Securitatea Datelor In Utilizarea Instrumentelor de Plata Electronica
LUCRARE DE DIZERTAȚIE
SECURITATEA DATELOR ÎN UTILIZAREA INSTRUMENTELOR DE PLATĂ ELECTRONICĂ
Disciplina: Dreptul internetului
CUPRINS
Introducere
CAPITOLUL I – NOȚIUNI GENERALE PRIVIND DREPTUL INTERNETULUI
Secțiunea 1 – Ce este internetul și cum a apărut
Secțiunea 2 – Ce este dreptul internetului
Sectiunea 3 – Prelucrarea datelor cu caracter personal
CAPITOLUL II – SISTEME DE PLATĂ
Secțiunea 1 – Definirea sistemelor de plată
Secțiunea 2 – Instrumentele de plată
Secțiunea 3 – Reglementarea instrumentelor de plată
CAPITOLUL III – ELEMENTE ȘI TEHNICI DE SECURIZARE
Secțiunea 1 – Elemente de securitate
Secțiunea 2 – Tehnici de securizare
CAPITOLUL IV – Studiu de caz asupra metodelor de securitate ale ING Bank România
Concluzii
Bibliografie
Introducere
CAPITOLUL I – NOȚIUNI GENERALE PRIVIND DREPTUL INTERNETULUI
SECȚIUNEA 1 – CE ESTE INTERNETUL ȘI CUM A APĂRUT
Internetul este o rețea de calculatoare care comunică între ele pe baza de Transport Control Protocol/ Internet Protocol (TCP/IP). Acesta se caracterizează printr-o rețea de calculatoare interconectate, ce permite oamenilor să comunice în mediul virtual și de asemenea permite acesul la cantități mari de informații.
La început a fost cunoscut ca ARPANET și asigura trei servicii: telnet (remote login – control la distanță), transferul de fișiere (file transfer protocol prescurtat FTP) și tipărirea la distanță (remote printing).
Pe internet, fiecare calculator este identificat de către o adresa IP sub forma A.B.C.D. în care acestea sunt numere în intervalul 0->255. O rețea /IP este bazat pe transmiterea de mici pachete de informații, care conțin adresa IP al expeditorului și destinatarului neavând o conexiune prestabilită dând astfel posibilitatea mai multor comunicări simultane și cu mai mulți parteneri.
SECȚIUNEA 2 – CE ESTE DREPTUL INTERNETULUI
La început internetul nu era reglementat prin norme juridice, abia în 1996 John Perry Barlow a proclamat independența spațiului virtual. După aceasta s-a manifestat o tendință de supraglomerare și a devenit tot mai clar ca statele intenționează să-și extindă jurisdicția. Prin urmare a fost pus la punct un mecanism de conduită cu caracter indispensabil care să legalizeze relațiile sociale în ceea ce privește internetul, dând naștere la o nouă disciplină juridică cea de drept al internetului, definit ca reprezentând totalitatea normelor juridice care reglementează într-un mod specific relațiile sociale care se stabilesc prin intermediul internetului.
Modalitatea prin care dreptul devine cunoscut în această materie este prin izvoarele de drept, iar aici noțiunea de izvoare de drept are două accepțiuni:
În sens material, izvoare reale, adică acele “dat-uri” ale dreptului, realități exterioare ale acestuia și care determină acțiunea legiuitorului sau dau drept naștere unor reguli izvorâte din necesități practice, dacă e vorba de obicei;
În sens formal redă formele de exprimare a normelor juridice.
Izvoarele formale ale dreptului internetului sunt: obiceiul juridic, jurisprudența și precedentul judiciar, principiile și actele normative.
Obiceiul juridic. Dezvoltarea rapidă a internetului determină o evoluție corespunzatoare și a comportamentelor specifice a actorilor implicați. La un moment dat, printr-un uz continuu o anumită practică va deveni cutumă și va constitui în cele din urmă un izvor de drept și este completă când se realizează în raport cu alte izvoare de drept mai ales actul normativ. Astfel putem remarca următoarele ipoteze:
Cutuma contribuie la aplicarea actului normativ;
Cutuma completează lipsurile actului normativ;
Cutuma cuprinde norme contrare actului normativ.
Jursprudența, reprezentată de hotărârile arbitrare, judecătorești, precum și a altor organisme cu atribuții jurisdicționale, arată că aceste organisme cu atribuții jurisdicționale vor ține cont în soluțiile pe care le vor pronunța de precedentele judiciare adică de celelalte hotărâri pronunțate în spețe similare.
Principiile sunt de cele mai multe ori incluse ori subînțelese în acte normative. Principiile de drept sunt acele idei conducatoare ale conținutului tuturor normelor juridice. Ele au rol atât constuctiv, cât și un rol valorizator pentru sistemul de drept, în sensul că ele cuprind cerințele obiective ale societății, cerințe cu manifestări specifice în procesul de constituire a dreptului și în procesul de realizare a acestuia. Principiile generale de drept constituie fundamentul principiilor de ramura de drept.
Principiile internetului văzute din perspectiva dreptului internațional:
1.principiul libertății internetului;
2.protecției vieții private;
3.jurisdicției teritoriale modificate;
4.cooperării interstatale;
5.cooperării părților interesate.
Acestea sunt principii generale, în afară de acestea unele instituții au principii specifice.
1.Principiul libertății internetului. Libertatea comunicării în spațiul virtual este baza liberății internetului. Acest principiu este analizat din două puncte de vedere: libertatea comunicațiilor pe internet și libertatea afacerilor privind internetul.
Libertatea comunicațiilor pe internet reglementată de Art.19 pct.1 din Pactul internațional pentru drepturile civile și politice garantează libertatea de exprimare a persoanei „Orice persoană are dreptul la libertatea de exprimare; acest drept cuprinde libertatea de a căuta, de a primi și de a răspândi informații și idei de orice fel, indiferent de frontiere, sub forma orală, scrisă, tipărită ori artistică, sau orice alt mijloc, la alegerea sa”.
Art.10 din Convenția pentru apărarea drepturilor omului și libertăților fundamentale prevede:
1. Orice persoană are dreptul la libertate de exprimare. Acest drept include libertatea de opinie și de a primi sau a comunica informații ori idei fără amestecul autorităților publice și fără a ține seama de frontiere. Acest articol nu împiedică statele să impună societăților de radiofuziune, cinematografie sau televiziune un regim de autorizare.
2. Exercitarea acestor libertăți ce comportă îndatoriri și responsabilități poate fi supusă unor formalități, condiții, restrângeri sau sancțiuni prevăzute de lege care într-o societate democratică, constituie măsuri necesare pentru securitatea națională, integritatea teritorială sau siguranța publică, apărarea ordinii și prevenirea infracțiunilor, protecția sănătății, a moralei, a reputației sau drepturilor altora, pentru a împiedica divulgarea informațiilor confidențiale sau pentru a garanta autoritatea și imparțialitatea puterii judecătorești.
Art.11 din Carta drepturilor fundamentale a Uniunii Europene prevede:
1.Orice persoană are dreptul la libertatea de exprimare. Acest drept cuprinde libertatea de opinie și libertatea de a primi sau de a transmite informații sau idei fără amestecul autorităților de a primi sau de a transmite informații sau idei fără amestecul autorităților publice și fără a ține seama de frontiere.
2.Libertatea și pluralismul mijloacelor de informare în masă sunt respectate.
Liberatea afacerilor privind internetul. Internetul ca mijloc de comunicare depinde de funcționarea infrastructurii sale adică de activitatea agenților economici implicați, furnizori de internet care trebuie să se bucure de o anumită libertate comercială care să permită să activeze în acest mediu de afaceri.
Spre deosebire de legislația națională și uniunii europene cea internațională nu garantează în mod express dreptul de a alege o ocupație și dreptul de a conduce o afacere. În acest caz furnizorii de internet se bucură de libertate de exprimare în temeiul „Pactului internațional pentru drepturile civile și politice”, chiar dacă activitatea lor are o natură comercială. Ei mai pot apela la art.1 din primul Protocol la convenție atunci când se pune problema ocrotirii dreptului de proprietate.
2.Principiul protecției vieții private. Cantități enorme de date privind utilizatorii sunt colectate de pe internet fără ca aceștia să fie conștienți de acest lucru. Protecția vieții private pe internet ocupă un loc central îndeosebi în legislația specifică Uniunii Europene.
3.Principiul jurisdicției teritoriale modificate. Jurisdicția unui stat își are limitele în jurisdicția celorlalte state. Un stat își exercită jurisdicția asupra teritoriului statului sau/și asupra cetățenilor săi.
Noțiunea de teritoriu cuprinde solul, subsolul, apele teritoriale și spațiul aerian al unui stat. În acest mod a aparut termenul de ciber territory, iar codul de țară al numelui de domeniu cum ar fi .ro pentru România ar conferi site-ului statutul de teritoriu.
Jurisdicția unui stat se exercită și asupra actelor și faptelor unei persoane străine dacă acestea produc efecte pe teritoriul acestui stat.
4.Principiul cooperării interstatale. Internetul nu ține cont de frontiere și este evident că problemele generate de acest fenomen nu pot fi rezolvate decât printr-o cooperare între state.
5.Principiul cooperării părților interesate. Societatea civilă și sectorul privat joacă un rol important în guvernarea internetului. Când a apărut nevoia înființării unei sturcturi care să administreze sistemul de nume, de domeniu s-a angajat o organizație non-profit ICANN (Internet Corporation for Assigned Names and Numbers). Dezvoltarea și guvernarea internetului se realizează printr-o cooperare permanentă a tuturor „actorilor” interesați în acest fenomen, fie ca aceștia provin din sfera publică sau privată a vieții sociale.
Actele normative atât internaționale cât și naționale constituie izvoare ale dreptului internetului. Pe langă acestea mai pot alcătui izvoare formale și alte acte elaborate de instituții cum ar fi: codurile de conduită emise de asociațiile profesionale naționale, europene sau internaționale. Ele pot alcătui o baza de pornire pentru reglementarea de către autoritățile competente a unui domeniu specific.
SECȚIUNEA 3 – PRELUCRAREA DATELOR CU CARACTER PERSONAL
Odată cu intrarea României în uniunea europeană problematica protecției datelor cu caracter personal a căpătat o amploare și importanță deosebită, tendințe relevate de consolidarea cadrului normativ.
Protecția persoanelor cu privire la prelucrarea datelor cu caracter personal este reglementată atât internațional cât și național prin:
-Carta Națiunilor Unite;
-Declarația universală a drepturilor omului;
-Convenția pentru apărarea drepturilor omului și libertăților fundamentale;
-Carta drepturilor fundamentale a Uniunii Europene;
-Directiva 95/46/CE a Parlamentrului European și a Consiliului din 24.10.1995 privind protecția datelor persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
-Directiva 2002/58/CE a Parlamamentului European și a Consiliului din 12.07.2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice;
-Directiva 2006/24/CE a Parlamentrului European și a Consiliului din 15.03.2006 privind păstrarea datelor generate sau prelucrate în legatura cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE;
-Constituția României;
-Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;
-Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
Regimul juridic al protecției persoanelor cu privire la prelucrarea datelor cu caracter personal pe internet în legea internațională și națională:
Directiva 95/46/CE (677/2001 în legea română); 2002/58/CE (legea 506/2004 în legea română); 2006/24/CE (în legea română 298/2008);
Grupul de lucru pentru protecția persoanlor în ceea ce privește prelucrarea datelor cu caracter personal art.29 din Directiva 95/46/CE.
Legea nr. 677/2001 se aplică prelucrărilor de date cu caracter personal, efectuate în tot sau în parte, prin mijloace automate șicu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
Regimul juridic al protecției persoanelor cu privire la prelucrarea datelor cu caracter personal pe internet în legea internațională și națională:
Directiva 95/46/CE (677/2001 în legea română); 2002/58/CE (legea 506/2004 în legea română); 2006/24/CE (în legea română 298/2008);
Grupul de lucru pentru protecția persoanlor în ceea ce privește prelucrarea datelor cu caracter personal art.29 din Directiva 95/46/CE.
Legea nr. 677/2001 se aplică prelucrărilor de date cu caracter personal, efectuate în tot sau în parte, prin mijloace automate și alte mijloace care fac parte dintr-un sistem de evidență sau care sunt destinate să fie incluse în asemenea sistem.
Legea se aplică:
a.prelucrării de date cu caracter personal, efectuate în cadrul activităților desfășurate de operatori stabiliți în România;
b.efectuate în cadrul misiunilor diplomatice sau de oficiile consulare ale României;
c.prelucrarea datelor efectuate în cadru activitatea desfășurate de operatori care nu sunt stabiliți în România.
Legea nu se aplică:
a.efectuate de persoane fizice excusiv pentru uzul lor personal dacă nu sunt destinate a fi dezvăluite;
b.în cadrul activităților în domeniul apărării naționale și siguranței naționale.
Reguli privind prelucrarea datelor cu caracter personal:
a.prelucrate cu bună-credință;
b.colectate în scopuri determinate, explicite și legitime;
c.adecvate, pertinente și neexcesive;
d.exacte și actualizate;
e.stocate doar pe perioada determinată
Consimțământul persoanei vizate nu este cerut în cazurile:
a.unui contract sau antecontract;
b.prelucrarea este necesară în vederea protejării vieții, integrității fizice sau sănătății persoanei vizate sau persoane amenințate;
c.când este necesară în vederea îndeplinirii unei obligații legale a operatorului;
d.când trebuie îndeplinită o măsură de interes public;
e.în vederea realizării unui interes legitim;
f.când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau științifică, datele rămân anonime pe toata durata prelucrării.
Încheierea operațiunilor de prelucrare dacă persoana vizată nu și-a dat în mod expres consimțământul pentru o altă destinație, datele vor fi:
-Distruse;
-Transferate unui alt operator, cu condiția ca operatorul inițial să garanteze faptul că prelucrările ulterioare au scopuri similare celor în care s-a facut prelucrarea inițială;
-Transformate în anonime și stocate exclusiv în scopuri statistice, de cercetare istorică sau științifică.
Prelucrarea datelor cu caracter personal legate de originea rasială sau etnica, de convingerile politice, religioase, filozofice sau de natură similară, de apartenență sindicală, precum și a datelor cu caracter personal privind starea de sănătate sau de viață sexuală este interzisă.
Orice persoană care acționează sub autoritatea operatorului sau a prsoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucțiunilor operatorului, cu excepția cazului în care acționează în temeiul unei obligații legale.
În ceea ce privește securitatea prelucrărilor operatorul este obligat să aplice măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesul neautorizat, în special dacă prelucrarea respectivă oricarei alte forme de prelucrare ilegală.
Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare și de costuri, un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate. Cerințele minime de securitate vor fi elaborate de autoritatea de supraveghere și vor fi actualizate periodic, corespunzător progresului tehnic și experienței acumulate.
Operatorul, atunci când desemnează o persoană împuternicită, este obligat să aleagă o persoană care prezintă suficiente garanții în ceea ce privește măsurile de securitate tehnică și organizatorice cu privire la prelucrările ce vor fi efectuate, precum și să vegheze la respectarea acestor măsuri de către persoana desemnată. Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfășoare în baza unui contract încheiat în formă scrisă.
De supravegherea prelucrărilor de date cu caracter personal este responsabilă Autoritatea de supraveghere este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Autoritatea își desfășoară activitatea în condiții de completă independență și imparțialitate.
Autoritatea de supraveghere exercită următoarele atribuții:
Elaborează formularele tipizate ale notificărilor și ale registrelor proprii;
Primește și analizează notificările privind prelucrarea datelor cu caracter personal, anunțând operatorului rezultatele contrololui prealabil;
Autorizează prelucrările de date în situații prevăzute de lege;
Poate dispune, în cazul în care constată încălcarea dispozițiilor prezentei legi, susprendarea provizorie sau încetarea prelucrării datelor, ștergerea parțială ori integrală a datelor acțiuni în justiție;
Informează persoanele fizice sau/și juridice care activeză în aceste domenii, în mod direct sau prin intermediul structurilor asociavite ale acestora, asupra necesității respectării obligațiilor și îndeplinirii procedurilor prevăzute de lege;
Păstrează și pune la dispoziție publicului registru de evidență a prelucrărilor de date cu caracter personal;
Primește și soluționează plângeri, sesizări sau cereri de la persoanele fizice și comunică soluția dată ori, după caz, diligențele depuse;
Efectuează investigații din oficiu sau la primirea unor plangeri ori sesizări;
Este consultată atunci când se elaborează proiectele de acte normative referitoare la protecția drepturilor și libertăților cu caracter personal;
Poate face propuneri privind inițierea unor proiecte de acte normative referitoare la protecția drepturilor și libertăților persoanelor în privința prelucrării datelor cu caracter personal;
Cooperează cu autoritățile publice și cu organele administrației publice, centralizează și analizează rapoartele anuale de activitate ale acestora privind protecția persoanelor în privința prelucrării datelor cu caracter personal, formuleaza recomandări și avize asupra orcărei chestiuni legate de protecția drepturilor și libertăților fundamentale în privința prelucrărilor datelor cu caracter personal, cererea orcărei personane, inclusiv a autorităților publice și a organelor administrației publice; aceste recomandări și avize trebuie să facă mențiune despre temeiurile pe care se sprijină și se comunică în copie și Ministerului Justiției; atunci când recomandarea sau avizul este de lege, se publica în Monitorul Oficial al României, Partea I;
Cooperează cu autoritățiile similare de oeste hotate în vederea asistenței mutuale, precum și cu persoanele cu domiciulul sau cu sediul în străinătate, în scopul apărării drepturilor și libertăților fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
Îndeplinește alte atribuții prevăzute de lege;
Modul de organizare și funcționare a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal se stabilește prin lege.
Întregul personal al autorității de supraveghere are obligația de a păstra secretul profesional, cu excepțiile prevăzute de lege, pe termen nelimitat, asupra informațiilor confidențiale sau clasificate la care are sau a avut acces în exercitarea atribuțiilor de serviciu, inclusiv după încetarea raporturilor juridice cu autoritatea de supraveghere.
Operatorul este obligat să notifice autoriității de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări având același scop sau scopuri corelate. Notificarea nu este necesară în cazul în care prelucrarea are ca unic scop ținerea unui registru destinat prin lege informării publicului și deschis spre consultare publicului în general sau oricărei persoane care probează un interes legitim, cu condiția ca prelucrarea să se limiteze la datele strict necesare ținerii registrului menționat.
Autoritatea de supraveghere va stabili categoriile de operațiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor. În acest caz, autoritatea de supraveghere va dispune obligatoriu efectuarea unui control prealabil începerii prelucrării respective, cu anunțarea operatorului.
Operatorii care nu au fost anunțați în termen de 5 zile de la data notificării despre efectuarea unui control prfealabil pot începe prelucrarea.
Autoritatea de supraveghere este obligată ca, în termen de cel mult 30 de zile de la data notificării, să aducă la cunoștință operatorului efectuat, precum și decizia emisă în urma acestuia.
Datele de trafic referitoare la abonați și utilizatori înregistrați, prelucrate și reținute de furnizorul unei rețele publice de furnizorul unei rețele publice de comunicații electronice sau de furnizorul unui serviciu de comunicații electronice destinat publicului, trebuie sp fie șternse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări.
CAPITOLUL II SISTEME DE PLATĂ
SECȚIUNEA 1 – DEFINIREA SISTEMELOR DE PLATĂ
Sistemele de plăți ca parte a sistemelor bancare s-au evoluat odată cu plățile fără numerar. Conceptul cheie al sistemelor de plăți este instrumentul de plată scriptural și ulterior electronic. Acesta reprezintă un document pe suport hârtie sau suport electronic prin intermediul căruia se încetează datoriile între două contrapartide, una care plătește și cealaltă care este beneficiarul banilor. Instrumentul de plată ca obiect al sistemelor de plăți are în principiu instrucțiuni și informații obligatorii și care în mod obișnuit sunt date de plătitor. Acestea permit transferul resurselor bănești de la plătitor la beneficiarul banilor prin intermediul unuia sau mai multor sisteme bancare, în cazul plăților interne transferul se realizează prin interemediul sistemului bancar național, în cazul celor internaționale se conectează mai multe sisteme bancare naționale. Transferul fondurilor poate fi:
Transfer intrabancar – de la o unitate operativă la alta aparținând aceleiași bănci (fondurile nu tranzitează sistemul de plăți)
Transfer interbancar (intern și extern) – fondurile tranzitează unul sau mai multe sisteme de plăți.
Definiția sistemului de plăți dată de European Monetary Institute "Sistemul de plăți este acel sistem care cuprinde, de regulă, un set de instrumente, proceduri bancare și sisteme de fonduri cu scopul facilitării circulației monetare."
Procedurile bancare sunt determinate pe fiecare instrument de plată, ținta fiind realizarea unui transfer rapid, sigur și corect a sumelor și cu o verificare riguroasă al potențialelor riscuri.
Sistemele de fonduri sunt redate de moneda care este deținută de participanții în sistemele de plăți și care înlesnesc la stingerea datoriilor între participanți, indiferent de conjunctura în care se poate afla la un moment dat o bancă sau o alta din sistem.
Actorii unui sistem de plată sunt:
Băncile centrale;
Băncile comerciale și alte instituții financiare nebancare, cum ar fi: bursele, societățile de asigurare;
Casele sau agenții de decontare, fie ca entități independente față de băncile comerciale și centrale, fie ca parte diferită a acestora;
Agenții economici și persoanele fizice.
De regulă sistemele de plăți au o organizare piramidală care este caracteristică sistemelor financiare și bancare din majoritatea statelor lumii, chiar dacă găsim particularități de la o țară la alta. Băncile ocupă un loc principal, de vreme ce acestea dețin conturile agenților economici, adică plătitori și beneficiari ai banilor și ale altor instituții inclusiv instituții publice.
Pe lângă acesta, băncile se bucură de încrederea publicului care este protejat la eventualele efecte negative ale insolvabilității acestora prin diferite planuri de asigurare, prin supravegherea instituțiilor bancare de către băncile centrale și eventual alte organisme.
Operațiunile de transfer potențează profitabilitatea băncilor, ca și în cazul celor două activități tipice ale băncilor, acordarea de credite și preluarea de depozite, care oferă pachete de produse și servicii bancare, ce pot cuprinde și operațiunile de transfer.
Băncile unei țări pot avea relații de colaborator cu băncile altor țări materializate la nivel contabil prin conturile de corespondent. Legătura intrinsecă dintre băncile comerciale și banca centrală face ca sistemul de plăți să funcționeze într-un mediu durabil, fără întreruperi sau discrepanțe care ar putea apărea ca urmare a implicării prea multor altor instituții, bineînțeles că există excepții cum ar fi decontarea în sistemul cardurilor.
Implicarea băncii centrale cu pozița sa de monopol în domeniul politicii monetare, asigură corectitudine și competiție corectă dintre bănci. Riscurile implicate de căderea sistemului de transfer de fonduri fiind enorme, banca centrală poate fi văzută ca un girant al acestei activități, la care însă participă și băncile comerciale din sistem. Modul concret de implicare a băncii centrale diferă de la țară la țară, în funcție de tradițiile existente. Cu excepția Canadei, Olandei și Marii Britanii, băncile centrale sunt activ implicate în sistemele de compensare interbancară, ca o pârghie directă de control al sistemului.
Plățile fără numerar realizate prin intermediul sistemelor de plăți, pot fi privite ca o succesiune de servicii prestate clientelei ulterior și adiacent operațiunilor de preluare a depozitelor, de creditare ori de plasamente efectuate de bănci.
La baza plății stă în mod esențial schimbul de informații între ordonatorul plății, una sau mai multe bănci și beneficiarul plății astfel se manifestă prin înregistrarea în conturile a cel puțin doi titulari a unei sume de bani. Așadar putem vorbi de o intermediere financiară a banului –informație.
Avantajele acestui tip de plăți fără numerar sunt:
Un cost mai redus a operațiunilor comerciale dintre clienții băncii;
Extinderea controlabilă și anteevaluată a creditului pe măsura necesității publice și a cerințelor politicii monetare;
Reducerea emisiunii monetare sub formă de numerar;
Diminuarea riscurilor contrapartidelor;
Faptul că forma de existență și mișcare a produselor bancare a devenit moneda de cont, s-a multiplicat baza de profit extensiv, cu alte cuvinte s-a mărit masa depozitelor și intensiv, s-au multiplicat produsele de economisire și transfer oferite clientelei.
La baza acestora regăsim principiile fundamentale ale sistemelor de plăți. Principii emise de BIS (Banca Reglementelor Internaționale) referitoare la sistem sunt:
Sistemul trebuie să funcționeze pe o bază legală clară, fundamentată și compatibilă cu toate sistemele de jurisdicție importante;
Procedurile și regulile sistemului trebuie să permită participanților să înțeleagă clar fiecare tip de risc financiar la care sunt expuși participanții în acest sistem;
Sistemul trebuie să funcționeze pe baza unor proceduri clare privind gestionarea riscurilor de credit și lichiditate care să precizeze responsabilitățile operatorului sistemului și ale participanților și care să asigure stimulente potrivite pentru adminsitrarea și limitatrea acestor riscuri;
Sistemul trebuie să asigure o decontare finală promptă la data scadenței.
Sistemul cu decontare netă multilaterală trebuie să asigure finalizarea la timp a decontărilor zilnice în cazul incapacității participantului cu cea mai mare poziție netă.
Activele monetare utilizate pentru decontare trebuie să fie, de preferință, creanțe asupra Băncii Centrale. Când se folosesc alte active acestea trebuie să aibă risc mic, cel mai bine zero.
Sistemul trebuie să asigure un grad ridicat de securitate și certitudine operațională și să conțină soluții pentru finalizarea la timp a procesărilor zilnice în cazul apariției unor situații neprevăzute.
Sistemul trebuie să asigure modalități de efectuare a plăților care să fie practice pentru participanți și eficiente pentru economie.
Sistemul trebuie să aibă obiective și criterii de participare la sistem, anunțate public, care să pemită accesul egal, corect și deschis.
Modalitățile de conducere ale sistemului trebuie să fie eficiente, controlabile și transparente.
SECȚIUNEA 2 – INSTRUMENTELE DE PLATĂ
Plățile electronice sunt un stimulator esențial al creșterii economice și al dezvoltarii unei economii, iar guvernele trebuie să fie interesate în sprijinirea dezvoltării și generalizării sistemelor electronice de plăți și de transferuri electronice de fonduri. O economie productivă depinde în mare masură de un sistem rapid și eficient de plăți.
Plățile electronice oferă beneficii clare, în principal confort și viteză, tuturor plăților implicate într-o tranzacție economică.
Prin folosirea mijloacelor electronice de plată se asigură o mai bună administrare a afacerilor și a lichidităților, într-o perioadă scurtă de timp și cu costuri mai reduse.
Instrumentul de plată electronică este instrumentul de plată care permite deținătorului să efectueze următoare operațiuni:
Încărcarea și descărcarea unităților valorice de la ATM (Automated Teller Machines) și distribuitoarele de numerar, de la ghișeele emitentului/băncii acceptante sau de la sediul unei instituții, obligată prin contract să accepte instrumentul de plată electronică;
Plata obligațiilor către autoritățile administrației publice, reprezentând taxe, impozite, amenzi, șamd., prin intermediul inprinterelor, terminalelor POS sau prin alte medii electronice și plata bunurilor/serviciilor achiziționate de la comercianții acceptanți;
Transferurile de fonduri între conturi, altele decât cele ordonate și executate de instituțiile financiare, efectuate prin intermediul instrumentului de plată electronică.
Tot mai multe bănci, pentru a facilita relațiile cu clienții și a răspunde la cerințele acestora, au introdus unele servicii bancare moderne cum ar fi:
Electronic banking sau e-banking. Reprezintă un serviciu care se încadrează în noțiunea de "cash management" și se adresează clientelei bancare, în special persoanelor juridice, firmelor care pot avea legătura cu banca respectivă prin intermediul unui computer, dar și persoanelor fizice.
Printre avantajele folosirii electronic banking-ului amintim:
Eliminarea pregătirii manuale a formularelor documentelor și semnarea ordinului de plată;
Primirea confirmării plăților solicitate și a extraselor de conturi curente în timp real prin procesarea automată a ordinelor de plată;
Confort prin posibilitatea efectuarii operațiunii /operațiunilor prin conexiunea directă cu banca care este realizată cu ajutorul unei linii telefonice și a unui modem;
Erorile sunt reduse datorită neintervenției factorului uman;
Dispunerea plăților prin transfer în țară și străintate, fie în lei fie în valută;
Standardizarea ordinului de plată pentru plățile curente;
Aceesul de informații bancare ce țin de contul său.
Internet banking. Acesta este un serviciu care se adresează atât persoanelor juridice cât și persoanelor fizice ale căror computere au acces la Internet.
Este un instument de plată la distanța care se bazează pe o conexiune stabilă de internet și sistemele informatice ale băncii.
Acest serviciu este disponibil clienților băncii nonstop și în week-end pe tot parcursul anului. Prin această aplicație se pot transmite instrucțiuni de tranzacționare de plăți în lei și în valută către alți beneficiari; schimb valutar; plăți de taxe și impozite la buget, plăți de salarii și alte operațiuni.
Mobile banking sau m-banking. Dezvoltarea pieței echipamentelor mobile a atras după sine posibilitatea efectuării tranzacțiilor bancare prin folosirea unui telefon sau a unui PDA (Personal Digital Assistant), ceea ce a condus la apariția mobile banking care presupune accesul la distanță pe baza unor servicii oferite de către operatori dedicați.
Acesta este un serviciu modern oferit de bănci și a apărut pe piață de curând, el reprezintă o alternativă la serviciile de tip electronic banking și internet banking.
Mobile banking este ușor de utilizat prin apelarea de pe telefonul mobil sub forma de mesaj și asigură acces direct la informațiile privind soldurile conturilor de card și conturile curente pe care le are persoana/firma la banca respectivă.
Asigură o mobilitate totală, fiind independent de locația băncii și a clientului și de momentul în care clientul accesează acest serviciu, clientul având acces rapid, sigur și eficient la informațiile apar afișate pe ecranul propriului telefon mobil sub forma de mesaj.
Cardul. Acesta reprezintă o alternativă superioară mijloacelor de plată clasice (numerarul, cecul, etc) în ceea ce privește eficiența, securitatea și facilitățile oferite și care au ca scop să întărească și să dezvolte relațiile dintre client și bancă. Se estimează ca circa o treime din populația ocupantă a țării noastre folosește cardurile.
Avantajele cardurilor:
Este un produs bancar cu un puternic impact psihologic asupra deținătorului conferindu-i un statut superior prin utilizarea unui instrument modern de plată;
În limita disponibilului din contul de card se poate cheltui oricât și oricând;
Pot beneficia de diverse promoții, de exemplu în situația primirii salariului lunar în contul de card, salariații cu contract permanent de muncă pot obține un plus față de soldul cardului sub formă de credit;
Au serie embosată ceea ce permite folosirea cardului atât la terminalele electronice, cât și la cele mecanice;
Pot oferi și servicii conexe unele carduri;
Nu încarcă fizic portofelul și în același timp poate cantități mari de numerar;
Conține elemente de securitate;
Unele bănci folosesc un sistem premial pentru unii deținătorii de carduri ale acelei bănci;
Comisioanele bancare acesibile.
Cardurile bancare pot fi emise sub sigla companiilor furnizoare de sisteme de plăți prin carduri, cum ar fi VISA, MasterCard, GoldCard, Diners Club și altele, dar pot fi și carduri de tip proprietar, emise de supermarketuri.
Dezavantajul acestora pentru client este că au dobânzi mai mari și nu pot fi folosite decât la comercianții emitenți. Aceștia din urmă beneficiază de faptul că nu plătesc comisioanele de tranzacționare sau taxele de deținere a EPOS-urilor (electronic point of sale).
eCecul și ordinul de plată. Aceste instrumente electronice sunt versiuni ale celor pe suport hârtie, cu diferența că se prezintă sub forma unui mesaj electronic și circulă într-o formă codificată atunci când intră în sistemul de plăți electronice. Variantele electronice ale cecului și ordinului de plată au la bază aceleași principii și au același circuit ca varianta pe suport hârtie a acestora.
Instrumentul de plată de tip monedă electronică (e-money). Acesta este un instrument de plată electronică reîncărcabil sau nu, cum ar fi un chip-card, o memorie a unui computer sau un alt dispozitiv electronic, cu o valoare predefinită, pe care sunt stocate electronic unități valorice, permițând deținătorului său să efectueze operațiunile specifice instrumentelor de plată electronice și care este acceptat la plată și de alte entități în afara emitentului, valoarea monetară a unităților valorice fiind în mod obligatoriu egală cu suma în numerar primită de emitent de la deținător.
Instrumentele de plată cu acces la distanță. În această categorie putem include aplicațiile de home banking, internet banking, mobile banking și altele. Instrumentul ce permite deținătorului să aibă acces la fondurile aflate în contul său, prin intermediul căruia poate efectua plăți către un beneficiar sau alt gen de operațiuni de transfer de fonduri și care necesită, de obicei, un nume de utilizator și un cod personal de identificare/parolă și/sau orice altă dovadă similară a identității. etc.
Secțiunea 3 – Reglementarea instrumentelor de plată
Pentru punerea în circulație a instrumentelor de plată electronică, emitenții trebuie să formuleze o notificare prealabilă Băncii Naționale a României, iar aceasta în termen de cel mult 15 zile de la primirea notificării poate face opoziție față de intenția emitentului.
În vederea notificării emiterii instrumentelor de plată electronică va transmite Băncii Naționale a României – Directia reglementare și autorizare următoarele documente:
Pentru emiterea de carduri:
Formularul de notificare;
Două specimene de card;
Normele și procedurile interne referitoare la emiterea și punerea în circulație a cardurilor, aprobate de consiliu de administrație al solicitantului-emitent;
Câte un exemplar al cererii privind emiterea cardului, al contractului-cadru de emitere a cardului, care se încheie cu comerciantul acceptant, dacă este cazul.
Pentru emiterea de instrumente de plată cu acces la distanță de tip internet/home/mobile banking:
Formular de notificare;
Normele și porcedurile interne referitoare la emiterea și punerea în circulație a instrumentelor de plată cu acces la distanță, aprobate de consiliu de administrație al solicitantului-emitent;
Câte un exemplar de cerere și de contract-cadru de acces la instrumentele de plată cu acces la distanță;
Avizul Ministerului Comunicațiilor și Tehnologiei Informației sau al altor entități indicate de acesta.
Din momentul unei modificări emitentul are timp 10 zile pentru a transmite documentația la Banca Națională a României. Emitentul unui instrument de plată electonică are obligația să notifice Băncii Naționale a României renunțarea la punerea în circulație a unui instrument de plată electronică.
O instrucțiune de plată corect inițiată de către deținător /utilizator prin intermediul unui card sau al unui alt instrument de plată electronică și autorizată de emitent sau de persoana indicată de acesta este irevocabila și nu poate fi contramandată decât în anumite situații strict determinate.
Decontarea operațiunilor se va realiza în moneda națională indiferent de moneda în care sunt emise/denominate acestea, în conformitate cu prevederile reglementărilor valutare în vigoare.
Instrumentele de plată cu acces la distanță tip internet-banking, home-banking sau mobile-banking nu pot fi utilizate de către emitenți decât după obținerea avizului prealabil al Ministerului Comunicațiilor și Tehnologiei Informației.
Scopul avizului îl constituie verificarea îndeplinirii de către sistemul informatic al emitentului și de către soluția software, prin intermediul cărora este oferit instrumentul de plată cu acces la distanță, a unor cerințe minime de securitate, referitoare la:
Confidențialitatea și integritatea comunicațiilor;
Confidențialitatea și non-respingerii tranzacțiilor;
Confidențialitatea și integritatea datelor;
Autencitatea părților care participă la tranzacții;
Portecția datelor cu caracter personal;
Păstrarea secretului bancar;
Trasabilitatea tranzacțiilor;
Continuitatea serviciilor oferite clienților;
Împiedicarea, detectarea și monitorizarea accesului neautorizat în sistem;
Restaurarea informațiilor gestionare de sistem în cazul, unor calamități naturale și evenimente imprevizibile;
Gestionarea și administrarea sistemului informatic;
Orice alte activități sau măsuri tehnice întreprinse pentru exploatarea în siguranță a sistemului.
Planul de securitate se va întocmi respectându-se următoarea sturctură:
Informații de identificare:
Emitentul instrumentului de plată cu acces la distanță;
Denumirea instrumentului de plată cu acces la distanță;
Proveniența instrumentului de plată cu acces la distanță;
Categoria (internet, home sau mobile- banking);
Statutul operațional al sistemului prin intermediul căruia este oferit instrumentul de plată cu acces la distanță și anul intrării în producție;
Descrierea generala a soluției tehnice;
Considerațiile specifice;
Interconectarea sistemului;
Aria geografică în care instrumentul de plată cu acces la distanță poate fi utilizat;
Datele de contact ale persoanelor responsabile.
Senzivitatea sistemului: Legislația aplicabilă și descrierea generală a senzitivității informațiilor gestionare de către sistem;
Măsuri pentru securitatea sistemului:
Evaluarea și managementul riscurilor potențiale;
Codurile de condiută/ condițiile de utilizare/contractul prin care este oferit instrumentul de plată cu acces la distanță;
Rapoartele de testare;
Măsurile tehnice de securitate implementate;
Procedurile operaționale de exploatare;
Măsurile aplicate pentru asigurarea securității fizice;
Instruirea personalului propriu al emitentului în legătură cu administrarea sistemului informatic;
Instrucțiunile de utilizare a instrumentului de plată cu acces la distanță; (manual de utilizare oferit clienților)
Suportul tehnic oferit de către emitent clienților care utilizează instrumentul de plată cu acces la distanță;
Orice alte informații relevante legate de măsurile luate de către emitent pentru a asigura în siguranță a instrumentului de plată cu acces la distanță. Avizul eliberat este valabil 1 an calendaristic și este netransmisibil.
În cazul în care, pe perioada de valabilitate a avizului, emitentul dezvoltă sau implementează noi module de aplicație, efectuează modificări de proceduri operaționale sau modifică măsuri tehnice de securitate aplicabile instrumentului de plată cu acces la distanță, aceasta va notifica în termen de 30 zile aceste modificări către Ministernul Comunicațiilor și Tehnologiei Informației. În urma notificării, dacă se consideră că modificările efectuează afectează major securitatea instrumentului de plată cu acces la distanță, Ministerului Comunicațiilor și Tehnologiei Informației sau Banca Națională a României pot solicita băncii obținerea băncii unui nou aviz.
În urma analizării documentației prezentate, în termen de 15 zile calendaristice de la data înregistrarii acesteia la Ministernul Comunicațiilor și Tehnologiei Informației, aceasta va comunica solicitantului decizia sa cu privire la acordarea avizului și va notifica Banca Națională a României în legătură cu aceasta.
După eliberarea avizului, în termen de 3 zile calendaristice, Ministernul Comunicațiilor și Tehnologiei Informației va remite solicitantului un exemplar al avizului.
Ministernul Comunicațiilor și Tehnologiei Informației poate solicita băncii avizate sau în curs de avizare efectuarea de verificări la sediul acesteia prin personal desemnat prin ordin al ministrului comunicariilor și tehnologiei informației.
În cazul în care în urma verificărilor se constată nerespectarea prevederilor conținute în documentația de avizare, Ministernul Comunicațiilor și Tehnologiei Informației poate dispune neacordarea avizului sau retragerea acestuia.
Emitentul este obligat să informeze Ministernul Comunicațiilor și Tehnologiei Informației, trimestrial, cu privire la numărul de utilizatori ai instrumentului de plată cu acces la distanță, numărul de plăți efectuate prin intermediul instrumentelor de plată cu acces la distanță, precum și valoarea plăților efectuate prin intermediul acestora.
Eliberarea de către Ministernul Comunicațiilor și Tehnologiei Informației a avizului pentru furnizarea instrumentului de plată cu acces la distanță nu exonerează emitentul sau deținătorul de răspunderile asumate prin contractul încheiat între aceștia.
CAPITOLUL III – ELEMENTE ȘI TEHNOLOGII DE SECURIZARE
Frauda informatică, este o ilegalitate cu un grad de periculozitate înalt și este definită de fapte precum intrarea, alterarea, ștergerea sau suprimarea datelor sau programelor sau orice altă intruziune care poate provoca un prejudiciu material sau economic intenționat, infractorul urmărind scopul obținerii unui avantaj financiar.
În ceea ce privește criminalitatea informatică și fraudele cu mijloace de plată, se constată o reorientare a grupurilor criminale, în sensul că acestea urmăresc, prin ocupația infracțională desfașurată, obținerea de sume de bani importante.
La început infractorii din domeniul instrumentelor de plată electronică, fie falsificatori și utilizatori neautorizați, s-au ivit imediat după ce au fost introduse pe piață cardurile de credit, în jurul anilor 1960. La momentul respectiv, nu existau terminalele mecanice tip ATM sau POS, cu ajutorul cărora să poată fi prelucrate autorizațiile de acces, cardurile nu aveau holograme, benzi magnetice sau alte elemente de siguranță. Cardul nu era decât un card din material plastic, pe care era înscriptionat prin ștanțare un număr de cont și un nume. Atunci când titularul prezenta cardul comerciantului, acesta îl introducea într-o imprimantă, scria valoarea cumpărăturilor, apoi clientul semna factura de vânzare, pe care o depunea ulterior la bancă. În situația în care clientul depășea limita sumei prestabilite, comerciantul telefona la bancă pentru autorizarea tranzacției, astfel că principalul componentă de siguranță era tocmai cardul.
Frauda instrumentelor de plată electronică a început prin modificarea manuală a cardurilor, metodă numită „șterge și copiază”, modul de operare constând în ștergerea suprafeței imprimate a cardurilor pierdute sau furate, după care numerele de pe alte carduri se lipeau pe aceastea.
Dezvoltarea domeniului IT a determinat apariția pe piața electronică a ATM-urilor și a instrumentelor de plată electronică, cu toate acestea chiar dacă producătorii și emitenții acestora au luat măsuri de protecție prin introducerea codurilor pentru autentificare, infractorii, alcatuiți de cele mai multe ori din grupuri organizate, au identificat numeroase și diferite metode pentru a obține în mod fraudulos datele confidențiale ale acestor mijloace moderne de efectuare a operațiunilor și tranzacții lor electronice, în vederea retragerii sumelor de bani din conturile bancare.
Pericolul cel mai mare al acestor infracțiuni îl constituie caracterul lor transfrontalier. Accesul neautorizat, indiferent de motivația autorului, de exemplu plăcerea de a se infiltra, dorința de a ameliora protecția datelor sau de a brava sistemul de securitate, este periculos pentru că poate conduce la erori, eșecuri, blocaje sau chiar la opriri anormale ale sistemului informatic. Din cauza neglijenței sau a insuficienței nivelului de securitate pot fi distruse datele, pătrunderile fiind apoi folosite pentru comiterea de fraude financiare sau pentru modificarea unor date înregistrate.
Tendința descrescătoare a tentativelor de fraudă online raportate la numărul de tranzacții este explicabilă în circumstanța unei piețe care se maturizează și în care jucătorii implicați: atât noi, în rolul de procesator de plăți electronice, dar și bancile, magazinele online și autoritățile au făcut eforturi comune pentru a preveni și descuraja tentativele de fraudă online.
SECȚIUNEA 1 – ELEMENTE DE SECURITATE
La momentul emiterii, fiecărui card de plată îi este dat un număr de card, care este numărul de cont bancar al cardului și are de regulă 16 cifre. Este unic în aria geografică de folosire a cardului, tipărit și înregistrat pe card. În momentul în care este emis, titularul cardului primește, într-un plic opac, un număr de patru cifre, numit PIN (Personal Identification Number). PIN-ul va trebui memorat și ținut secret de către titularul cardului, întrucât servește la autentificarea sa ca deținător legal al cardului respectiv.
Atunci când titularul cardului va face o tranzacție cu cardul său, sistemul de procesare al tranzacțiilor la care este conectat terminalul va avea posibilitatea de a solicita introducerea PIN-ului prin tastatura terminalului, pe care sistemul îl va verifica. Tranzacția va fi respinsă în cazul în care după verificare PIN-ul introdus este greșit.
Tot din motive de securitate, PIN-ul nu este înregistrat pe card, dar există în sistemul informatic al băncii emitente. Pe card se înregistrează o valoare de verificare PIN creată la emitere printr-un algoritm care are la intrare numărul de card și PIN-ul. Astfel se realizează legătura unică între PIN-ul memorat de deținătorul cardului și numărul de card. De regulă, PIN-ul se verifică prin compararea cu PIN-ul păstrat de bancă, iar valoarea de verificare PIN înregistrată pe card se folosește doar în cazuri speciale, când sistemul băncii emitente nu este disponibil. Scopul fundamental al PIN-ului este evitarea fraudei prin furtul cardului.
Elemente de securitate ale cardurilor cu banda magnetica
Cardul de plată este dotat cu o serie de elemente de securitate, menite sa stopeze frauda. Cele mai obișnuite fraude cu cardul de plată sunt furtul cardului și clonarea sa ilicită.
Aceste elemente de securitate, care îngreunează furtul și multiplicarea sunt:
PIN-ul, care trebuie cunoscut doar de titularul cardului, nefiind înregistrat pe card și valoarea sa de verificare, înregistrată;
Înregistararea sub formă magnetică a informațiilor;
Tipărirea în relief a caracterelor și acoperirea lor cu o altă culoare decât cea a cardului;
Tipărirea caracterelor cu font special;
Plastic produs cu culori și desene, eventual holograme, particulare fiecărei bănci;
Semnătura deținătorului de card.
PIN-ul este menit a face sustragerea cardului inutil, în timp ce restul elementelor de securitate, realizate cu echipamente și dispozitive speciale, îngreunează copierea și multiplicarea.
PIN-ul este generat printr-o procedură care asigură criptarea lui. Procesul de personalizare a unui card este realizat cu ajutorul unei ”mașini de personalizat”, fiind un acțiune sensibilă din punct de vedere al riscului de fraudă. Numele, contul de card și data de expirare sunt înregistrate magnetic. Termenul de valabilitate este data la expirarea căreia cardul trebuie reemis.
Elemente de securitate ale cardului inteligent
Motivul principal al apariției și răspândirii cardurilor inteligente de plată este siguranța mult crescută, în raport cu cea a cardului cu bandă magnetică și totodată scaderea semnificativă a riscului de fraudă. Informațiile înregistrate într-un card inteligent de plată cu funcțiile de debit și credit, de portmoneu electronic sau de loialitate trebuie ținute secrete, la fel și circulația între card și terminal și mai departe, la întregul sistem de procesare a tranzacțiilor cu aceste carduri.
Metodele de securitate actuale se bazează în principal pe criptografie și autentificare și oferă tranzacțiilor o securitate crescută. Desigur, nici o tehnologie de securizare nu poate fi 100% sigură, dar gradul de securitate atins este mulțumitor. Mai există modalitatea de a asigura grade diferite de securitate, în funcție de gradul de importanța a cardului utilizat: un card inteligent multiaplicații cu aplicații de debit/credit, ePortmoneu și loialitate trebuie dotat cu o securitate mai mare decât un card simplu cu cip de memorie de loialitate sau unul preplătit, consumabil, destinat telefoniei.
Cardul cu cip oferă o securitate mai mare decât cea a cardului cu bandă magnetică prin faptul că în general, dispozitivul de citire este mai complicat. Unele cipuri dispun chiar de un fel de senzori, care pot determina ștergerea informațiilor din cip în cazuri în care sesizează un atac direct asupra cipului din card.
SECȚIUNEA 2 – TEHNICI DE SECUTIZARE
În domeniul securității cardurilor inteligente regasim și noțiunile de criptografie, autentificarea entităților și elemente de biometrică pe care le vom discuta. Aceste noțiuni fiind utile și în domeniul plăților electronice.
Siguranța tranzacției cardului inteligent este asigurată de două modalități: autentificarea entităților care participă la tranzacție și criptarea/decriptarea informațiilor.
Criptarea este folosita pentru a garanta că informația nu poate fi citită decât de cel care are secretul decriptării.
Criptarea/decriptarea informațiior se realizează prin algoritmi de criptare/decriptare al căror scop este modificarea la criptare a unei informații citibile într-una care nu poate fi citită, iar la decriptare, modificarea celei criptate, înapoi în informația citibilă originară. Se înțelege că informația astfel criptată va rula până la destinatarii tranzacției, cei care au secretul decriptării, fără riscul de a putea fi citită de alți utilizatori.
Sunt două clase de algoritmi criptografici care se utilizează în cardurile inteligente: algoritmi simetrici, cu o cheie secretă și algoritmi asimetrici, cu o două chei, secretă și publică. Cheia unui algoritm criptografic este un număr care transmite algoritmului cum anume să facă criptarea sau decriptarea. Cheile trebuie ținute secrete.
Securitatea primară este dată la nivelul efectuării fiecărei tranzacții și este introdusă în principal prin autentificări.
Autentificarea caută să dovedească că o entitate participantă la tranzacție: card, terminal, deținator de card, comerciant, bancă emitentă/acceptoare, este într-adevăr entitatea adevărată, nu una frauduloasă. Prin autentificare se fortifică o relație de încredere între două entități, care își dovedesc reciproc că sunt originale. Procesul urmărește să micșoreze riscurile de a se confrunta o identitate falsă, nelegală și cu intenții ascunse.
Găsim câteva metode de autentificare, între care cele mai utilizate sunt autentificarea prin provocare-răspuns și autentificarea prin certificate de autenticitate.
În timpul introducerii unui card inteligent în terminal, nici cardul, nici terminalul nu știu dacă celălalt este adevărat. Conceptul autentificării prin metoda provocare-răspuns stă în faptul că o parte, cardul sau terminalul, își arată autenticitatea față de cealaltă parte, demostrând deținerea unui secret despre care se știe în sistem că îi este verifica, fără a arăta secretul către partea care interoghează. Terminalul va genera un număr aleator și îl va expedia către card. Acesta îl va cripta cu o cheie din sistem, memorată în cip, și-l va expedia înapoi terminalului. Terminalul va decripta numărul primit, cu aceeași cheie din sistem care se află și în terminal și îl va asocia cu ceea ce a trimis. Dacă cele două numere sunt identice, terminalul va ști că este un card autentic. Pe cealaltă parte, cardul va folosi aceeași procedură de autentificare a terminalului. O versiune mai puternică de autentificare utilizează algoritmi asimetrici de criptare/decriptare care dispun de două chei, una în card, terminal, care criptează și una diferită în terminal, card, care decriptează. Dovada autenticității o reprezintă recunoașterea de către card – terminal a celei de-a doua chei.
Autentificarea entităților prin procedeul certificatelor de autenticitate implică existența unei entități speciale a sistemului în care toate entitățile din sistem au încredere totală, numită Autoritatea de Certificare (CA, Certification Authority) și care generează pentru toate entitățile un certificat de autenticitate, unic și specific, care autentifică entitatea în mod complet și unic.
Autentificarea proprietarului de card inteligent ca fiind legal se face de uzual prin PIN, dar în cazuri exceptionale poate avea loc prin mijloace care recurg la caracteristicile sale biometrice, cea mai sigură procedură de autentificare. Aparte față de cardul cu bandă magnetică, al cărui PIN se află exclusiv în sistemul de management de carduri (SMC) al emitentului cardului, cardul inteligent are PIN-ul memorat, executând verificarea autenticității deținătorului de card mai ușuoară, fără a recurge la sistemele de telecomunicații. Aceste carduri care conțin PIN-ul și care pot face tranzacții cu PIN, locale decuplate (off-line), sunt denumite ca carduri „Chip and PIN” și asigură un grad înalt de siguranță a tranzacțiilor de plată. Dacă o entitate ar pune în card o aplicație falsă care s-ar „deghiza” într-una autentică, aceasta ar culege de fapt date din card și le-ar expedia entității false care apoi ar distruge sau ar modifica datele cardului.
Autentificarea deținătorului de card mai poate fi făcută prin caracteristicile biometrice ale acestuia. Carcateristicile definesc persoana fizică și pot fi caracteristici biometrice fizice (amprenta digitală, înregistrarea imagini palmei, a feței, a irisului sau a retinei) și caracteristici biometrice comportamentale (voce, semnătură). Caracteristicile biometrice sunt memorate în cardul cu cip, iar în timpul unei tranzacții, terminalul captează caracteristica biometrică a deținătorului și o asociază cu cea memorată în cip. Spre exemplu, înregistrarea scanată a amprentei degetului mare are circa 1000 octeți, iar terminalul special, care face autentificarea, dispune de o mică fereastră, pe care se lipește degetul pentru a face scanarea, urmată apoi de asociere. Această metodă este considerată cea mai sigură dintre toate procedeele de autentificare a deținătorului de card.
Siguranța cadrului în comerțul prin Internet are loc prin certificatele de autenticitate în diferitele sisteme de plată cum ar fi: protocoalele de autentificare SET, 3D Secure și Secure Code.
Cardul inteligent multiaplicație poate conține o doua chei (publică-secretă), un certificat de autenticitate dat de emitent pe cheia sa publică, o cheie publică a Autorității de Certificare a sistemului precum și PIN-ul deținătorului de card, toate secrete. Procedeul implică fabricantul cipului, fabricantul cardului, emitentul și eventuali furmizorii independenți de aplicații, fiecare cu sistemele lor de generare de chei și de transport al datelor secrete. Terminalul trebuie să aibe de toate cheile publice ale Autorităților de Certificare a sistemelor de carduri folosite pentru a putea decripta fiecare certificat de autenticitate.
Măsurile adiționale de securitate în cazul comerțului electronic prin Internet, în care plățile se fac cu carduri, sunt țintite în două direcții: asigurarea securității telecomunicațiilor și asigurarea securității tranzacțiilor prin procese mai puternice de autentificare, în primul rând a deținătorului de card.
Siguranța telecomunicației dintre calculatorul personal al cumpărătorului și serverul de găzduire al comerciantului, precum și cea dintre acest server și procesatorul acceptatorului se execută prin protocolul SSL (Secure Sockets Layer).
În timpul în care un navigator accesează un server în regim de securitate, acesta va trimite web browser-ului propriul certificat de autenticitate, eliberat de o Autoritate de Certificare, criptat și semnat de aceasta cu cheia sa secretă și incluzând identitatea serverului și cheia publică a lui. Web browser-ului va decripta certificatul serverului și îi va obține cheia publică, generând apoi cheia secretă valabilă doar pentru conectarea în curs. Această cheie de criptare a mesajelor este din nou criptată cu cheia publică a serverului căruia îi este expediată. Ambele capete dispun de o cheie secretă de criptare care verifică apoi integritatea meajelor schimbate prin codul MAC.
Siguranța tranzacțiilor de plată se obține prin utilizarea unor protocoale al căror rol este să autentifice deținătorul de card și cardul său, comerciantul și acceptatorul acestuia și calea de acces la Internet către sistemul de plăți prin carduri. Autentificarea deținătorului de card este esențială, de aici pornind majoritatea fraudelor.
Protocoalele 3-D Secure și SPA/UCAF fac autentificarea cumpărătorului deținător de card prin parolă care e validată de emitentul cardului. Emitenții sunt însă liberi să își aleagă alte metode de autentificare, întrucât ei iau decizia prin care cumpărătorul este sau nu declarat legal. Cele două protocoale fac eComerț global deoarece se bazează pe cardurile Visa și MasterCard.
Protocolul SET asigură siguranță maximă. În faza inițială a tranzacției, părțile se autentifică reciproc: comerciantul cu deținătorul de card (obligatoriu), comerciantul cu poarta de acces (obligatoriu), deținătorul de card cu comerciantul (opțional) și deținătorul de card cu poarta de acces (opțional). În a doua fază se face autorizarea tranzacției: datele cardului ajung la acceptator care formulează o cerere de autorizare către emitent, al cărui răspuns îl trimite către calculatorul deținătorului de card, trecând prin poarta de acces și serverul de găzduire a site-ului comerciantului.
Idiferent că sunt cadruri cu cip sau bandă magnetică au funcționalități precum:
Verificarea decuplată (off – line) a PIN-ului autentificarea deținătorului de card.
Întrucat PIN-ul este memorat în cip, verificarea lui de către terminalul de plata POS se poate facă fără ca terminalul să mai realizeze o legatură de telecomunicații cu sistemul lui acceptator, iar aceasta duce la o economie de costuri de telecomunicații în cazul a zeci sau sute de tranzacții pe zi și a unei legaturi telefonice comutate (dial-up).
Autentificarea cardului.
Autentificarea se realizeaza folosind metoda sistemului de chei publice, in care Autoritatea de Certificare, AC, este sistemul de carduri (de exemplu , Visa este Autoritatea de Certificare pentru toți membrii din sistemul său). Se utilizeaza două metode: una mai simplă și mai ieftină, numită autentificarea statică, și una mai complexă numită autentificare dinamică. În timpul autentificarii statice, terminalul autentifică cardul, verificand ca datele din cip sunt legitime. Verificarea se face pe un bloc de date înscris în cip la emitere, nemodificat ulterior, fiind mereu identice, la fiecare verificare, din fiecare tranzacție. În cadrul autentificării dinamice, terminalul verific legitimitatea și integritatea datelor din cip precum și faptul că dialogul cip-terminal din cadrul unei tranzacții se face cu un cip legitim. Verificarea se execută, la fiecare tranzacție, pe un alt bloc de date, generat în acea tranzacție. Autentificarea dinamică poate astfel afla dacă tranzacția are loc cu un terminal fals, care nu ar putea participa la generarea blocului de date. Ambele metode implică existența unei perechi de chei, secretă și publică, a Autorității de Certificare a unei perechi de chei a fiecarui emitent, iar în autentificarea dinamică și a unei perechi de chei pe fiecare card.
Administrarea riscului.
Administrarea riscului unei tranzacții implică ca fraudatorul, detinatorul ilegal de card, obținut prin furt sau copiere, are un mod unic de a folosi cardul de plată, iar acest comportament este un indicator al unei posibile fraude. Pentru interceptarea acestui comportament s-au introdus unele „controale ale folosirii” precum valoare maxima pe fiecare tranzacție, numărul maxim de tranzacții efectuate într-o zi, valoarea maximă totală cumulată de card pe zi, numarul maxim de tranzactii decuplate efectuate succesiv. O tranzactie nu va fi autorizata daca acesti indici, care pot fi indicati a unei fraude, depasesc anumite valori esalon (de emitent). Acesti parametri pot fi inscriptionați in aplicatii la momentul emiterii sau pot fi modificati dinamic, in orice moment al vietii cardului inteligent.
Modificarea dinamica a aplicatiilor din cip
La finalul unei tranzactii care a fost autorizata cuplat (on line) emitentul poate expedia prin cip, atasat raspunsului de autorizare , prin intermediul terminalului, schimbări ale unor parametri ai aplicatiei. Emitentul poate bloca/debloca cardul sau o aplicatie si schimba PIN-ul. Aceasta optiune de a interveni in caracteristicile cardului dupa ce acesta a fost emis se mai denumesște „inscriere post emitere” (post issuing scripting).
CAPITOLUL IV – Studiu de caz asupra metodelor de securitate ale Ing Bank România
ING Bank Romania este parte a ING Group, instituție financiară internațională de origine olandeză care oferă servicii bancare, de asigurări și de management al activelor unui număr de peste 84 de milioane de clienți individuali, companii și instituții din peste 40 de țări din Europa, America de Nord, America Latină, Asia și Australia.
ING Bank este prima instituție financiară internațională care a deschis o sucursală în România după 1989, în prezent deținând o poziție solidă pe piața locală. S-a lansat în 1994, ca bancă de nișă, de Corporate și Investment Banking, dar s-a dezvoltat într-un ritm susținut, prin creștere organică, iar astazi este o bancă universală care oferă o paletă completă de produse și servicii tuturor categoriilor de clienți.
Securitatea website-ului
Pentru protejarea informațiilor personale ING solicită utilizarea tehnologiilor de encriptare pentru anumite tipuri de transmisii coordonate prin site. Chiar dacă oferă aceste tehnologii și utilizează și alte măsuri de precauție pentru a proteja informațiile confidențiale și a oferi securitatea corespunzătoare, nu garantează că informația transmisă prin Internet este total securizată, sau că transmisiile nu vor fi întarziate, întrerupte, interceptate sau că nu prezintă erori.
În utilizarea site-ului ING oferă coduri de identificare, parole și alte coduri de securitate "coduri de client" care sunt necesare pentru a accesa și utiliza anumite facilități ale site-ului. Aceste coduri de acces oferite clienților sunt confidențiale și recomandă în cazul pierderii sau accesului neautorizat al altor persoane să înștiințeze banca.
Pentru o funcționare corectă a site-ului și aplicațiilor băncii, ING blochează încărcarea, transmiterea prin e-mail sau alte mijloace orice material care conține viruși sau alte coduri, fișiere sau programe care pot întrerupe, limita sau interfera cu funcționalitatea oricărui software, hardware, bază de date sau fișier, sau orice echipament de comunicare care este deținut, închiriat sau utilizat de către ING.
În eforturile pentru asigurarea securității datelor și tranzacțiilor clienților săi, ING România vine și cu informații utile de către clienții săi cum ar fi:
Ce este un atac tip ”phishing”. Un atac de tip „phishing” este o tehnică de fraudă online care constă în trimiterea unui mesaj ”oficial” de tip e-mail care include adresa, pagina de web a companiei și care pretinde a fi trimis de la o bancă, comerciant, companie de card de credit etc. Aceste tipuri de mesaj e-mail conțin în general un link redirectat către o pagină de web falsă și care îndruma clienții să-și introducă numele și detaliile personale de securitate, toate acestea sub pretextul că aceste detalii în cauză trebuie actualizate sau schimbate. Odată ce aceste informații sunt divulgate, ele pot fi utilizate apoi pe site-uri legitime, în scopul fraudării contului personal.
Datorită creșterii tot mai dese atacurilor de tip phishing la nivel global, ING Bank a introdus o procedură standard anti-phishing care presupune un sistem complet de măsuri preventive, de detectare și de răspuns, inclusiv măsuri de informare a clienților cu privire la aceste tentative.
Măsurile luate de către ING Bank au un caracter preventiv, și ele nu duc în mod necesar la reducerea numarului de atacuri ilegale (phishing), motiv pentru care este de preferat ca orice utilizator de internet banking să aibă un set minim de cunoștințe în privința securității pe internet și să țină seama de recomandări.
Practica standard în domeniul anti-phishing
Aceasta constă în aplicarea unui set de măsuri tehnice precum:
Securizare a datelor și sisteme de avertizare: detectarea în timp real a abuzului de identitate; inspecții ale mesajelor e-mail; secțiune de web dedicată clienților pentru a raporta atacurile de tip phishing.
Aplicații de internet securizate: autentificarea multi-factor; securizarea browser-ului și a configurației e-mail-urilor; software împotriva furtului de identitate.
Măsuri non-tehnice în domeniul anti-phishing fac referire la acțiuni privind informarea clienților cu privire la prevenția, detectarea, sesizarea și soluționarea unor astfel de atacuri.
Ce sunt imitațiile website-urilor ING, deși acesta monitorizează Internetul pentru a fi la curent în legatură cu tentativele de imitare a website- urilor care, de cele mai multe ori, sunt primul pas făcut de către „phisheri”. Ca urmare a acestui fapt ING colaborează cu instituțiile abilitate pentru a se asigura că aceste site-uri sunt închise în cazul unor eventuale încercări de fraudare, în unele cazuri, chiar și în aceași zi în care apar astfel de site-uri;
Ce este tehnica avansată de fraudare, unde le este promis persoanelor care primesc astfel de mesaj că în schimbul unei sume de bani vor avea parte de un câștig mare. Uneori banii oferiți sunt rezultatul unei loterii la care persoana nici nu a cumparat bilet.
În comunicarea cu clienții săi, ING recomandă să se aibă în vedere câteva elemente pe care le vor regăsi sau nu, într-un e-mail:
ING se adresează întotdeauna cu numele clientului în orice mesaj e-mail;
ING nu trimite mesaje e-mail în care să fie incluse link-uri către site-uri unde clientul va trebui să introducă informații personale;
nu cere confirmarea detaliilor personale pe e-mail;
ING folosește cele mai noi sisteme și tehnologii de criptare și autentificare pentru a securiza toate tranzacțiile.
De asemenea recomandă verificarea paginii de web pe care intră dacă este într-adevar cel al ING și, mai mult decât atât, este un site securizat.
Atât pentru securitatea datelor pe internet cât și în calculatorul personal îndeamnă la instalarea unui antivirus, folosirea unui Anti-Spyware și firewall de la furnizori cunoscuți și de încredere, folosirea unui filtru de ”spam” pentru a evita apariția astfel de mesaje.
Criptarea informațiilor. Prin criptare informațiile sunt convertite (transformate) într-o formă codată înainte să fie transmise prin Internet. Astfel, utilizatorii neautorizați nu pot citi respectivele informații. ING folosește pentru aplicația ING Online un protocol de criptare Secure Socket Layer (SSL) pe 128 de biți, acesta fiind considerat un standard acceptat pentru serviciile de plăți online. Acest lucru se poate observa în bara adresei web că există https://, sau/și când se vizualizează simbolul ‘padlock’ încuiat.
Sesiunea sigură. Atunci când o pesoană se loghează pentru serviciile de internet banking i se aduce la cunoștinșă ca operează într-o ”sesiune sigură”. Tehnologia SSL este folosită în timpul în care este utilizat Internet Banking-ul pentru a cripta informațiile înainte de a ieși din computer. Aceasta pentru a se asigura ca nimeni altcineva nu le poate citi. În funcție de setările browser-ului, o fereastră pop-up care poate să apară pentru a notifica intrarea pe o pagină sigură. Atunci se poate vedea ‘https://’ înaintea adresei înseamnă că este o pagina sigură. De asemenea se poate remarca un simbol "padlock" închis, în partea din dreapta jos a ferestrei browser.
Protocolul Secure Sockets Layer (SSL) asigură un nivel înalt de securitate a comunicațiilor prin Internet. SSL furnizează de fapt o sesiune de comunicare criptată între web browser și web server. SSL se asigură că transmisia de informații sensibile precum numere de card și alte date financiare și personale, dintre browser și web server se face cu păstrarea confidențialitații datelor în timpul tranzacției online.
Capturarea parolelor introduse de la tastatura. Orice se tastează pe un computer poate fi reținut și stocat. Astfel de opțiuni sunt posibile pe computer fie prin intermediul unei compenente (hardware) atașată PC-ului, fie prin intermediul unui program (software) care rulează aproape invizibil. Capturarea secvenței de caractere introduse de la tastatură este adesea folosită de impostori pentru a obține informații personale, inclusiv parole. Unii dintre cei mai recenți viruși pot instala astfel de programe fără cunostința/înțiintarea utilizatorului.
Riscul de a întâlni aceste tipuri de programe neautorizate este mai mare pe calculatoarele folosite de mai mulți utilizatori, așa cum este cazul celor din biblioteci și internet café-uri. Rularea de programe anti-spyware detectează prezența unor astfel de soft-uri. Clienții pot descărca programe de anti-spyware gratuite.
Expirarea/Întreruperea sesiunilor de lucru. Exprirarea sesiunilor de lucru reprezintă deconectări automate, realizate din motive de securitate. Aceasta se produce în cazul tuturor sesiunilor sigure după o perioadă de inactivitate a server-ului. O astfel de întrerupere a sesiunii se poate produce chiar dacă clientul este în proces de scrierea a unor date pe o pagină sau pe un câmp. Această situație este determinată de lipsa comunicării cu serverul și nu de inactivitatea tastaturii sau a mouse-ului. Toate serviciile noastre de internet banking dispun de această protecție.
Vulnerabilitate Deficiențele de securitate sunt greșeli sau erori de programare. Acestea pot fi exploatate de utilizatori neautorizați pentru a accesa rețele de calculatoare sau web serverele de pe internet. Dupa ce aceste vulnerabilități devin cunoscute, companiile de software dezvoltă versiuni actualizate (‘updates’, ‘fixes’, ‘patches’ ) pe care le puteți downloada pentru a rezolva problema.
Securitatea Cardului cu CIP
Cip-ul și PIN-ul oferă siguranța de care este nevoie atunci când se optează pentru cumpărăturile cu cardul. Cip-ul și PIN-ul sunt ușor de folosit. Nu este nevoie de semnatură, doar tastarea codul PIN format din 4 cifre. Codul PIN va autoriza tranzacția.
Cardul cu CIP este dotat cu un microprocesor care stochează și prelucrează informații referitoare la deținător, posesorul cardului și banca emitentă. Microcipul este aproape imposibil de copiat.
Această tehnologie elimină posibilitatea de a copia conținului cipului pe cipul unui alt card. Pentru o plată cu cardul este necesar să se introducă cardul într-un terminal securizat cu cititor CIP, să se introducă PINul asigurându-se totodată că acesta rămâne confidențial apoi după confirmarea plății se scoate cardul se ia chitanța, care se poate compara cu extrasul de cont la sfârșitul lunii.
Se poate folosi în siguranță cardul cu CIP:
pentru cumpărături la orice alt terminal cu CIP;
pe Internet unde Visa/MasterCard activează și alte niveluri de securitate care să prevină folosirea frauduloasă a numărului tău de card Visa sau Mastercard, cum ar fi "Verified by Visa" sau "MasterCard SecureCode".
3D-Secure
3D-Secure este un sistem antifraudă dezvoltat de Visa și MasterCard. Folosirea acestui sistem permite creșterea securității tranzacțiilor online, prin solicitarea unei parole la fiecare plată online efectuată pe site-urile comercianților înrolați la acest sistem. Astfel, în caz de pierdere sau furt, cardul nu poate fi folosit de terțe persoane pentru cumpărături online.
Serviciul 3D Secure este disponibil atât pentru cardurile ING Visa cât și pentru cardurile ING MasterCard.
Pentru a beneficia de 3D Secure un client ING trebuie să facă 2 operațiuni simple:
-Activarea serviciului 3D-Secure.
-Introducerea datelor pentru contul care se dorește activarea acestui serviciu, pe pagina de activare a serviciului, Visa sau Mastercard:
Numarul cardului tau: 5280 XXXX XXXX XXXX
CNP: 28012XXXXXXXX
parola inițială care îi este oferită de bancă: de exemplu 123456210; parola este formată din codul de client ING și din ultimele trei cifre din Codul Numeric Personal (CNP).
Banca valideaza datele introduse și dă acces la pagina de personalizare a domeniului 3D Secure, unde trebuie introduse urmatoarele date:
Nume utilizator: de exemplu: Ana Tanase
Parola: îi este recomandat să aibă între 8 si 14 caractere alfanumerice
Confirmare parolă: îi este recomandat să aiba între 8 și 14 caractere alfanumerice
Întrebare amintire parola: de exemplu: Ce nume are câinele tau?
Mesaj de întâmpinare: de exemplu: Ești în mediu 3D Secure
Autentificarea pe site-ul comerciantului. Când un client dorește să facă o tranzacție online trebuie să se identifice și să fie autentificat ca fiind posesorul de drept al cardului cu care se face tranzacția.
Condiția obligatorie ca tranzacțiile să se faca în mediul 3D Secure este ca și comerciantul de pe site-ul căruia se fac cumpărături să fie înrolat în 3D Secure, adică să existe pe site-ul acestuia mențiunea Verified by Visa pentru cardurile Visa și Mastercard SecureCode pentru cardurile Mastercard.
Datele ce trebuie furnizate după efectuarea cumpărăturilor on-line sunt:
Tip card: Visa, Mastercard, etc;
Numele așa cum apare pe card;
Număr card;
Data expirare card;
CVV2 – asta e o serie de 3 cifre de pe spatele cardului
Pe un ecran separat va fi solicitată parola 3D Secure, cea de 8-14 caractere de mai sus. În cazul în care autentificarea a fost facută cu succes, tranzacția este transmisă spre procesare asemenea unei tranzacții obișnuite.
Securitatea Home'Bank
Totul începe cu alegerea unei parole potrivite. Astfel, asigurându-se mai întâi că se va alege o parolă greu de "spart" folosind litere mari, litere mici și cifre.
Pentru asta au fost creeate 3 niveluri de securitate:
Nivelul unu de securitate este activ de la început și urmărește când se dorește să se transfere bani dintr-un cont personal în altul. În acest caz, după autentificare trebuie doar să se completeze suma de bani, să se menționeze contul din care se transferă și contul unde să ajungă banii.
Nivelul doi de securitate se pornește în cazul unor plăți mai puțin frecvente sau dacă se dorește să se transfere sume mari de bani. În acest caz, pentru autorizarea tranzacției va trebui să se folosească Parola aleasă. În funcție de suma transferată se va primi un SMS.
Nivelul trei de securitate are în vedere că atunci când se dorește să cumpere o mașina sau o casa mult să se confirme tranzacția la Serviciul Clienți ING.
Prin Home’Bank se folosește cel mai avansat algoritm de criptare de date și certificatul VeriSign SSL, care verifică identitatea și autenticitatea site-ului. Accesul este protejat în permanență prin masuri avansate de securitate:
256 – bit SSL – la ora actuală cel mai avansat algoritm de criptare de date;
Certificatul VeriSign SSL, pentru verificarea identității și autenticității website-ului. Simplu, rapid și confortabil.
Parola
Parola trebuie să respecte următoarele reguli de complexitate: conține între 8 și 32 caractere alfanumerice, cel puțin o litera mică, o litera mare și o cifră. Este important să nu se divulge nimănui parola aleasă.
Cum functioneaza Digipassul?
Digipassul arată ca un fel de calculator de buzunar, generează coduri de identificare și semnatură și funcționează doar dupa ce introduci PIN-ul ales de tine. De fiecare dată când folosești ING Home’Bank, Digipassul generează un cod diferit.
Codul PIN
Codul PIN este un cod de securitate care oferă siguranță când se acceseză Digipassul. Fără el, Digipassul e doar un dreptunghi din plastic. După ce este înmânat, se seteză noul cod PIN preferat prin introducerea combinației dorite (4 caractere numerice) și apoi se confirmă prin reintroducerea lui.
Concluzii
Bibliografie:
Beju D., Mecanisme monetare și instituții bancare, Cluj Napoca, Editura Casa Cărții de Știință, 2005;
Bob, C.A., Comerț eletronic, Lugoj, Editura Dacia Europa Nova, 2001;
Cimpoeru Dan, Dreptul internetului. București, Editura C.H.Beck, 2012;
Cocriș Vasile, Dan Chirleșan, Economie bancară. Repere teoretice și studiu monografic, Iași, Editura Universității Alexandru Ioan Cuza, 2009;
Diaconescu Mariana, Bănci. Sisteme de plăți. Riscuri, București, Ed. Economică, 1999;
Dogaru Ion, Dănișor Gheorghe, Dănișor Dan Claudiu, Teoria generală a dreptului, Ediția a II-a, București, Editura CHBeck, 2008;
Donath L., Șelean, V., Cerna, V., Operațiuni, instrumente și riscuri în sistemele de plăți, Timișoara, Ed. Mirton, 1999;
Golosoiu Georgescu Ligia, Mijloace, modalități și instrumente de plată, Editura ASE, București, 2003;
Heteș-Gavra Iosif, Organizarea și operațiunile băncilor, Timișoara, Ed. Orizonturi Universitare, 2003;
Popa Nicolae, Teoria generală a dreptului, București, Editura Actami, 1994;
Oprea Dumitru, Protecția și securitatea informațiilor, Iași, Editura Polirom, 2003;
Roșca Ion Gh., Bogdan Ghilic Micu și Marian Stoica, Informatica, societatea informatională, e-serviciile, București, Editura Economică, 2006;
Roșca Ion Gh. și colabororii, Comerțul Electronic, București, Editura Economică, 2004;
Sorin V. Mihăiescu, Control financiar-bancar, ediția a II-a revăzută și adăugită, Iași, Editura Universității Alexandru Ioan Cuza, 2008;
Șerbu Răzvan, Comerțul electronic, Sibiu, Editura Continent, 2004;
Șeulean Victoria, Sisteme de plăți comparate, Timișoara, Ed. Orizonturi Universitare, 2001;
Tiliuțe Doru, Comerț Electronic, Editura Universității Suceava, Suceava, 2007;
Tiliuțe Doru, Noțiuni de internet, Editura Universității Suceava, Suceava, 2002;
Trancă Anamaria, Infracțiuni informatice, București, Editura Hamangiu, 2011;
Vasilache Dan, Plăți electronice. O introducere, București, Editura Rosetti, 2004;
Articole:
Felician Alecu ”Internet Banking-ul”, Revista Informatica Economică, nr. 4(40) București 2006 p 104 -106
John Perry, A Cyberspace Independence Declaration, Davos, Switzerland, 8 Februarie 1996 (www.eff.org)
Patriciu Valeriu – ,,Semnaturi digitale în sistemele de plăți din comerțul electronic”, Revista Informatica Economică, nr.2/1997 București, p 55-61
Tiliuțe D. E.”Intelligent Shops and Communications Security”, Journal of Applied Computer Science, no.2 (1) / Suceava, 2007, p. 31 – 35
Chiriac Dan, Securitatea cardurilor bancare, 25 Martie 2008, (www.economice.ro)
Cioată Mircea -,,Plăți electronice”, Net Report, Februarie, 2001 (http://www.afaceri.net)
Claudia Elena Ignat, Secretul profesional în dreptul bancar (http://avocatura.lexignat.ro/avocatura-articole/-Secretul-profesional-in-Dreptul-Bancar)
Manolea Bogdan, TVA, Uniunea Europeana și Serviciile Electronice (http://www.link2ec.ro/index.php?id=30&art=117)
Oancea Dorinel, Criminalitatea informatică (www.e-bookspdf.org)
Link-uri:
www.politiaromana.ro/protectia_datelor_cu_caracter_personal.htm
www.legi-internet.ro legile internetului
http://europa.eu
http://www.business24.ro/
www.echr.coe.int Site –ul Curții Europene al drepturilor omului
www.dataprotection.ro
http://stats.oecd.org/glossary/detail.asp?ID=3057
http://www.mcsi.ro/
www.bnro.ro
www.ing.ro
Bibliografie:
Beju D., Mecanisme monetare și instituții bancare, Cluj Napoca, Editura Casa Cărții de Știință, 2005;
Bob, C.A., Comerț eletronic, Lugoj, Editura Dacia Europa Nova, 2001;
Cimpoeru Dan, Dreptul internetului. București, Editura C.H.Beck, 2012;
Cocriș Vasile, Dan Chirleșan, Economie bancară. Repere teoretice și studiu monografic, Iași, Editura Universității Alexandru Ioan Cuza, 2009;
Diaconescu Mariana, Bănci. Sisteme de plăți. Riscuri, București, Ed. Economică, 1999;
Dogaru Ion, Dănișor Gheorghe, Dănișor Dan Claudiu, Teoria generală a dreptului, Ediția a II-a, București, Editura CHBeck, 2008;
Donath L., Șelean, V., Cerna, V., Operațiuni, instrumente și riscuri în sistemele de plăți, Timișoara, Ed. Mirton, 1999;
Golosoiu Georgescu Ligia, Mijloace, modalități și instrumente de plată, Editura ASE, București, 2003;
Heteș-Gavra Iosif, Organizarea și operațiunile băncilor, Timișoara, Ed. Orizonturi Universitare, 2003;
Popa Nicolae, Teoria generală a dreptului, București, Editura Actami, 1994;
Oprea Dumitru, Protecția și securitatea informațiilor, Iași, Editura Polirom, 2003;
Roșca Ion Gh., Bogdan Ghilic Micu și Marian Stoica, Informatica, societatea informatională, e-serviciile, București, Editura Economică, 2006;
Roșca Ion Gh. și colabororii, Comerțul Electronic, București, Editura Economică, 2004;
Sorin V. Mihăiescu, Control financiar-bancar, ediția a II-a revăzută și adăugită, Iași, Editura Universității Alexandru Ioan Cuza, 2008;
Șerbu Răzvan, Comerțul electronic, Sibiu, Editura Continent, 2004;
Șeulean Victoria, Sisteme de plăți comparate, Timișoara, Ed. Orizonturi Universitare, 2001;
Tiliuțe Doru, Comerț Electronic, Editura Universității Suceava, Suceava, 2007;
Tiliuțe Doru, Noțiuni de internet, Editura Universității Suceava, Suceava, 2002;
Trancă Anamaria, Infracțiuni informatice, București, Editura Hamangiu, 2011;
Vasilache Dan, Plăți electronice. O introducere, București, Editura Rosetti, 2004;
Articole:
Felician Alecu ”Internet Banking-ul”, Revista Informatica Economică, nr. 4(40) București 2006 p 104 -106
John Perry, A Cyberspace Independence Declaration, Davos, Switzerland, 8 Februarie 1996 (www.eff.org)
Patriciu Valeriu – ,,Semnaturi digitale în sistemele de plăți din comerțul electronic”, Revista Informatica Economică, nr.2/1997 București, p 55-61
Tiliuțe D. E.”Intelligent Shops and Communications Security”, Journal of Applied Computer Science, no.2 (1) / Suceava, 2007, p. 31 – 35
Chiriac Dan, Securitatea cardurilor bancare, 25 Martie 2008, (www.economice.ro)
Cioată Mircea -,,Plăți electronice”, Net Report, Februarie, 2001 (http://www.afaceri.net)
Claudia Elena Ignat, Secretul profesional în dreptul bancar (http://avocatura.lexignat.ro/avocatura-articole/-Secretul-profesional-in-Dreptul-Bancar)
Manolea Bogdan, TVA, Uniunea Europeana și Serviciile Electronice (http://www.link2ec.ro/index.php?id=30&art=117)
Oancea Dorinel, Criminalitatea informatică (www.e-bookspdf.org)
Link-uri:
www.politiaromana.ro/protectia_datelor_cu_caracter_personal.htm
www.legi-internet.ro legile internetului
http://europa.eu
http://www.business24.ro/
www.echr.coe.int Site –ul Curții Europene al drepturilor omului
www.dataprotection.ro
http://stats.oecd.org/glossary/detail.asp?ID=3057
http://www.mcsi.ro/
www.bnro.ro
www.ing.ro
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea Datelor In Utilizarea Instrumentelor de Plata Electronica (ID: 163437)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.