Securitatea în afaceri electronice și în sistemele de [620494]

UNIVERSITATEA TEHNICĂ din CLUJ -NAPOCA
FACULTATEA de INGINERIE ELECTRICĂ

Securitatea în afaceri electronice și în sistemele de
plăți online

Cuprins

1. Introducere 1
Comerțul electronic
Securitatea comerțului electronic
2. Vulnerabilități 3
Tipuri de vulnerabilități
3. Securitatea plaților on line realizate cu card bancar 4
VISA 3 -D Secure
PCI DSS
4. Securitatea plaților în m -commerce 7
Metode de plat ă
Google Pay
Rețelele Wire less
Potențiale riscuri
5. Concluzii 14

Bibliografie 16

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 1
1. Introducere

Comerțul electronic este realizarea de afaceri online. Este utilizarea informațiilor digitale
pentru a înțelege nevoile și preferințele fiecărui client și ale fiecărui partener pentru a personaliza
produsele și serviciile pentru aceștia; iar apoi livrarea acestor produse și s ervicii cât mai repede
posibil. Pentru a obține aceste beneficii, multe companii realizează comerț electronic [1].
Odată cu dezvoltarea rapidă a internetului, comerțul electronic are din ce în ce mai multe
aplicații. Cu creșterea explozivă a comerțului electronic, problema de securitate a comerțului
electronic este din ce în ce mai mare.
Au apărut noi riscuri pentru instituțiile publice, agenții economic i și chiar utilizatori i
individuali care sunt dependenți tot mai mult de sistemele informat ice pentru gestionarea datelor
și a activităților lor .
Ușurința folosirii, numărul mare de utilizatori și multitudinea de date din mediul online au
atras nu doar pe cei interesați de dezvoltare, ci și pe cei care văd în asta un mod ușor de a dobândi
foloa se necuvenite.

Securitatea comerțului electronic [2] se asigu ră că informațiil e despre afaceri sunt
securizate și sunt disponibile pentru afaceri și pentru a fi procesa te atunci când este nevoie.
De asemenea, securitatea comerțului electronic se asigură că tehnologiile folosite pentru
producția, stocarea și comunicarea informației sunt sigure, pentru ca informația este precisă și de
încredere atunci când este folosită.
Securitatea comerțului electronic se ocupă cu confidențialitatea informației , și cu
menținerea disponibilității informației utilizatorilor legitimi pentru a efectua activitățile afacerii .

Securitatea internetului [9] este o ramură a securității computerului având legătură nu doar
cu Internet ul, implicând adesea securitatea browserului și World Wide Web -ul , ci și cu securitatea
rețelei, deoarece se aplică pentru alte aplicații sau sisteme de operare în ansamblu. Obiectivul ei
este de a stabili reguli și măsuri pentru a utiliza împotriva atacurilor de pe Internet. Internetul
reprezintă un canal nesigur pentru schimbul de informații, ceea ce duce la un risc ridicat de
intruziune sau fraudă, precum phishing, viruși online, viruși tip vierm e și multe altele.

Transfer ul securizat de date în numele utilizatorilor și al aplicațiil or se bazează pe
securitatea protocoale lor de control și de management ale rețelei care mențin conectivitatea globală
și disponibilitatea rețelei . Printre aceste protocoale, Sistemul de nume de Domeniu (DNS) se
bucură de cel mai complet set d e îmbunătățiri de securitate .

Setul de servicii de securitate furnizate la nivelul IP include controlul accesului, integritatea
originii datelor, protecția împotriva înlocuirilor și confidențialitatea. Algoritmul permite acestor
seturi să funcționeze inde pendent, fără a afecta alte părți ale implementării. Implementarea IPsec
este operată într -un mediu gazdă sau un gateway de securitate oferind protecție traficului IP.

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 2
Arhitectura de securitate a Protocolului de Internet [7] cunoscut ă sub numele de IP
Security (IPsec) este cel mai avansat efort în standardizarea securității internetului. Ca vehicul
comun pentru diferite protocoale de nivel superior, Internet Protocol (IP) este vulnerabil la mai
multe atacuri care amenință fie securitatea datelor aplicației purtat e de protocoale cu nivel superior ,
precum Protocolul de Control al Transmisiei (TCP) sau comportamentul rețe lei propriu -zise prin
subversiunea protocoale lor de controlul ale rețelei , precum Internet Control Message Protocol
(ICMP) sau Border Gateway Protocol (BGP) . IPsec acoperă atât nou a genera ție de IP (IPv6) cât
și versiunea curentă a IP (IPv4) .

Fig. 1 – Componente de securitate ale Infrastructurii Internet [7]

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 3 2. Vulnerabilități

Pentru a putea ataca a o rețea sau un dispozitiv , un atacator trebuie sa se folosească de o
vulnerabilitate . Vulnerabilitatea este o slăbiciune a sistemului care permite o acțiune neautorizata.
Aceste erori apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor. Vulnerabilitățile pot
fi clasificate în următoarele categorii [3]:
• Vulnerabilitate de proiectare – o eroare care apare în prima faz ă a vieții unui produs,
de concepție, si chiar o implementare ulterioar ă perfect ă nu o va înlătura.
• Vulnerabilit ate de implementare – apare ca urmare a fazei de punere în practic ă a
proiectului.
• Vulnerabilitate de configurare – apare ca urmare a erorilor făcute în configurarea
sistemelor, cum ar fi folosirea codurilor de acces implicite sau a drepturilor de scriere
a fișierelor cu parole.

Cele mai comune vulnerabilități in securitatea comerțului electronic sunt:
• Vulnerabilit ăți de fond – unul dintre motivele principale pentru astfel de
vulnerabilități este faptul că dezvoltatorii de aplicații web nu sunt adesea foarte
experimentați cu tehnici de programare sigure . Drept urmare, securitatea aplicației nu este
neapărat unul din tre obiectivele principale. Aceasta este agravată de graba de a respecta
termenele limită în lumea rapidă a comerțului electronic . Într-un astfel de mediu, atitudinea
este de a obține funcționalitatea online; securitatea poate fi întotdeauna realizată mai târziu.
• Injecția SQL – se referă la inserarea meta -caracterelor SQL în câmpul de
introducere a datelor utilizatorului (nume utilizator sau parolă), astfel încât cererile
atacatorului sunt executate de baza de date back -end. De obicei, atacatorii vor det ermina mai
întâi dacă un site este vulnerabil la un astfel de atac, trimițând caracterul citat ('). Rezultatele
unui atac de injecție SQL pe un site vulnerabil pot varia , de la un mesaj de eroare detaliat,
care dezvăluie tehnologia de back -end folosită , sau care îi permit atacatorului să acceseze
zone restricționate ale site -ului sau poate chiar permite executarea de comenzi în sistemului
de operare.
• Manipularea prețului – aceasta este o vulnerabilitate care este aproape unică
pentru coșurile de cumpărături online și pentru site -urile de plăți online. Cel mai frecvent
aceste vulnerabilități apar când prețul total al bunurilor achiziționate este stocat într -un câmp
HTML ascuns al unei pagini web generate dinamic. Un atacator poate utiliza un proxy de
aplicație web, pentru a modifica pur și simplu suma care trebuie plătită , atunci când aceste
informații merg din browserul utilizatorului către serverul web.
• Depășirea tamponului (Buffer overflow) – nu sunt foarte frecvent întâlnite la
site-uri de cum părături sau în alte aplicații web folosind Perl, PHP, ASP, etc. Cu toate
acestea, trimiterea unui număr mare de octeți către aplicații web care nu sunt orientate să
le facă față poate avea consecințe neașteptate.
• Scripturi cross -site (XSS) – în majoritat ea cazurilor, atacatorul ar crea un URL
pentru a încerca să fure cookie -ul utilizatorului, care conține probabil ID -ul sesiunii și alte
informații sensibile. JavaScript ar putea fi, de asemenea, programat pentru a redirecționa
utilizatorul către site -ul atacatorului, unde poate fi lansat codul rău intenționat.
• Executarea comenzilor de la distanță – cele mai devastatoare vulnerabilități ale
aplicațiilor web apar atunci când scriptul CGI permite unui atacator să execute comenzi în
sistemul de operare din cauza validării inadecvate a datelor de intrare. Acest lucru este cel
mai des întâlnit cu utilizarea apelului „sistem” în scripturile Perl și PHP. Folosind un
separator de comandă și alte meta -caract ere shell, este posibil ca atacatorul să execute
comenzi cu privilegiile serverului web.

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 4 3. Securitatea plaților on line realizate cu card bancar

Majoritatea cumpărăturilor cu cardurile bancare de pe internet sunt cumpărături
neautentificate; titularul cardului introduce numărul cardului, apoi finalizează achizi ția. Aceste
cumpărături sunt cunoscute sub numele de cumpărături „card-not-present ” (“cardul nu este
prezent”) , în care comerciantul, emitentul și deținătorul cardului sunt potențial expuși fraudei,
deoarece identitatea titularului cardului nu poate fi con firmată.
Tranzacțiile tip card-not-present au loc pe internet, prin telefon sau poștă, unde comerciantul
și punctul de vânzare nu se află în aceeași locație fizică ca și cardul și deținătorul acesteia.
Tranzacțiile frauduloase de acest tip reprezintă acum o mare parte din pierderile de fraudă bancară.

Fig. 2. – Totalul f raudei în Marea Britanie [10]

VISA 3 -D Secure

3D Secure (structur ă pe 3 domenii), cunoscută și sub numele de autentificare pentru plătitor,
este un protocol de securitate care ajută la prevenirea fraudei în tranzacțiile online cu cardul de
credit și debit.

3-D Secure ™, [4] dezvoltat de Visa, dorește reducerea fraudei online și creșterea încrederii
consumatorilor, necesitând verificarea identității deținătorului de card înainte de fiecare achiziție
online. Verificarea identității implică o provocare titularului cardului cu un „secret comun ” și un
răspuns corect din partea lui, înainte de autorizarea cumpărării. „Secretul comun” este ceva ce
titularul cardului trebuie să fi înregistrat personal la emitent .

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 5 3-D Secure ™ oferă deținătorului de card și emitentului asigurarea că utilizarea cardului
bancar poate fi utilizat pentru o achiziție online doar de către titularul de card autorizat. Deoa rece
Visa necesită utilizarea comunicațiilor de rețea criptate pentru toate transmisiunile 3 -D Secure™,
aceasta oferă o abordare securizată, stratificată și de încredere pentru verificarea identității unui
deținător de card înainte de a putea fi efectuată tranzacția online.
3-D Secure ™ înseamnă literal „3 -Domenii”, în care sunt atribuite domenii de responsabilitate
distincte: Domeniul Emitentului, Domeniul de Interoperabilitate și Domeniul Achizitorului.
Fiecare domeniu are un anumit nivel de obligație pe c are trebuie să -l îndeplinească, verific at și
certific at de Visa, pentru a participa la tranzacții 3 -D Secure ™, cunoscute și sub numele de
„Verified by Visa” .

Fig. 3. – 3-D Secure ™ – Domeniile și responsabilitățile lor

Pentru a face parte din sistemul 3 -D Secure™, emitenții, comercianții și achizitorii trebuie să
treacă testele de conformitate Visa. Pe lângă cerințele pentru 3 -D Secure™, participanții trebuie,
de asemenea, să îndeplinească contracte generale de administrare a datelor cardurilor de credit
Visa înainte de participare. Acest lucru adaugă un strat suplimentar de securitate, necesitând toate
părțile care gestionează datele deținătorului de card să fie în conformitate cu procedurile și
metodologiile de securitate prescrise. Visa certi fică respectarea acestor standarde prin efectuarea
de audituri regulate ale tuturor întreprinderilor care gestionează datele deținătorului de card de
credit.
Într-adevăr, 3D Secure reduce direct potențialul de fraudă, și crește încrederea consumatorilor
că cardul de credit va fi utilizat numai de adevăratul „proprietar” al cardului de credit, în timpul
achizițiilor online de tipul „card -not-present”.

În forma inițial ă, 3D Secure deschide a un formular de introducere a parol ei către un client
bancar care a încercat o plată cu cardul online; clientul introduce o parolă și, dacă ar fi fost corect ă,
va fi returnat pe site -ul comerciantului pentru a finaliza tranzacția. Au apărut dificultăți datorită
blocării ferestrelor pop-up și acum modul de operare recomandat folosește cadre in -line
(„iframe ”). Comerciantul tr ansmite numărul cardului la Visa sau Master Card și primește înapoi o
adresă URL pe care să o încorpor eze într-un iframe care să -l afișeze clientul ui. Dacă clientul
execută protocolul cu succes (parola sau codul de unică folosință primit prin SMS este corect ),
comerciantul primește un cod de autorizare pentru a -l trimite la banca sa.
Înainte ca 3D Secure să poată fi utilizat pentru autentificarea tranzacțiilor, deținătorii d e
carduri trebuie să înregistreze o parolă la banca lor. O metodă rezonabilă și sigură ar fi ca banca
să trimit ă o parolă la adresa înregistrată a clientului, dar pentru a economisi bani, banca tipică nu
face decât să solicite o parolă online prima dată câ nd clientul comercializează online cu un card
3DS activat. Acest lucru subminează în continuare capacitatea de utilizare și încrederea clienților
și este exploatat de infractori, deoarece site -urile de tip phishing înlocuiesc acest formular pentru
a solici ta detalii bancare .

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 6
Payment Card Industry Data Security Standard (PCI DSS) [5] – Standardul de securitate a
datelor privind industria cardurilor de plată a fost elaborat pentru a încuraja și îmbunătăți
securitatea datelor deținătorului de card și pentru a facilita adoptarea pe scară largă a măsurilor de
securitate a datelor la nivel global. PCI DSS oferă o linie de bază a cerințelor tehnice și operaționale
concepute pentru a proteja datele contului. PCI DSS se aplică tuturor entităților implicate în
procesarea cardurilor de plată – inclusiv comercianților, procesatorilor, achizitorilor, emitenților și
furnizorilor de servicii. PCI DSS se aplică, de asemenea , tuturor celorlalte entități care stochează,
prelucrează sau transmit date deținător de carduri și/sau date de autentificare sensibile.

PCI DSS cuprinde un set minim de cerințe pentru protejarea datelor contului și poate fi
îmbunătățit prin controale și practici suplimentare pentru atenuarea în continuare a riscurilor,
precum și legile și reglementările locale, regionale și sectoriale. În plus, legislația sau cerințele de
reglementare pot necesita o protecție specifică a informațiilor personale sau a alt or elemente de
date (de exemplu, numele titularului cardului). PCI DSS nu înlocuiește legile locale sau regionale,
reglementările guvernamentale sau alte cerințe legale.

Prezentare generală la nivel înalt a celor 12 cerințe PCI DSS [5]:

1. Instala rea și me nține rea unei configurați i firewall pentru a proteja datele deținătorului
de card .
2. Interzisă folosirea valoril or implicite furnizate de furnizor pentru parolele de sistem și
alți parametri de securitate .
3. Proteja rea datel or dețin ătorilor de carduri stocate .
4. Cripta rea transmi siunilor datelor deținător ilor de card în rețelele publice deschise .
5. Proteja rea tuturor sistem elor împotriva programelor malware și actualiza rea periodic ă
a programe lor antivirus .
6. Dezvolta rea și menține rea de sisteme și aplicații sigure .
7. Restrânge rea accesul ui la datele deținătorului de card în funcție de afaceri .
8. Identifica rea și autentifica rea accesul ui la componentele sistemului .
9. Limita rea accesul ui fizic la datele deținătorului de card .
10. Urmări rea și monitoriza rea accesul ui la resursele rețelei și la datele deținătorului de
card.
11. Testar ea regulat ă a sistemel or și procesel or de securitate .
12. Menține rea unei politic i care se adresează securității informațiilor pentru tot personalul .

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 7 4. Securitatea plaților în m -commerce

Utilizar ea unui telefon mobil pentru a efectua plata pentru bunuri și servicii reprezintă o
schimbare către plăți numai digitale și a fost realizată de consumatorii care doresc să facă
cumpărături la magazine sau să transfere fonduri folosind „portofelul digital” mobil. Pentru
majoritatea consumatorilor, capacitatea de a plăti prin telefonul mobil oferă o comoditate mai mare
decât să poarte un portofel tradițional cu mai multe carduri de credit și debit.

Creșterea explozivă a viruși lor și programelor malware care afectează dispozitivele mobile,
alături de pericolul foarte real al dispozitivelor pierdute sau furate a insuflat un sentiment de
neliniște în mintea consumatorilor cu privire la implicațiile pierderii unei mari părți din viața lor
digitală. D acă adăugăm o a doua dimensiune , banii, la acest lucru și riscul plăților neautorizate în
cazul în care un dispozitiv mobil ar fi pierdut, furat sau infectat cu malware, dintr -o dată,
dispozitivele noastre mobile pot deveni păzitorii libertății noastre fin anciare și implicațiil e
pierderii mobilelor noastre sau a acestora fiind susceptibil e la hacking cresc semnificativ.

Metode de plată :

• Portofel Digital – Stochează valoarea în formă digitală și permite unei persoane fizice să
cumpere un articol online sau să trimită fonduri prietenilor sau familiei. În funcție de tipul
portofelului digital utilizat, informațiile stocate pot include date despre carduri de debit, credit,
preplată sau fidelitate, precum și informații personale ale titularului de card, cum ar fi permisul
de conducere, cardul de sănătate, cardurile de fidelitate și alte documente de identitate.

• Portofel Mobil – Unele portofele mobile, precum Android Pay, Apple Pay și Samsung Pay,
sunt combinații specifice de software și hardware pe anumite disp ozitive, toate încearcă să
înlocuiască utilizarea cardurilor tradiționale de credit/debit cu telefoane mobile.

• Portofel Monedă Digitală – Acestea lucrează într -o manieră diferită de portofelele digitale
tradiționale. De obicei, stochează chei private care reprezintă proprietatea unei monede
digitale, cum ar fi Bitcoin. Odată ce un utilizator dorește să transfere valoare altui utilizator,
plătind astfel un bun sau doar o trimitere de fonduri, cheia privată este utilizată pentru a semna
proprieta tea acelui activ digital celui de -al doilea utilizator. Portofelul transmite apoi
tranzacția către o rețea de clienți care se întrec pentru a verifica tranzacția și o includ în
registrul distribuit, cunoscut și sub numele de Blockchain. Imediat ce tranzacția este
confirmată în Blockchain, se spune că plata s -a realizat .

• Tehnologii de comunicare a plății fără contact – Portofelele mobile bazate pe dispozitive pot
utiliza diferite tipuri de tehnologii de comunicații pentru a transmite date le de plată de la
dispozitivul mobil la punctul de vânzare (POS) al comerciantului. Unele forme de comunicare
mobilă către POS includ Magnetic Secure Transmission (MST), Near Field Communication
(NFC), Cod Recunoaștere Rapidă (QR), Bluetooth, Bluetooth Lo w Energy (BLE) și Servicii
de Mesaje Scurte (SMS), precum și internet.

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 8
Google Pay

Google Pay este o platformă de portofel digital și
un sistem de plată online dezvoltat de Google pentru a
asigura achizițiile în aplicație și plata fără contact (tap –
to-pay) a dispozitivelor mobile, permițând utilizatorilor
să efectueze plăți cu telefoane, tablete sau ceasuri
Android.

Fig. 4. – Logo Google Pay [11]
Inițial Google Wallet stoca informațiil e sale de plată sensibile pe Secure Element ( Elementul
Securizat ), un cip rezistent la modificări cu un microcontroler securizat, care este proiectat pentru
a stoca în siguranță date confidențiale și criptografice. De atunci, Google și -a schimbat direcția,
folosind HCE – Host Card Emulation ( Emularea Cardului Gazdă) după ce a anunțat Android Pay
în Mai 2015, ceea ce înseamnă, de fapt, că datele de plată sunt stocate în cloud. De la 8 Ianuarie
2018, vechile Android Pay și Google Wallet s -au unit într -un singur s istem de plată numit Google
Pay.

Google Pay folosește Near Field Communication (NFC) pentru a transmite informații despre
carduri le care facilitează transferul de fonduri către retailer. Înlocuiește cipul de card de credit sau
debit și tranzacția PIN sau bandă magnetică la terminalele punctului de vânzare (POS) , permițând
utilizatorului să încarce aceste informații în portofelul Googl e Pay. Este similar cu plățile fără
contact deja utilizate în multe țări, cu adăugarea autentificării cu doi factori. Serviciul permite
dispozitivelor Android să comunice fără fir cu sisteme de punct de vânzare (POS) utilizând o
antenă de comunicare în câm p magnetic (NFC), o emulație de carduri gazdă (HCE) și securitatea
Android.

Înregistrarea unui Card Bancar în Google Pay

Utilizatorii Google Pay trebuie să înregistreze mai întâi cardurile de debit sau de credit cu
Google Pay. Google Pay (și Google) des carcă responsabilitatea de identificare a utilizatorului la
banca clientului. Prin urmare, oferă doar o serie de opțiuni de identificare, care pot fi utilizate de
emitentul cardului pentru a decide dacă identitatea clientului este verificată.
Utilizatorul care înscrie un card pe Google Pay trebuie să fie conștient de faptul că numărul
cardului va fi transmis și stocat pe serverul cloud Google.

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 9

1. Pentru a adăuga un card bancar în Google Pay
prima dată se apasă butonul “+ Payment
method”.

Fig. 5. – Ecran metode plată Google Pay [12]

2. Sunt cerute datele cardului bancar: numărul
de card, data de expirare a cardului și codul de
validare al cardului (CVC) de pe spatele cardului.
De asemenea se cere si adresa de facturare a
contului bancar respectiv.

Fig. 6. – Introducerea datelor cardului bancar în Google Pay [12]

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 10

3. Termenii și condițiile băncii emitente tr ebuie
citite și acceptate pentru a continua procesul.

Fig. 7. – Termeni și condiții în procesul de
înrolare card bancar în Google [12]

4. Google Pay contactează banca emitentă și
transmite datele introduse. Banca verifică aceste
date.

Fig. 8. – Ecran așteptare până banca verifică datele cardului [12]

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 11

5. După verificarea datelor cardului, banca
emitentă poate cere verificare identității
utilizatorului. Aceasta se poate face prin mai multe
metode, oferite utilizatorului.

Fig. 9. – Verificare identității utilizatorului Google Pay [12]

6. Pentru a putea folosi telefonul mobil pentru a
face o plată, telefonul trebui deblocat. Pentru
mai multă siguranță, un cod PIN de patru cifre
poate fi adăugat și cerut înainte de fiecare
plată.

Fig. 10. – Ecran final în procesul de înrolare
card bancar în Google Pay [12]

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 12 Rețelele Wireless [8] reprezintă o sursă mai mare de risc din cauza numărul ui mare de puncte
de acces. Securitatea rețelelor wireless este construită pe conexiuni între utilizatori prin puncte de
acces predefinite , bazate pe protocoale pentru accesul securizat la rețea. Actual ele protocoalele de
securitate p entru rețelele cu fir nu mai sunt utilizate în rețele wireless .

Principalele protocoale de securitate in rețelele wireless :

• Wired Equivalent Privacy (WEP ) – a fost dezvoltat pentru rețele fără fir și aprobat
ca standard de securitate Wi -Fi în septembrie 1999. Se presupunea că WEP oferă
același nivel de securitate ca rețelele cu fir, cu toate că există o mulțime de probleme
de securitate cunoscute în WEP, c eea ce este de asemenea ușor de rupt și greu de
configurat.
În ciuda tuturor lucrurilor care s -au făcut pentru îmbunătățirea sistemului WEP,
acesta este încă o soluție extrem de vulnerabilă. Sistemele care se bazează pe acest
protocol ar trebui să fie actualizate sau înlocuite în cazul în care nu este posibilă
actualizarea securității. WEP a fost abandonat oficial de Alianța Wi -Fi în 2004.
• Wi-Fi Protected Access (WPA ) – Pentru perioada în care a fost dezvoltat standardul
de securitate wireless 802.11i, WPA a fost utilizat ca o îmbunătățire temporară a
securității pentru WEP. Cu un an înainte ca WEP să fie abandonat oficial, WPA a fost
adoptat în mod oficial. Majoritatea aplicațiilor WPA moderne folosesc o cheie pre –
partajată (PSK), cea mai adesea denumită WPA Personal și Protocolul pentru
integritatea cheii temporale (TKIP ) pentru criptare. WPA Enterprise utilizează un
server de autentificare pentru generarea de chei și certifica te.
WPA a reprezentat o îmbunătățire semnificativă față de WEP, dar, deoarece
componentele de bază au fost făcute astfel încât acestea să poată fi extinse prin
actualizări de firmware pe dispozitivele WEP, acestea se bazau î n continuare pe
elementele exploatate.
• Wi-Fi Protected Access version 2 (WPA2 ) – Protocolul bazat pe standardul de
securitate wireless 802.11i a fost introdus în 2004. Cea mai importantă îmbunătățire a
WPA2 față de WPA a fost utilizarea standardului avansat de criptare (AES). AES este
aprobat de guvernul SUA pentru criptarea informații lor clasificate drept top secret,
deci trebuie să fie suficient de bun pentru a proteja rețelele de domiciliu.
În moment ul de f ață, principala vulnerabilitate la un sistem WPA2 este atunci când
atacatorul are deja acces la o rețea Wi -Fi securizată și poate obțin e acces la anumite
chei pentru a efectua un atac asupra altor dispozitive din rețea. Acestea fiind spuse,
sugestiile de securitate pentru vulnerabilitățile cunoscute WPA2 sunt în mare parte
semnificative pentru rețelele nivelurilor de întreprindere și nu sunt relevante pentru
rețelele mici de acasă.
Din păcate, posibilitatea atacurilor prin Wi -Fi Protected Setup (WPS) este încă
ridicată în punctele de acces WPA2 actuale, care este de asemenea și problema
protocolu lui WPA. Și chiar dacă spargerea într-o rețea securizată W PA/WPA2 prin
această vulnerabilitate va dura oriunde în jur de 2 până la 14 ore, este încă o problemă
reală de securitate, iar WPS ar trebui să fie dezactivat și ar fi bine dacă firmware -ul
punctului de acces ar putea fi resetat la o distribuție care nu acceptă WPS pe ntru a
exclude în întregime ace astă posibilitate de atac.

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 13

Riscuri potențiale pentru plăți mobile [6]:

1. Amenințările utilizatorilor aplicației de plată mobilă
– Phishing și inginerie socială
– Instalarea aplicațiilor neverificate și a programelor malware
2. Amenințările dispozitivelor mobile
– Acces neautorizat la dispozitivul mobil pierdut sau furat
– Instalarea programelor malware pe dispozitiv
3. Amenințări pentru aplicații de plată mobilă și portofel digital
– Inginerie inversă a codul ui sursă al aplicației
– Modificarea nepermisă aplicației de plată pentru mobil
– Permisii de acces la sistemul de operare mobil
4. Amenințările comercianților
– Încărca rea malware pe terminalul de plată fără contact POS
– Atacuri „Man in The Middle” ( MiTM ) împotriva terminalului fără contact POS
și conexiunile serverului POS
5. Amenințări ale furnizorilor de servicii de plată
– Compromi terea sistemelor de plată
– Compromi terea conectivității și transmisiei datelor
6. Amenințările furnizorilor rețelei de plată
– Compromiter ea serviciil or și serverel or furnizo are de servicii Token
– Refuzarea serviciilor de decontare a plăților
7. Amenințările emitenților
– Compromi terea procesului de autorizare de plată
– Compromi terea datelor confidențiale ale deținător ilor de carduri
– Compromi terea datelor Token
8. Amenințări le furnizori lor de aplicații mobile de plată (servere și servicii cloud)
– Compromi terea datelor confidențiale ale deținător ilor de carduri
– Atacuri „ Dynamic Denial of Service” (DDoS)

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 14 5. Concluzii

Soluțiile IT de securitate sunt esențiale pentru toate tipurile de afaceri, în special atunci când
vă gândiți la cât de importante sunt internetul și sistemele dvs. digitale pentru operațiunile
cotidiene.

În 2017, mai mult de 46% din întreprinderile din Marea Britanie au suferit un atac cibernetic
și, fără cele mai bune soluții de securitate cibernetică, multe dintre aceste aface ri au avut de suferit ,
cu urmări precum scăder ea încrederii clienților și chiar furtul propriu -zis de informații personale.

Principalele avanta je ale unei soluții de securitate cibernetică :

• Poate proteja afacerea dvs. – cel mai mare avantaj este că soluții le în domeniul securității
informatice pot oferi protecție digitală completă afacerii dvs. Acest lucru va permite
angajaților dvs. să navigheze pe internet în orice moment în care au nevoie, și să se asigure
că nu riscă potențialele amenințări.
• Proteje ază informațiile personale – Una dintre cele mai valoroase mărfuri din era digitală
este informația personală. Dacă un virus este capabil să obțină informații personale cu
privire la angajații sau clienții dvs., ei sunt destul de capabili să vândă informaț iile
respective sau chiar să le folosească împotriva lor .
• Permite angajaților să lucreze în siguranță – Fără cele mai bune soluții de securitate
cibernetică pentru afacere , dvs. și angajații dvs. sunt în pericol constant de un potențial
atac cibernetic. Dacă sistemul tău, sau chiar calculatoarele individuale, se infectează
aceasta le poate împiedica într -adevăr productivitatea și chiar te pot obliga să înlocuiești
calculatoarele.
• Protejează productivitatea – Virușii pot încetini calculatoa rele personale și fac posibilă
lucrul la ele practic imposibil. Acest lucru poate provoca mult timp pierdut angajaților
dvs. și poate duce adesea întreaga afacere într -un blocaj.
• Împiedica oprirea site-ului web al afacerii dvs. – Ca afacere, șansele sunt să găzduie ști
propriul site web. Dacă sistemul dvs. se infectează, există șanse foarte reale ca site -ul dvs.
web să fie obligat să se închidă. Acest lucru înseamnă că nu numai că veți pierde bani din
tranzacțiile ratate, dar veți pierde, de asemenea, încrederea clie nților, iar anumiți viruși
pot face adesea daune durabile unui sistem.
• Împiedică programele Spyware – Spyware -ul este o formă de infecție cibernetică, care
este concepută pentru a spiona acțiunile computerului dvs. și transmite informațiile
respective în criminalul infor matic. O soluție excelentă de securitate cibernetică, cum ar
fi firewall -ul Fortinet , poate împiedica acest program spyware să intre în vigoare și să se
asigure că acțiunile angajaților dvs. rămân private și confidențiale la locul de muncă.
• Inspir ă încredere clienți lor dvs. – Dacă puteți dovedi că afacerea dvs. este protejată
eficient împotriva tuturor tipurilor de amenințări cibernetice, puteți inspira încredere în
clienții dvs. Se vor simți mai încrezători atunci când vă a chiziționează produsele sau când
vă utiliz ează serviciile.

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 15 Cu toate acestea, putem găsi și dezavantaje la securit atea cibernetic ă:

• Un dezavantaj principal este dependența lor în internet.
• Reguli incorecte de firewall blochează utilizatorul de la accesarea diverse lor servicii ale
rețelei .
• Face ca sistemul să fie slab performant , prea multă securitate poate fi chiar dăunătoare.
• Software -ul anti -virus tr ebuie actualizat frecvent, deoarece hackerii dezvoltă în mod
constant noi metode pentru a -l bate.
• Este câteodată prea costisito are pentru afaceri le mici .
• Sistemele de securitate pot fi dificil de configurat corect.

SECURITATEA ÎN AFACERI ELECTRONICE ȘI ÎN SISTEMELE DE PLĂȚI ONLINE

Pagina 16 Bibliografie

[1]. J. Zhang, Y . Liu, C . Yu, E-commerce and it ’s Security Technique Analysis , International
Journal of Business and Management, vol. 1, No.6, pp. 529 –551
[2]. X. Ma, Y . Liu, Electronic Commerce Technology and it ’s Security Problems,
International Symposium on Intelligent Information Technology and Security
Informatics, No.3
[3]. N. Sfetcu , Manualul investigatorului în criminalitatea informatică, 2014
[4]. D. Singer, Visa’s 3 -D Secure™: Secure Online Payment Authentication , GIAC Security
Essentials Certification (GSEC) Pr actical Assignment, 2005, Version 1.4c
[5]. Security Standards Council, Payment Card Industry (PCI) Data Security Standard –
Requirements and Security Assessment Procedures , 2018, Version 3.2.1
[6]. European Union Agency for Network and Information Security, Security of Mobile
Payments and Digital Wallets, 2016
[7]. R. Molva, Internet Security Architecture, Publicație în “Computer Networks and ISDN
Systems Journal ”
[8]. K. M. Ataelmanan, M . A. Hassan Al , A review of threats, protocols, and solutions to
enhance the security of wireless networks , IJCSNS International Journal of Computer
Science and Network Security, VOL.19 No.4, 2019
[9]. Wikipedia , Internet Security, https://en.wikipedia.org/wiki/Internet_security, 13.01.20
[10]. S. J. Mu rdoch, R. Anderson , Verified by Visa and MasterCard SecureCode: or, How Not
to Design Authentication
[11]. Logo Google Pay – https://pay.google.com/about/
[12]. Captură ecran – Google Pay
[13]. Nouveau Solutions – Business Cyber Security Benefits .