づいて実装されます。



カード所有者とカードを発行する銀行を含む発行者のドメイン。

Acquirer Bankには、Acquirer Bankとその顧客（オンラインマーチャント）が含まれます。

相互作用ドメインには、他の2つのドメイン間のトランザクションを可能にする要素が含まれます。 主にカード協会のネットワークとサービスが含まれています。



ドメインはその権利において独立しており、一般的な3-Dセキュアインフラストラクチャで情報を転送するプロセスの重要な部分です。 各ドメインには、独自の責任範囲があります。

トランザクション：

•発行者のドメインでは、発行銀行が買い手を認証し、取引に関する正しい情報を提供する責任があります。

•Acquirerのドメインでは、オンラインマーチャントが購入者との商取引関係に責任を負い、購入者が確認のために正しい発行銀行に送られたことを確認します。 同じドメインで、アクワイアラーは、従来のVisaまたはMasterCardネットワークを介してトランザクションを調整する責任があります。

•相互作用ドメインでは、VisaまたはMasterCard支払いシステムは、各発行者（カード所有者の銀行、発行者のインターネットアドレス）の情報の安全性と、競合の場合に決定を下すためのこの情報の提供を担当します。

•3-Dセキュアモデルは、トランザクションの交換と検証のためにドメイン間でやり取りするための標準プロトコルを提供します。 同じドメインのメンバー間の関係を変更する必要はありません。

•マーチャントとアクワイアラは、トランザクションを実行する方法を自由に選択し、ドメイン内の関係を管理できます。

•発行者は、カード所有者の認証に希望するメカニズムを自由に選択できます。



3-Dセキュアアーキテクチャは、以下のための特別なサーバーのセットを実装します

ライフサイクル中のトランザクションフローのサービス：







•発行者のドメインでは、アクセス制御サーバー（ACS）が購入者と発行者の間の認証プロセスを管理し、販売者の支払いトランザクションを保証します。

•Acquirerドメインでは、Merchant Plug-In（またはMPI）サーバーがVisa / MasterCardインフラストラクチャ、カード所有者インフラストラクチャ、およびAcquirerによって作成された支払いインフラストラクチャ間のトランザクションのフローを制御します。

•相互作用のドメインでは、サーバー-ディレクトリ（ディレクトリ）Visa / MasterCardは、プロセスの参加者に関する情報を保持します。 同じドメイン内のVisa / MasterCard認証履歴サーバー（認証履歴サーバーまたはAHS）は、すべてのトランザクションに関する情報を確実に保存し、競合が発生した場合にその可用性を確保します。

•発行者と取得者のドメインでは、ホストシステムは銀行のバックオフィスでの取引の調整プロセスに関与し、資金のさらなる送金を目的として参加者間の決済を確実に行います。

•3-Dセキュアプロトコルに従って、発行者はカード所有者の認証を担当するようになりました！



3Dセキュアプロトコルを介した簡略化された支払いは次のよう







になります。-オンラインストアで製品を選択した購入者は、[Pay]ボタンをクリックします。

-購入者のブラウザは支払いシステムのページにリダイレクトされ、そこで購入者はカードの詳細を入力します。

-支払いシステムのサーバーは、カードが3Dセキュアプロトコルを使用して支払いに関与しているかどうかを確認し、関与している場合、購入者のブラウザは特定のプラスチックカードの発行銀行のWebサイトにリダイレクトされます。 3D Secureに関与していない場合は、MIA SETプロトコルを介して支払いを行うことができます。

-カードが3Dセキュアに参加しているとしましょう。発行銀行のウェブサイトに到着した購入者は認証され、認証方法は発行銀行によって決定されます。

-認証に成功した場合、発行銀行は、署名によって署名された支払いシステムに戻ります。発行銀行は、この顧客を信じており、このプラスチックカードでの操作に反対しません。

-さらに、支払いはMIA SETとして処理されます。



SET

標準SET（Secure Electronic Transaction）は、VisaおよびMasterCard決済システムによって開発された技術で、オープンネットワークを介したプラスチックカードを使用した安全な支払いを保証します。



ネットワークでの支払い時に、取引の参加者がプラスチックカードを受け入れるか使用する権利を確認するデジタル証明書を交換することにより、当事者が特定されます。ストアのSET証明書には、アウトレットの識別パラメーターが含まれています。カード所有者のSET証明書には、カードの主要なパラメーターに関する情報が暗号化された形式で含まれています。 SET証明書を使用して支払いを行う場合、顧客はカードのパラメーターを入力する必要がなく、オンラインストアがこの機密情報を受信する必要はありません。



SET-安全な電子取引-買い手と売り手がデジタル証明書を交換することで取引を行う際にお互いを一意に識別できるネットワーク操作を実行します。これにより、両当事者は、相手方による操作の合法性を検証できます。



SET-オンラインストア証明書 -会社のパラメーター（名前など）と会社の公開鍵のコピーを含む電子形式のデータセット。標準手順（SET標準）に従って銀行認証センターで認証されます。会社の秘密鍵は支払いサーバーに保存されます。証明書は、支払いシステムで会社を識別すること、および証明書の種類に応じて、SETで完全または切り捨てられた標準のカードで支払いを行えるようにすることを目的としています。



SET-カード所有者の証明書 -カードのパラメーター（カード番号、名前、名義人の愛顧など）と名義人の公開キーのコピーを含む電子形式のデータセット。



MIAセット



システムでは、クライアントがそのような証明書を持っていない場合、SET-クライアント証明書を使用せずに、プラスチックカードを使用して支払いを行うこともできます。この場合、MIA SET（Merchant Initiated Authorization）テクノロジーが使用されます。 MIA SETテクノロジーを使用した支払いのセキュリティを確保するために、RBS支払いシステムは不正な取引を遮断するための強力な機能を提供します。不正防止サブシステムにより、顧客（貿易およびサービス企業）は、適切な不正防止基準を選択して、独自のニーズに合わせて個別に構成できます。



したがって、3Dセキュアプロトコルを介した支払いの場合、オンラインストアはプラスチックカードの不正使用について責任を負いません。プラスチックカードを使用した操作が合法かどうかの決定は、発行銀行が行います。その結果、オンライン決済のセキュリティと一般的なカード詐欺の状況におけるこのような重大な変化の結果として、主要な決済システムは、発行者、取得者、仮想アクセプター、トランザクションプロセッサー

が所有者の真正性をチェックするための高価なシステムとソリューションを強制的にインストールしようとすると、共通言語をほとんど見つけることができません。



この記事では、認証とPCI DSS規格について説明する必要はないと考えています。詳細については、http：//habrahabr.ru/post/130652/を参照してください。



:



http://habrahabr.ru/post/30321/

http://habrahabr.ru/post/49254/ —

http://habrahabr.ru/post/124668/ —

— PCI DSS