Bezpieczeństwo transmisji 

zakupu/sprzedaży 

dokonywanych za pomocą 

Internetu

Realizacja płatności kartą płatniczą

Sławomir Bezler

     Dawid Zych

 

 

Zawartość pracy:



Zdefiniowaliśmy problemy jakie występują 

podczas realizacji transakcji.



Opisaliśmy metody rozwiązania tych 

problemów.



Wymieniliśmy metody płatności w 

Internecie.



Wyjaśniliśmy jak przebiega dokonywanie 

płatności kartą płatniczą.



Przedstawimy wybrane wyniki badań 

dostępnych w Internecie.

 

 

Handel elektroniczny

Definicja 1

Handel elektroniczny (ang. electronic 

commerce) jest to zakup i sprzedaż 

informacji, towarów i usług za pomocą sieci 

komputerowych.

Definicja 2

Handel elektroniczny jest wymianą w sieci 

telekomunikacyjnej informacji, służących 

zrealizowaniu finansowego zobowiązania 

tj. płatności.

 

 

Punkty krytyczne

Na zagrożenia bezpieczeństwa 

transmisji ma wpływ zastosowana 

technika  oraz czynnik ludzki. 

Punktami krytycznymi są:



komputer klienta



transmisja płatności poprzez sieć 

internetową



serwery sprzedawcy

 

 

Formy ataków

Wyróżnia się aktywną i pasywną 

formę ataków:

Ataki pasywne:



podsłuchanie tożsamości



podsłuchanie danych

Ataki aktywne:



zmiana informacji



kasowanie informacji 



dopisywanie informacji

 

 

Ochrona informacji

Ochrona danych w systemach 

informatycznych przed niepożądanym 

oddziaływaniem środowiska oznacza: 



ochronę systemu przed intruzami,



utrzymanie poufności, integralności, 

dostępności i spójności danych,



zabezpieczenie przed nieupoważnionym 

lub nieprawidłowym, przypadkowym lub 

umyślnym ujawnieniem, modyfikacją 

lub zniszczeniem danych. 

 

 

Usługi ochrony informacji

Przed wspomnianymi zagrożeniami chronią 

podstawowe usługi ochrony informacji:



kontrola dostępu



identyfikacja



autoryzacja



integralność danych



uwierzytelnienie



niezaprzeczalność



poufność danych



dostępność

 

 

Oprogramowanie



Przesyłanie plików poprzez usługę FTP

Umożliwia pobranie tylko określonych danych. 

Nie ma możliwości uruchomienia programu ani 

oglądania innych danych niż udostępnione



Rozwiązania typu firewall

Najczęściej stosowane zabezpieczenie 

internetowe. Może filtrować ruch w sieci pod 

kątem adresów IP, blokując wewnętrznym 

użytkownikom dostęp do Internetu i 

zewnętrznym dostęp do wewnętrznej sieci 

korporacyjnej – Intranetu.

 

 

Mechanizmy kryptograficzne

Usługi ochrony informacji są realizowane 
poprzez użycie odpowiednich 
mechanizmów kryptograficznych,         z 
których najważniejsze to:



szyfrowanie



podpis cyfrowy



wymiana uwierzytelniająca



mechanizmy integralności



certyfikaty cyfrowe

 

 

Rodzaje algorytmów 
szyfrujących

Rozróżnia się dwa rodzaje algorytmów 

szyfrujących:



algorytmy symetryczne

Uczestnicy komunikacji otrzymują wspólnie ten 

sam klucz, który służy do szyfrowania i 

odszyfrowania.



algorytmy asymetryczne

Każdy uczestniczący w komunikacji otrzymuje 

klucz publiczny i każdorazowo własny tajny 

klucz prywatny, inny klucz służy do szyfrowania 

a inny do odszyfrowania informacji.

 

 

Stosowane algorytmy 
szyfrujące

Symetryczne:



DES (Data Encrytpion Standard)



3DES



RC2, RC4, RC5, RC6



IDEA (International Data Encryption Algorithm)

Asymetryczne:



RSA (Rivest-Shamir-Adleman)



DSA (Digital Signature Algorithm)



system ElGamala



system Diffiego-Hellmana

 

 

Protokoły szyfrujące



SSH (Secure Shell)



SET (Secure Electronic Transaction)



SSL (Secure Socket Layer)



S-HTTP (Secure Hypertext Transer Protocol)



TCP/IP wersja 6 (IPv6)

 

 

Płatności w Internecie:



Kartą płatniczą - pozwala na przeprowadzanie 

transakcji w dowolnym miejscu na świecie bez 

konieczności wymiany waluty i wysyłania przekazu 

pieniężnego, 



Użycie inteligentnych kart płatniczych - karty te 

mają wbudowany mikroprocesor do przechowywania 

danych na temat ilości zgromadzonych na nich 

pieniędzy,



Elektroniczne polecenie pobrania - EDD (Electronic 

Direct Debit) – klient udziela jednorazowo pisemnego 

upoważnienia do pobierania z konta żądanych kwot,

 

 

Płatności w Internecie, c.d.:



Płatności bezpośrednie - przed zakupami w 

Internecie należy wymienić/ zakupić cyberpieniądze, 

są one wyłącznie informacją cyfrową, działają w oparciu 

o przesyłanie, w zakodowanej formie cyfrowych 

„żetonów” będących odpowiednikami kwot 

pieniężnych,



Internet banking- klient ma możliwość przeglądania 

historii swojego konta, a także dokonywania transakcji 

(przelewy, zakładanie rachunków terminowych).

 

 

Płatności za towary kupowane w Internecie 
dzieli się ze względu na wartość pojedynczej 
transakcji, wyróżniając

:



milipłatności (milipaymants) – płatności rzędu kilku, 

kilkunastu groszy, wykorzystuje się je przy opłatach 

realizowanych w systemie pay-per-view, np. za 

przeczytany artykuł,



mikropłatności (micropayments) – płatności od 1 PLN 

do 80 PLN, najczęściej wykorzystywane są przy 

regulowaniu opłat za ściągane z Internetu 

oprogramowanie,



minipłatności (minipayments) – od 80 PLN do 800 

PLN, w granicach tych zawiera się znaczna część 

zakupów przeprowadzanych za pośrednictwem sieci,



makropłatności (macropayments) – powyżej 800 PLN, 

dotyczą np. zakupu komputerów, sprzętu RTV, czy AGD. 

Problem zapewnienia odpowiedniego bezpieczeństwa 

jest tutaj priorytetowy.

 

 

Przebieg płatności kartą 
płatniczą:

1. Klient "podaje" kartę usługodawcy. "Podanie" karty 

usługodawcy, czyli przekazanie poprzez sieć 

telekomunikacyjną numeru karty i daty ważności, może 

nastąpić na trzy sposoby:



poprzez zwykły kanał internetowy (poczta 

elektroniczna, metoda POST w HTTP),



poprzez zaszyfrowany kanał ‑ zrealizowana zatem jest 

usługa poufności,



poprzez telefon.

2. Usługodawca inicjuje wystawienia rachunku, a następnie 

kontaktuje się ze swoim bankiem prosząc o autoryzację 

transakcji.

3. Poprzez sieć międzybankową bank usługodawcy przesyła 

prośbę o autoryzację do banku klienta.

4. Bank klienta wysyła do banku usługodawcy poprzez siec 

międzybankową informację dot. autoryzacji.

 

 

Przebieg płatności kartą płatniczą 
c.d.:

5. Bank usługodawcy przekazuje usługodawcy informacje 

o statusie autoryzacji.

6. W przypadku braku autoryzacji transakcja nie może 

zostać zrealizowana. W przeciwnym przypadku 

usługodawca może zakończyć wystawianie rachunku, 

wysyłając jednocześnie do swojego banku 

potwierdzenie zakończenia transakcji.

7. Po pewnym czasie bank usługodawcy rozlicza się z 

bankiem klienta. Także banki rozliczają się ze swoimi 

klientami.

Dane są przesyłane za pośrednictwem instytucji 

obsługującej kartę płatniczą do banku, który wystawił 

kartę.

 

 

Istotne cechy karty płatniczej:



nazwa organizacji wydającej kartę (np. Visa),



numer karty (zasadniczo 13-16 cyfr),



data ważności (zasadniczo w formacie MM/YY).

W niektórych (dość rzadkich) sytuacjach wymagane jest 

podanie czwartej cechy:



imienia i nazwiska (albo nazwy w przypadku firmy) 

wypisanego (wypisanej) na karcie.

Aby  zweryfikować  poprawność  posiadanego  numeru 

karty płatniczej należy rozpatrzyć dwie cechy:



cechę wspólna dla współczesnego systemu kart płatniczych,



cechę  indywidualną  dla  organizacji  wydającej  określoną 

kartę.

 

 

Cecha wspólna:

Cechę wspólną - algorytm sprawdzania numerów kart 

płatniczych - określa norma [ISO 2894].

Dla łatwiejszego zrozumienia przedstawimy algorytm na 

przykładzie numeru 4251 1000 1000 0830.

1. Wszystkim cyfrom przyporządkujemy na przemian liczbę 

1 albo 2 zgodnie z zasada głoszącą, że ostatnia cyfra 

otrzymuje 1.
4   2   5   1   1   0   0   0   1   0   0   0   0   8   3   0
2   1   2   1   2   1   2   1   2   1   2   1   2   1   2   1

2. Traktując każdą cyfrę numeru karty płatniczej jako 

liczbę, mnożymy ją przez przyporządkowaną liczbę.
4   2   5   1   1   0   0   0   1   0   0   0   0   8   3   0
2   1   2   1   2   1   2   1   2   1   2   1   2   1   2   1
----------------------------------------------------------
8   2  10   1   2   0   0   0   2   0   0   0   0   8   6   0

 

 

Cecha wspólna c.d.:

3. Jeśli otrzymany iloczyn wynosi 10 albo jest większy - 

wyznaczamy resztę z dzielenia przez 10 i dodajemy 1.
4   2   5   1   1   0   0   0   1   0   0   0   0   8   3   0
2   1   2   1   2   1   2   1   2   1   2   1   2   1   2   1
----------------------------------------------------------
8   2  10   1   2   0   0   0   2   0   0   0   0   8   6   0
8   2   1    1   2   0   0   0   2   0   0   0   0   8   6   0

4. Tak otrzymane wyniki dodajemy i sprawdzamy czy są 

podzielne przez 10 - jeśli tak ‑ numer jest prawidłowy.
(8+2 +1 +1 +2 +0 +0 +0 +2 +0 +0 +0 +0 +8 +6 

+0)mod10 =30 mod10=0

numer jest prawidłowy

 

 

Cecha indywidualna

Cechę indywidualną - uporządkowanie zasad wydawania 

kart przez wystawców, doprowadziło do ustalenia 

standardów oznaczeń kart poszczególnych systemów.

I tak: 



numer karty Diners Club zawsze rozpoczyna się od 

cyfry 3 i posiada logo charakterystyczne dla systemu 



numer karty Eurocard, MasterCard, Access zawsze 

rozpoczyna się od cyfry 5 i posiada charakterystyczne 

dla systemu logo i hologram 



karta JCB to numer początkowy od liczby 35 oraz stałe 

logo i hologram 



karta Visa cyfra 4, logo i hologram 



karta POLCARD cyfra 59 lub 6 logo i hologram 



karta PBK Styl liczba 5892 41 lub 6016 20 i logo (w tym 

wypadku logo PBK SA)

 

 

Formy płatności najchętniej 
wybierane w Polsce:

Luty 2000 Sierpień 2000

[1]

 



Zaliczenie pocztowe 52,5% 60,0% 



Przelew bankowy 23,8% 18,0% 



Karta kredytowa 16,3% 14,1% 



Nie wiem 7,5% 7,3% 

Inne wyniki prezentuje i-Metria na podstawie losowo 

wybranych 200 sklepów w Styczniu 2001

[2]



Zaliczenie pocztowe 82,6% 



Płatne dostawcy/kurierowi 72,0% 



Inne 32,6% 



Karta kredytowa 19,7%

[1]

 Dane: ARC Rynek i Opinia, Ľródło: Internet Standard, Styczeń 2001

[2] Dane: i-Metria, Styczeń 2001, Raport eHandel B2C w Polsce

 

 

Spółka eCard świadcząca usługi 
autoryzacji on-line płatności kartami 
przez internet, podaje:



W okresie od 1 stycznia do 31 marca 2004 r. eCard 

zautoryzował 100 792 transakcje o łącznej wartości 

35,2 mln zł. Oznacza, to wzrost obrotów o 381% w 

stosunku do I kwartału ubiegłego roku i 257% wzrost 

liczby transakcji. Średnia wartość transakcji w 

pierwszych trzech miesiącach tego roku wyniosła 

348,95 zł i jest o 48% wyższa niż średnia wartość 

transakcji z I kwartału 2003 r. 



Przy założeniu że kartą płaci średnio niemal 25% 

klientów sklepów internetowych, to można szacować, 

że wartość całej sprzedaży B2C w internecie wynosi 

około 1 mld zł. Wyliczenia te nie uwzględniają obrotów 

generowanych przez serwisy aukcyjne. 

 

 

"Bezpieczeństwo w Internecie. 
Polska 2004 r” – wybrane wyniki 
raportu.

Raport opracowany został przez Georga Grohsa, konsultanta 

ds. informatyki z firmy Inceon na zlecenie Symantec Polska.



polscy użytkownicy Internetu są rekordzistami w Europie 

pod względem liczby prób nieautoryzowanego uzyskania 

dostępu do ich komputerów,



rekordzista został zaatakowany ponad 400 razy - to ponad 

dwukrotnie więcej, niż wynosi europejska średnia,



raport wykazał, że polskich użytkowników Internetu 

najczęściej atakują konie trojańskie - w czasie trwania 

badania odnotowano ponad 15 tys. prób ataków, 

przeprowadzonych przez 57 różnych koni trojańskich, 

zaatakowanych zostało 430 użytkowników - oznacza to, że 

prawdopodobieństwo takiego ataku wynosi 40%,



autorzy raportu szacują, iż ryzyko, że komputer polskiego 

internauty zostanie zaatakowany wynosi ok. 75%.