Читайте также:
|
|
Для обеспечения надежной работы электронная платежная система должна быть надежно защищена. С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:
пересылка платежных и других сообщений между банком и клиентом и между банками;
обработка информации внутри организаций отправителя и получателя сообщений;
доступ клиентов к средствам, аккумулированным на счетах.
Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом. Пересылка платежных и других сообщений связана со следующими особенностями:
внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
взаимодействие отправителя и получателя электронного документа осуществляется опосредовано - через канал связи.
Эти особенности порождают следующие проблемы:
взаимное опознавание абонентов (проблема установления взаимной подлинности):
защита электронных документов, передаваемых по каналам связи (проблемы обеспечения конфиденциальности и целостности документов);
защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).
Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:
управление доступом на оконечных системах;
контроль целостности сообщения;
обеспечение конфиденциальности сообщения;
взаимная аутентификация абонентов;
невозможность отказа от авторства сообщения;
гарантии доставки сообщения;
невозможность отказа от принятия мёр по сообщению;
регистрация последовательности сообщений,
контроль целостности последовательности сообщений.
Клиентская защита:
Логин/пароль доступа для входа в систему, который проходит тестирование на сложность;
Комбинация номера банковской карты, срока действия, имени держателя карты, CVV/CVC кодов;
Возможность создания виртуальной карты, дублирующей основную, для проведения интерн
Техническая защита:
Привязка платежного сервиса к фиксированному IP-адресу и телефонному номеру клиента;
Осуществление клиентского доступа в систему по зашифрованному протоколу HTTPS/SSL;
Возможность использования виртуальной клавиатуры для набора данных идентификации (противодействие перехвату личных данных);
Разделение каналов формирования транзакций и канала авторизации транзакций:
авторизация транзакций осуществляется через специальный код, который при совершении платежа клиент получает от системы на свой мобильный телефон по SMS (случайная комбинация букв и цифр, действующая только в течение нескольких минут).
Дата добавления: 2014-12-23; просмотров: 68 | Поможем написать вашу работу | Нарушение авторских прав |