Pagamento Eletrônico
Através de Dispositivos Móveis
Ismael Costa Thiago da Silva Wellington Rutes
Pagamento Eletrônico Através de Dispositivos Móveis
• Conceitos básicos de M-Commerce.
• Características de Sistemas M-Commerce.
• Modos de Infraestrutura M-Commerce.
• Tipos de arquitetura para sistemas M-Commerce.
• Exemplo de Sistemas M-Commerce.
• Desenvolvimento de um Sistema M-Commerce.
Roteiro
• Objetivo geral:
• Apresentar de forma teórica o que é M-commerce.
• Objetivo específicos: • Apresentar os desafios para implantação de um sistema
M-commerce.
• Mostrar quais os tipos de pagamentos móveis existentes.
• Expor formas de segurança para os sistemas.
• Apresentar diferentes tipos de infraestruturas e arquiteturas
envolvidas.
• Mostrar exemplos atuais de empresas que utilizam a
tecnologia.
• Apresentar aplicação de M-commerce desenvolvida pela
equipe.
Objetivos do minicurso de M-commerce
Pagamento Eletrônico Através de Dispositivos Móveis
Conceitos Básicos do M-Commerce
Objetivos
• Conceitos básicos do M-Commerce.
• Motivação ao tema da Pesquisa.
• Objetivo do M-Commerce.
• Desafios na área.
Pagamento Eletrônico Através de Dispositivos Móveis
5
O que é M-Commerce?
Pagamento Eletrônico Através de Dispositivos Móveis
6
● M-commerce é a sigla usada para designar
MobilE-Commerce que, numa tradução livre,
poderia se chamar de Comércio Eletrônico Móvel.
● Esta tecnologia oferece ao usuário alto grau de
acesso às informações desejadas, permitindo
conduzir transações comerciais enquanto se locomove de um lugar para outro.
M-Commerce: Conceitos
Pagamento Eletrônico Através de Dispositivos Móveis
7
● Profit (2001): ”Pagamento de bens ou serviços
utilizando um dispositivo móvel”.
● Lyytinen (2001): “Envolve o uso de dispositivos de
computação móvel na concretização de diferentes tipos de
transações eletrônicas, possibilitando-as de ocorrer em
qualquer lugar ou hora”.
● Muller-Veerse (1999): “Qualquer transação com valor
monetário que é conduzida através de uma rede de
telecomunicações suportada em equipamentos móveis”.
Objetivo do M-Commerce
Pagamento Eletrônico Através de Dispositivos Móveis
8
• Realizar pagamentos móveis por qualquer tipo
de dispositivo móvel em qualquer lugar ou hora.
Justificativa da Pesquisa sobre M-Commerce
9
Justificativa da Pesquisa sobre M-Commerce
● Smartphones permitem que os usuários
pesquisem produtos a qualquer momento, em
qualquer lugar (IPSOS, 2012).
Pagamento Eletrônico Através de Dispositivos Móveis
10
Justificativa da Pesquisa sobre M-Commerce
● Smartphones são um ponto de compra
emergente (IPSOS, 2012).
Pagamento Eletrônico Através de Dispositivos Móveis
11
Justificativa (Cont.)
Motivos do Aumento da
Venda de Smartphones
● Novos avanços tecnológicos e serviços.
● Maior interoperabilidade entre os sistemas.
● Trabalho fora de escritório.
Pagamento Eletrônico Através de Dispositivos Móveis
12
11/09/2013
O governo brasileiro regulamentou com mais
uma Medida Provisória o sistema de
pagamento móvel no país e autorizou as
operadoras de telecomunicações de oferecer esses serviços no país.
Justificativa (Cont.)
Apoio do Governo
Pagamento Eletrônico Através de Dispositivos Móveis
13
Justificativa (Cont.)
Passado e Futuro das transações
M-Commerce
● Em 2013 o M-Commerce movimentará mais de $ 235 bilhões de dólares em todo o mundo.
● 44% a mais em relação a 2012 que foi $ 163 bilhões.
● Previsão de ir para $ 545 Bilhões em 2015.
(Gartner, 2013)
Pagamento Eletrônico Através de Dispositivos Móveis
14
● Várias empresas já estão apostando na tecnologia para um futuro próximo.
Justificativa (Cont.)
Grandes Empresas
Pagamento Eletrônico Através de Dispositivos Móveis
15
Desafios do M-Commerce
● Confiabilidade no serviço prestado.
● Agilidade na resposta das operações.
● Soluções de baixo custo.
● Segurança nas Transações.
● 82% dos celulares são pré-pagos.
● Difícil adoção pelos clientes e lojistas.
Pagamento Eletrônico Através de Dispositivos Móveis
16
● Fraco poder de processamento das CPUs. ● Baixa disponibilidade de memória (ROM e RAM). ● Dispositivos com telas pequenas. ● Diferentes dispositivos (celulares, PDAs, etc.).
Desafios do M-Commerce (Cont.)
Pagamento Eletrônico Através de Dispositivos Móveis
17
Redes de Telefonia Móvel
● Menor largura de banda.
● Maior latência.
● Baixa estabilidade na conexão.
● Baixa disponibilidade prevista.
Desafios do M-Commerce (Cont.)
Pagamento Eletrônico Através de Dispositivos Móveis
18
Tipos de Infraestrutura
Motivação
• Qualquer sistema de pagamento móvel
necessita se comunicar com um servidor
para sacar e depositar o valor da transação.
• Deve-se definir o tipo da infraestrutura de
acordo com os requisitos de um sistema
M-Commerce (De Almeida, 2012).
Pagamento Eletrônico Através de Dispositivos Móveis
20
Objetivos
• Descrição das principais tecnologias envolvidas:
• GSM (Global System For Mobile).
• GPRS (General packet radio service).
•UMTS (Universal MobileTelecommunications System).
• HSPA (High Speed Packet Access).
• LTE (Long Term Evolution).
Pagamento Eletrônico Através de Dispositivos Móveis
21
Objetivos
• Descrição das principais tecnologias envolvidas:
• WAP (Wireless Application Protocol).
• SMS (Short Message Service).
• MMS (Multimedia Message System).
• USSD (Unstructured Supplementary Service Data).
• Outras.
Pagamento Eletrônico Através de Dispositivos Móveis
22
Pagamento Eletrônico Através de Dispositivos Móveis
23
GSM
(Global System For Mobile)
Pagamento Eletrônico Através de Dispositivos Móveis
• O sistema mais usado no mundo (80%).
• Função básica: Autenticação do Cliente.
• Utiliza SmartCards (Sim Card para
dispositivos móveis).
24
GSM:
SIM CARD
Pagamento Eletrônico Através de Dispositivos Móveis
Composto por:
• Memória ROM.
• Memória EEPROM.
Pode conter:
• Memória RAM.
• Microprocessador.
• Co-processador matemático.
• Portas de I/O.
Especificado na norma ISO/IEC 7816.
25
GSM:
Funcionalidades
• Provê um serviço completo de comunicação
Mobile. Exemplo:
• Paging (Onde está o usuário?).
• Location Update (Estou aqui.).
• Registro (ligado ou desligado?).
• Estabelecimento de chamada, vel. até 9,6kb/s.
• Armazenamento de dados.
Pagamento Eletrônico Através de Dispositivos Móveis
26
GSM: OTA
(Over-The-Air)
• Técnica de aprimoramento da tecnologia GSM.
• Funções complementares ao cartão SIM.
• Permite remotamente alterar ou atualizar dados
no cartão SIM.
• Não necessita de contato ou alteração física.
• O cartão SIM precisa ser compatível.
• Comandos OTA são enviados como binário SMS.
Pagamento Eletrônico Através de Dispositivos Móveis
27
GSM: OTA
Funcionalidades
• Agenda telefônica armazenada no cartão SIM.
• SMS (Short Message Service) entre pessoas.
• Serviços de informação. • Saldo de conta pré-paga.
• Chat.
• Download de tons para o aparelho.
• Barrar e transferir ligações.
• Deixar a chamada em espera.
Pagamento Eletrônico Através de Dispositivos Móveis
28
GSM: OTA
Funcionalidades (Cont.)
•Acesso a dados através de WAP (Wireless
Application Protocol).
• Envio e recebimento de e-mail.
• MMS.
• Mobile Banking.
• E-Commerce.
Pagamento Eletrônico Através de Dispositivos Móveis
29
GSM: OTA
(Aplicação - Mercedes-Benz)
Pagamento Eletrônico Através de Dispositivos Móveis
30
Haverá aplicativos específicos para os automóveis da
marca. monitores de consumo de combustível, mapas e
softwares de geolocalização, além de informações
importantes como pontos de referência e assistências
técnicas da marca espalhadas pelo mundo.
Tablet Embutido
Atualização remota dos
softwares embarcados de
seus carros.
GSM:
Funcionamento
Pagamento Eletrônico Através de Dispositivos Móveis
Autenticação Roaming
31
GSM:
Segurança
- Utiliza criptografia na autenticação:
- Algoritmo A3 – A5/3 – A8.
- Algoritmo DES (antigo) – AES.
Pagamento Eletrônico Através de Dispositivos Móveis
32
GSM:
Vulnerabilidades
Pagamento Eletrônico Através de Dispositivos Móveis
• Inexistência de autenticação da Base Station
perante o dispositivo móvel (p.s: redes 2G).
33
MS Falsa BS Emulada atuando como MS
Verdadeira BS
Interface de ar
7) Requisição de chamada para destino x.
1) Captura alvo.
2) Envia RAND.
3) SRES ignorada.
4) Inicia chamada.
descriptografada
8) Requisita chamada para o mesmo destino x.
5) Inicia chamada
Cifrada
6) Dado descriptografado (e adulterado).
Pagamento Eletrônico Através de Dispositivos Móveis
GSM:
Vulnerabilidades
34
• Milhares de SIM Cards utilizam o DES.
• Karsten Nohl descobriu que enviando
uma SMS falsa solicitando mensagem
automática, 25% dos cartões DES
revelam sua chave de 56bits.
(Fonte: New York Times, jul/2013)
GSM:
Vulnerabilidades
Pagamento Eletrônico Através de Dispositivos Móveis
• Testar vulnerabilidades da operadora de um
celular:
https://srlabs.de/gsm-map-tutorial/
35
GPRS (2,5G)
(General packet radio service)
Pagamento Eletrônico Através de Dispositivos Móveis
• Aumenta até 170kb/s a taxa de transferência do
serviço GSM.
• Transmite dados por pacote, ao invés de
comutação por circuito.
• Utiliza apenas os recursos necessários. Assim
vários usuários podem usar o meio (Internet).
36
EDGE (2,75G)
(Enhanced Data Rates for GSM Evolution)
Pagamento Eletrônico Através de Dispositivos Móveis
• Mantém a estrutura GSM.
• 3 vezes mais rápido na transferência que o
GPRS.
• Implementa novos sistemas de modulação.
• Navegação web ainda lenta (alta latência).
37
Principais diferenças entre:
GSM, GPRS e EDGE
Pagamento Eletrônico Através de Dispositivos Móveis
38
ITC = Intervalos de Tempo de Canal.
Evolução 2G
Pagamento Eletrônico Através de Dispositivos Móveis
39
3G 40
3G: UMTS (Universal Mobile Telecommunication System)
Pagamento Eletrônico Através de Dispositivos Móveis
• Utiliza a estrutura WCDMA.
• Compatibilidade com interface IS-41.
• Definida pela 3GPP (3ª Geração de Telefonia Celular).
• Formada por 3 canais:
• Lógico: identificação da informação transportada.
• Transporte: caracteristicas dos dados pela inteface.
• Físico: transportam os canais pela interface aerea.
41
3G: WCDMA (Wideband Code Division Multiple Access)
Pagamento Eletrônico Através de Dispositivos Móveis
• Velocidade de até 100% a mais que a 2G.
• Possibilita:
• Serviços de dados.
• Jogos.
• Aplicativos.
• Sons / Imagens.
42
3G: WCDMA (Wideband Code Division Multiple Access)
Pagamento Eletrônico Através de Dispositivos Móveis
• HSPA (High-Speed Uplink Packet Access).
• É a principal evolução do WCDMA.
• Download até 14,4Mbps.
• Upload até 5,76Mbps.
43
4G: LTE
(Long Term Evolution)
Pagamento Eletrônico Através de Dispositivos Móveis
• Faz parte das redes telefónicas móveis de
quarta geração.
• Atinge até 100 Mbit/s na velocidade de largura
de banda.
• A principal vantagem, em relação a alternativas
como o WiMax, é a compatibilidade com as
tecnologias anteriores (GSM e UMTS). 44
POS
(Point of Sale)
Pagamento Eletrônico Através de Dispositivos Móveis
45
• Equipamento que realiza transação de cartão de
crédito. • Máquinas de cartão de crédito ou outros terminais
eletrônicos de vendas. • POS Virtual
• Cliente interage com um vendedor à distância.
• Páginas de compra de produtos.
• Exemplo - Personalização de dispositivos móveis:
• Download de toques.
• Imagens de fundo.
• Jogos.
P2M
(Pagamentos em maquinas automáticas)
Pagamento Eletrônico Através de Dispositivos Móveis
46
• Caso específico de ponto
de venda (POS).
• Processo automatizado.
• valor do pagamento é em
geral reduzido.
P2P
(Peer to Peer )
Pagamento Eletrônico Através de Dispositivos Móveis
47
• Pessoas que compartilham documentos em
lojas digitais.
• Sem necessidade de um intermediador.
• Vendedor e cliente possuem o mesmo tipo de
equipamento.
“Para Banco Central, transferências
P2P serão o começo do pagamento
móvel” (Grossmann , 2013).
Pagamento Eletrônico Através de Dispositivos Móveis
48
Siglas
• G: GPRS (General Packet Radio Service), pode transmitir
dados com velocidade de até 171,2 Kb/s (kilobits por
segundo), normalmente não passando de 80 Kb/s.
• E: EDGE (Enhanced Data Rates for GSM Evolution), um
pouco melhor que o GPRS, sendo capaz de transmitir dados
à taxa de 473,6 Kb/s, embora dificilmente ultrapasse 384
Kb/s.
• H: HSPA (High Speed Packet Access). Alcança
velocidades relativamente altas, de até 14 Mb/s (megabits
por segundo), embora taxas tão elevadas dificilmente sejam
atingidas no Brasil.
Pagamento Eletrônico Através de Dispositivos Móveis
49
Siglas
• H+: HSPA+, também chamado de Evolved
HSPA (HSPA Evoluído). Pode trabalhar com taxas de
até 168 Mb/s para download e 22 Mb/s para upload.
• 3G: Geralmente faz referência à tecnologia
UMTS (Universal Mobile Telecommunications Service),
que pode atingir velocidades de até 2 Mb/s.
SMS
Pagamento Eletrônico Através de Dispositivos Móveis
50
SMS
Pagamento Eletrônico Através de Dispositivos Móveis
• Usa o canal GSM para transportar mensagens
(torpedos) de até 255 caracteres.
• Foi lançado em 1991 na segunda geração de
dispositivos móveis.
51
SMS
Pagamento Eletrônico Através de Dispositivos Móveis
• Muito popular.
• Adotada por empresas para
solução de pagamento móvel.
• As mensagens enviadas ficam
temporariamente armazenadas na
rede até o destino ficar disponível.
52
SMS
Segurança/Vulnerabilidades
Pagamento Eletrônico Através de Dispositivos Móveis
• Problemas herdados do GSM.
• (Interceptar, ler, alterar na transmissão da mensagem).
• Geralmente não garante confidencialidade ou
integridade das mensagens.
• Foi desenvolvido na USP, para o Bradesco.
• Guardada em “claro” no dispositivo móvel.
• Inexistência de autenticação do usuário para
enviar mensagens. 53
USSD
(Unstructured Supplementary Service Data)
Pagamento Eletrônico Através de Dispositivos Móveis
• Semelhante ao SMS.
• Mensagens de até 182 caracteres.
• Orientado a sessão.
• Melhor tempo de resposta.
54
Pagamento Eletrônico Através de Dispositivos Móveis
• Padrão usado por muitos aparelhos,
• Mensagem aparece automaticamente na tela.
• Não é possível enviar uma mensagem USSD de
um celular para outro celular.
USSD
(Unstructured Supplementary Service Data)
55
USSD
Segurança/Vulnerabilidades
Pagamento Eletrônico Através de Dispositivos Móveis
• Vulnerabilidades semelhantes ao SMS.
• A diferença é que as mensagens não ficam
armazenadas no celular.
56
MMS
(Multimedia Message System)
Pagamento Eletrônico Através de Dispositivos Móveis
• Evolução do SMS.
• Via canal GPRS.
• Enviar mensagens
multimídia de até
30.000 caracteres.
57
WAP
(Wireless Application Protocol)
Pagamento Eletrônico Através de Dispositivos Móveis
• Criado em 1997 pelo WAP Fórum (Ericson, Nokia
e Phone.com).
• Especifica um ambiente de aplicação e uma pilha
de protocolos wireless.
• Dentre eles o WTAI que prove uma interface
computador-telefone.
58
Pagamento Eletrônico Através de Dispositivos Móveis
• O WAP funciona sobre GSM e muitos outros
canais de redes mobile.
• Prove que dispositivos móveis acessem a internet
via browser.
• O WAP usa o HTML + XML (WML) e o WMLScript.
• O WMLScript é muito similar ao JavaScript, só que
demanda de menos poder de processamento.
WAP
(Wireless Application Protocol)
59
Pagamento Eletrônico Através de Dispositivos Móveis
• O WAP é independente de dispositivos.
• Ele auxilia que todos os dispositivos móveis
que adotem o padrão, tenham recurso de
navegação.
WAP
(Wireless Application Protocol)
60
Pagamento Eletrônico Através de Dispositivos Móveis
• Permite comunicação entre 2 dispositivos (até 1 metro).
• Atinge débitos até 4.0 Mbit/s.
• Facilidade de configuração e uso.
• Consumo reduzido de energia.
• Muitos dispositivos que já a suportam.
IrDA
(Infrared Data Association)
Pagamento Eletrônico Através de Dispositivos Móveis
Bluetooth • Uma das mais usadas nos pagamentos móveis.
• Opera na banda dos 2.4 GHz / velocidades até 2
Mbit/s.
• Universalidade e o consumo de energia.
• Preocupação com confidencialidade e autenticação
dos dispositivos. • Cifra com chaves de 128 bits.
• processo de emparelhamento executado na fase inicial da
comunicação entre dois dispositivos (por vezes visto como
uma parte negativa do protocolo por atrasar
estabelecimento da ligação).
Pagamento Eletrônico Através de Dispositivos Móveis
RFID
(Radio-frequency identification)
• Identificação de clientes / segurança de lojas de vestuário.
• Utiliza campos eletromagnéticos para comunicação.
• Alcance pode variar entre alguns centímetros e 100 metros.
• Um dispositivo RFID pode ser: 1. Passivo: sem alimentação própria, é alimentado pelo sinal do emissor.
2. Ativo: alimentação própria, (consome mais energia / maior alcance).
3. Misto: alimentação própria apenas para alimentar os circuitos do
dispositivo, utilizando o sinal do emissor para alimentar a comunicação.
RFID consume ainda menos energia que as tecnologias
anteriores
• Deficiência devido a de interagir com vários receptores.
• Dois leitores RFID podem causar interferências entre si.
Pagamento Eletrônico Através de Dispositivos Móveis
• O NFC opera na frequência dos 13,56 MHz e permite
velocidades até 424 Kbit/s.
• Visto como uma tecnologia que permite ao dispositivo
móvel simular um cartão contactless.
• Em estado de inicial de adoção.
• Opera nos seguintes modos:
• P2P, comunicando com outro dispositivo NFC.
• Como leitores de etiquetas NFC.
• Simulação de uma etiqueta NFC.
NFC
(Near Field Communication)
64
• Um dispositivo para ser compatível precisa ter:
• Antena: responsável por assegurar a comunicação
com outros dispositivos.
• Chip NFC: componente central da tecnologia.
Assegura a ligação da antena ao elemento seguro e
ao resto do dispositivo.
• Elemento seguro: guarda dados e executa
aplicações de forma segura. Pode existir mais do que
um elemento seguro por dispositivo.
Pagamento Eletrônico Através de Dispositivos Móveis
NFC
(Near Field Communication)
65
Pagamento Eletrônico Através de Dispositivos Móveis
• Forma rápida, fácil e exata de captura automática
de dados.
• Ex: ver preços de produtos na prateleira.
• Códigos numéricos e alfanumericos:
Código de Barras
66
Pagamento Eletrônico Através de Dispositivos Móveis
• Desempenho perdido por:
• Baixo constraste.
• Espalhamento de tinta.
• Falhas de impressão.
• Zonas de “silêncio”.
Código de Barras
67
Pagamento Eletrônico Através de Dispositivos Móveis
QR Code
(Quick Response Code)
68
• Criado no Japão em 1994.
• É um código de barras bidimencional.
• Armazenam mais informações sobre os produtos.
• Uma especie de “link”.
• Lido através de uma câmera digital.
• Lê imagens de baixa resolução.
Pagamento Eletrônico Através de Dispositivos Móveis
QR Code
(Quick Response Code)
69
• 2D Armazena até 72Kbytes de
informação.
• 3D armazena até 1,8MB de
informação.
• Podem ainda representar dados
binários, onde é possivel efetuar a
cifragem.
Características
do M-Commerce
Objetivos
• Tipos de valores monetários das transações:
• Tipos de Interação.
• Pagamento a distância.
• Pagamento de proximidade.
• Tipos de transações.
• Conceitos de Segurança.
Pagamento Eletrônico Através de Dispositivos Móveis
71
Características de Sistemas de Pagamento Móvel
Pagamento Eletrônico Através de Dispositivos Móveis
Conjunto de tecnologias, regras, protocolos e costumes que tornam
possível que empresas e pessoas troquem dinheiro eletrônico.
Constituirão um importante pilar para as economias do futuro.
Devem garantir a atomicidade de suas transações e, principalmente, a
segurança da sua infraestrutura.
Dinheiro eletrônico
Pagamento Eletrônico Através de Dispositivos Móveis
• Armazenamento eletrônico de valores em dispositivos
específicos.
• Pode ser usado para realizar pagamentos a empresas, que
não seja o próprio emitente.
• Atua como um instrumento pré-pago ao portador.
• Para ser utilizado com a mesma flexibilidade que dinheiro
em espécie deve possuir algumas características
essenciais.
Pagamento Eletrônico Através de Dispositivos Móveis
Sucesso de um sistema de pagamento eletrônico
• Garantir a sua integridade e de suas transações. • Ampla aceitação e difusão em território nacional. • Fácil uso. • Baixo custo associado a suas transações. • Permitir pagamentos dentro de uma grande faixa de valores. • Agilidade nas suas operações. • Transmitir credibilidade e confiança.
Pagamento Eletrônico Através de Dispositivos Móveis
Valor Monetário das Transações
• Micro pagamento: • Pagamentos até €2.
• Segurança pode ser um pouco mais relaxada.
• Rapidez.
• Anonimato.
• Mini pagamento: • Pagamentos desde €2 até €25.
• Características são um meio-termo entre os micro e macro.
• Macro pagamento: • Quando a quantia do pagamento aumenta, o custo da
transação torna-se desprezível em relação ao valor do
pagamento.
• Segurança do pagamento.
• Rapidez da transação torna-se menos importante.
Pagamento Eletrônico Através de Dispositivos Móveis
Tipos de Interação
• Pagamento a distância:
• Recebe a informação da transação remotamente.
• Cliente interage com um vendedor à distância.
• Ponto de venda virtual ou POS (Point of Sale) virtual.
•Pagamentos C2C (customer to costumer) remotos.
• Pressupõem a utilização de tecnologias de comunicação
em modo de infra-estrutura.
• GSM, SMS, USSD, GPRS, WAP, LTE, UMTS e HSPA.
Pagamento Eletrônico Através de Dispositivos Móveis
Tipos de Interação (Cont.)
• Pagamento de proximidade:
• O dispositivo do utilizador interage diretamente com o destinatário.
• Pode ou não existir comunicação com um servidor durante a
transação.
• Engloba situações como:
• Pontos de venda (POS).
• P2M (pagamentos em maquinas automáticas).
• P2P (Peer to Peer).
• Esta categoria usa também tecnologias de comunicação de curto
alcance.
• IrDA , Bluetooth, RFID, QR Code, NFC, código de barras.
Pagamento Eletrônico Através de Dispositivos Móveis
Tipos de Transações
•O conceito de transação agrupa os sistemas em duas
categorias:
• Account-based: • Associada a uma conta bancária, cartão de crédito,
operadora ou outra entidade.
• A transação é representada por uma mensagem que
contém a informação necessária para identificar o
pagamento.
• Assim como nos cheques, a prova da transação é uma
assinatura (assinatura digital).
• Geralmente utilizando criptografia assimétrica
acompanhada por certificados digitais.
Pagamento Eletrônico Através de Dispositivos Móveis
Tipos de Transações (Cont.)
• Baseado em tokens: • Comparável à utilização de moedas e notas.
•O objeto que representa a transação não é criado durante a
mesma.
• Quando o pagamento é efetuado o cliente já possui um
objeto válido.
• São constituídos por 3 fases: 1. Ocorre um levantamento de dinheiro ou carregamento de um
cartão.
Cliente adquire os tokens que permite executar pagamentos.
2. Troca de tokens entre os participantes.
Seguida de uma verificação da validade dos mesmos por quem os
recebe.
3. Depósito = entrega dos tokens recebidos em transações à entidade
central do sistema.
Criptografia e Segurança
Pagamento Eletrônico Através de Dispositivos Móveis
• Em toda transação realizada pela Internet existe tráfego
de informação entre um cliente e um servidor.
• Transferem-se dados pessoais como números de
cartões de crédito e senhas de bancos.
• Cliente deve ter garantias de segurança do tráfego
dessas informações.
• Existem diferentes protocolos e tecnologias para
garantir segurança e confidencialidade na Internet.
• Utilizam o uso de chaves públicas, algoritmos de
criptografia e autenticação do cliente, entre outros.
Pagamento Eletrônico Através de Dispositivos Móveis
• WAP com base em WTLS (Wireless Transport Layer Security):
• Similar ao protocolo de segurança de transporte da Internet.
• Fornece autenticação, integridade dos dados e privacidade de
serviços dentro das limitações dos hardwares utilizados na
tecnologia wireless.
• SSL (Secure Socket Layer) :
• Oferece autenticação, integração de dados e privacidade de
serviços.
• Protocolo é considerado inferior comparando-se às fracas
CPUs, baixas larguras de banda e alta latência das redes
wireless.
• Não fornece uma segurança fim a fim.
Protocolos para Assegurar a Confidencialidade
Pagamento Eletrônico Através de Dispositivos Móveis
• XML SIGNATURE: • Iniciativa conjunta da IETF e do W3C.
• Com base na independência de linguagem de programação.
• Fácil interpretação humana e independência de fabricante.
• Permite assinar digitalmente subconjuntos de um documento XML.
• XML ENCRYPTION : • Especifica um processo para cifragemde dados e sua representação
em XML.
• Os dados podem ser:
• Dados arbitrários (incluindo um documento XML).
• Elementos XML.
• Conteúdos de elementos XML.
• Apenas o proprietário da chave criptográfica“ conseguirá
compreender o conteúdo do que foi criptografado.
Protocolos para assegurar a confidencialidade confidencialidade (Cont.)
Pagamento Eletrônico Através de Dispositivos Móveis
• XKMS (XML Key Management Specification): • Com base em XML/SOAP para distribuição e registro de chaves públicas. • Inclui funções para informações sobre chaves, registro, verificação e revogação. • Suporte para gerenciamento de chaves para tecnologias como XML Signature e XML
Encryption.
• WS-SECURITY (Web Services Security): • Iniciativa conjunta de empresas como Microsoft, IBM e Verisign. • Destinada ao uso da XML Signature e da XML Encryption. • Fornecer segurança a mensagens SOAP. • Esforço destinado a fazer com que os Web Services trabalhem melhor em um
ambiente global. • Inclui alguns componentes como roteamento, confiabilidade e tratamento de
transações.
• SAML (Security Assertion Markup Language): • Padrão emergente para a troca de informação sobre autenticação e autorização. • Possibilidade de utilizadores transportarem seus direitos entre diferentes Web
Services.
Protocolos para assegurar a confidencialidade confidencialidade (Cont.)
COMPARAÇÃO ENTRE AS DIFERENTES TECNOLOGIAS
Pagamento Eletrônico Através de Dispositivos Móveis
WAP/WTLS SLL XML
Signature XML
Encryption XKMS
WS Security
SAML
Uso de XML Não Não Sim Sim Sim Sim Sim
Independência de plataforma
Não Não Sim Sim Sim Sim Sim
Suporte a chaves PKI
Sim Sim Sim Sim Sim Sim Sim
Segurança fim-a-fim com Web Services
Não Não Sim Sim Sim Sim Sim
Integridade Sim Sim Sim Sim Sim Sim Não
Autenticação da mensagem
Sim Sim Sim Não Sim Sim Não
Autenticação do Cliente
Sim Sim Sim Não Sim Sim Sim
Exemplos de Arquiteturas
para Sistemas de
Pagamentos Móveis
Objetivos
• Exemplificar arquiteturas para sistemas de
Pagamento Móveis.
• Apresentar arquitetura SEPA: SCT.
• Apresentar arquitetura GSMA.
Pagamento Eletrônico Através de Dispositivos Móveis
86
European Payments Council (EPC):
● A EPC é uma instituição europeia cujo objectivo
é a criação de uma área (SEPA) em que os
pagamentos sejam executados de forma independente das fronteiras nacionais.
● EPC definiu procedimento para executar
transferências a crédito (SCT) e débitos diretos (SDD).
Pagamento Eletrônico Através de Dispositivos Móveis
87
EPC: Arquitetura SCT
● É constituída pelos seguintes componentes:
● Cliente:
● Entidade que inicia a transação.
● O valor do pagamento é descontado da sua conta bancária.
● A conta do cliente é identificada pelo seu IBAN.
● Vendedor:
● Entidade que recebe o pagamento.
● A sua conta é identificada pelo IBAN correspondente.
● Mecanismos de Compensação e Liquidação: ● Conjunto que entidades que permitem aos bancos
comunicarem e efetuarem transferências entre si.
Pagamento Eletrônico Através de Dispositivos Móveis
88
EPC: Arquitetura SCT
● Banco do Cliente:
● Instituição bancária aderente à SEPA na qual o cliente tem uma conta.
● É identificado pelo seu BIC (Business Identifier Code).
●Banco do Vendedor:
● Instituição bancária aderente à SEPA na qual o vendedor tem uma conta. ● É identificado pelo seu BIC. ● Pode ser o mesmo banco do cliente.
Pagamento Eletrônico Através de Dispositivos Móveis
89
90
EPC: Arquitetura SCT
Pagamento Eletrônico Através de Dispositivos Móveis
Comunicação Interbancária
Banco do Cliente Banco do Vendedor
Operadora de telecomunicações
Comunicação via GSM, GPRS,
UMTS, HSPA, etc...
Dispositivo do Cliente Elemento seguro (SIM)
ISSO 7816
Vendedor
3 1
2
GSM Association (GMSA):
● GMSA: associação de operadoras de telefonia móvel
e empresas relacionadas para: ● Apoiar a padronização.
● Implementação. ● Promoção do sistema de telefonia móvel GSM.
● O EPC: ● Em associação com a GSMA desenvolveu
um standard. ● Pagamentos com origem em dispositivos móveis.
Pagamento Eletrônico Através de Dispositivos Móveis
91
GSM Association (GMSA):
● Foi utilizado a estrutura definida pela
GlobalPlatfrom (GP).
● Define um ator adicional, o CKLA (Confidential
Key Loading Authority).
● CKLA:
● Permite a configuração de chaves no smartcard
do dispositivo do cliente de forma confidencial.
● A arquitetura da GP considera ainda o
fornecedor de smartcards.
Pagamento Eletrônico Através de Dispositivos Móveis
92
EPC: Arquitetura SCT
Pagamento Eletrônico Através de Dispositivos Móveis
93
Provedor de serviço/ Banco do cliente
Comunicação em modo de infraestrutura
Celular do cliente
Cartão SIM
OTA Operadora
SIM vendedor
Autenticação de controle
Gerência de Serviços confiáveis
Exemplo de Sistemas de
Pagamento Móveis
Objetivos
• Apresentar diversos sistemas M-Commerce
que já foram desenvolvidos, estes são:
• SEMOPS.
• M-Pesa.
• fairCASH.
Pagamento Eletrônico Através de Dispositivos Móveis
• mFerio.
• Oi Paggo.
95
Secure Mobile Payment Service (SEMOPS):
● SEMOPS é um projeto europeu iniciado em
2002, baseado na cooperação entre bancos e operadoras.
● O sistema é um dos mais complexos e completos, e disponibiliza uma série aplicações.
Pagamento Eletrônico Através de Dispositivos Móveis
96
97
Secure Mobile Payment Service (SEMOPS):
Pagamento Eletrônico Através de Dispositivos Móveis
● Uma transação SEMPOS pode ser resumida nas seguintes fases:
1. Transação de dados
4. Verificação de pagamento
5. Confirmação 6. Confirmação
6. Confirmação
2. Requisição de pagamento
6. Confirmação
Comerciante
Consumidor
M-Pesa: O que é?
● O M-Pesa introduziu o serviço de pagamentos
móveis em larga escala no Quênia.
● Destaque devido a proporção e abrangência da adoção do serviço.
● Real impacto socioeconômico ao país.
● É um meio de pagamento eletrônico para
pequenos valores e loja (monetária). ●Acessível a partir de telefones celulares normais.
Pagamento Eletrônico Através de Dispositivos Móveis
98
M-Pesa: Como funciona?
● Depósito do dinheiro realizado pelos clientes M-PESA.
● Valor é armazenado como uma forma de valor
eletrônico.
● Usado em transferências de dinheiro, compra de
créditos de celular, ou fatura pagamento de contas.
●‘Desmaterializar’ o dinheiro oferece benefícios em:
● Segurança (reduzindo risco de roubo ou perda).
● Conveniência (menos volume, mais fácil de enviar
dinheiro remotamente, menores custos de transporte,
permite realizar a recarga e pagar contas do telefone).
● Privacidade.
Pagamento Eletrônico Através de Dispositivos Móveis
99
M-Pesa: Modelo de receitas.
● Registro do cliente e depósitos são livres.
● Clientes pagam então uma taxa fixa de aproximadamente
35 centavos de dólar americano para transferência P2P
(pessoa a pessoa) e pagamento de contas.
● 30 centavos de dólar americano para saques (em
transações de valor inferior a 30 dólares).
● 1,1 centavos de dólar americano para consulta de saldos.
Pagamento Eletrônico Através de Dispositivos Móveis
100
mFerio: O que é?
● O mFerio é um sistema baseado em tokens criado com o objetivo de substituir pagamentos em dinheiro.
● O projeto suporta transferências off-line dos tipos
P2P e POS através da utilização de NFC para a comunicação de curto alcance.
Pagamento Eletrônico Através de Dispositivos Móveis
101
102
mFerio : Como funciona?
Pagamento Eletrônico Através de Dispositivos Móveis
Passo 1: • Autentificação dos dispositivos.
Passos 2: • O emissor preenche a informação relativa ao pagamento. O
emissor confirma os dados introduzidos e autentica-se novamente.
Passo 3: • Aproximação dos dispositivos, dando início à primeira fase do
protocolo de dois toques. • Os dispositivos trocam informação que os identifica,
através de certificados digitais.
103
mFerio : Como funciona?
Pagamento Eletrônico Através de Dispositivos Móveis
Passo 4: • O dispositivo do emissor verifica o saldo do emissor, desconta
o valor do pagamento no saldo, prepara a mensagem de pagamento e assina-a.
• O receptor visualiza as informações sobre a transacção. • Emissor e receptor confirmam a transacção.
Passos 5 e 6: • Aproximação dos dispositivos pela segunda vez. • A transferência entre os dispositivos é então efetuada. • O dispositivo do receptor verifica a assinatura, incrementa o
saldo do receptor, assina um recibo da transacção e envia-o para o emissor.
104
mFerio : Como funciona?
Pagamento Eletrônico Através de Dispositivos Móveis
● Realizando uma transação P2P (Peer to Peer) com mFerio:
Emissor Dispositivo móvel do emissor
Dispositivo móvel do receptor
Receptor NFC 1 1
2
3
4 4
5
6
Oi-Paggo: O que é?
● A Oi lançou em 2007 o serviço de pagamento
móvel pioneiro no país, o qual permitia ao cliente
fazer compras via aparelho celular na rede de
lojistas credenciados.
● Contudo existia a obrigatoriedade da utilização de
um aparelho celular Oi pelo cliente
e outro pelo lojista.
Pagamento Eletrônico Através de Dispositivos Móveis
105
● “Cartão de crédito sem plástico, com
a autenticação sendo realizada pelo
aparelho celular Oi do usuário”.
Oi-Paggo: Pagamento com celular no POS
Pagamento Eletrônico Através de Dispositivos Móveis
106
Oi-Paggo: Pagamento com cartão no celular POS
Pagamento Eletrônico Através de Dispositivos Móveis
107
Enviar Msg. Para 922 Msg. 520
Valor R$50,20
Bandeira: Visa Master Amex Diners
Número do cartão: - - - - - - -
Validade do cartão: - - - - - - -
Código Segurança: Legível Ilegível Não possui
Código Segurança: - - - - - - - -
Selecione: Cred Avista Cred Parc
Processando...
VISA CRÉDITO Cartão: 12642****34 Valor:R$40,00 Status: Autorizada Referência: Camisa
fairCASH: O que é?
● É um sistema pré-pago que permite pagamentos à
distância e pagamentos de proximidade off-line.
● O sistema permite anonimato inquebrável dos
clientes, evitando que a identificação da aplicação de
pagamento seja associada com o cliente.
● O cliente não fornece os seus dados ao sistema
através de qualquer tipo de registo.
Pagamento Eletrônico Através de Dispositivos Móveis
108
fairCASH: Como funciona?
Pagamento Eletrônico Através de Dispositivos Móveis
Servidor
Dispositivo Móvel do
Cliente
Dispositivo Móvel do
Cliente
Dispositivo Móvel do
Cliente 109
Fase de pagamento Fase de pagamento
Comparação entre os sistemas:
Pagamento Eletrônico Através de Dispositivos Móveis
SEMOPS M-Pesa mFerio Oi-Paggo fairCASH
Valor Monetário das Transações
Todos Todos Todos Todos Não especificado
Tipo de Interação Todos POS e P2P POS e P2P POS e Virtual
Todos
Momento do Pagamento
Todos Pré-pago
Não especificado
Todos Pré-pago
Necessidade de Intermediários
On-line
Off-line Off-line
Off-line Off-line
Tipo de Criptografia
Mista
Mista
Mista
Não especificado
Assimétrica
Anonimato Parcial Não suportado
Apenas em parte do sistema
Não suportado
Sim
110
Desenvolvendo um
Exemplo de Sistema
M-Commerce
Objetivos
• Desenvolver um Exemplo de Sistema M-Commerce que
possibilite o acesso e utilização através de dispositivos
móveis.
• Ilustrar a interação com o gateway para validação do crédito
com as agências credoras.
• Captura e trânsito dos dados.
• Controle de Fraudes – Ataques – Chargebacks.
• Exibição do Sistema.
Pagamento Eletrônico Através de Dispositivos Móveis
112
Captura de Dados em Trânsito
Pagamento Eletrônico Através de Dispositivos Móveis
• Uma venda através de um site de comércio eletrônico
pode ser considerada, em uma perspectiva simplificada,
como um conjunto de dados.
• Cliente - > loja virtual - > instituição credora.
• Perspectiva clássica de B2C bem.
• Interceptação dessas informações no tráfego de
maneira criminosa.
• Tráfego em páginas de “conexão segura”.
• Protocolo HTTPS –SSL (Secure Sockets Layer).
113
Ataques a Sites de Comércio Eletrônico
Pagamento Eletrônico Através de Dispositivos Móveis
• Vulnerabilidades em sua infraestrutura tecnológica, (servidores,
equipamentos de rede, etc.), vulnerabilidades em seus processos
internos e vulnerabilidades em seus sistemas.
• A primeira barreira deve ser estabelecida na rede.
• Firewalls - determinar quais equipamentos podem estabelecer
conexão com os servidores mais críticos de sua empresa.
• Mecanismos de controle de acesso:
• Não substitui o uso de firewalls mas complementam a sua
proteção.
• Nem todos os empregados precisam ter acesso a todas
informações para desempenhar as suas atividades.
114
Controle sobre as fraudes
Pagamento Eletrônico Através de Dispositivos Móveis
• AVS (Address Verification Service) • Análise do endereço do comprador através do CEP.
• Anti-fraude CyberSource
• Analisa e identifica qual o nível de segurança de cada transação.
• Chargebacks
• Transação contestada pelo portador por não reconhecê-la. • Soft Descriptor - personalizar a informação que aparece na
fatura do portador, reduzindo o chargeback por não reconhecimento da compra.
115
Ataques a Sites de Comércio Eletrônico
Ataque aos servidores em busca dos dados de cartão armazenados.
Pagamento Eletrônico Através de Dispositivos Móveis
116 Resolvido pelo protocolo SET que foi desenvolvido pela VISA e MASTERCARD.
Características da solução
Pagamento Eletrônico Através de Dispositivos Móveis
• Comunicação com a Cielo através do Gateway de Pagamento da Locaweb.
• O Cielo E-Commerce foi desenvolvido com tecnologia XML, que é padrão de mercado sendo possível integrar-se utilizando linguagens de programação, tais como: ASP, ASP.Net, Java, PHP, Ruby, Python, etc.
• Segurança: a troca de informações se dá sempre entre o Servidor da Loja e da Cielo, ou seja, sem o browser do comprador.
117
Diagrama de Sequência do Processo de Compra no Sistema Desenvolvido
Pagamento Eletrônico Através de Dispositivos Móveis
118
118
Fecha pedido Criar transação Consulta transação
Retorna confirmação do pedido
Retorna consulta da transação
Retorna consulta da transação
processar()
Comprador Loja(Vendedor) Comércio Eletrônico Interface web CIELO
Pagamento Eletrônico Através de Dispositivos Móveis
Telas do sistema em um SmartPhone
119
Telas referentes a interação do cliente com a loja virtual
Escolha do meio de pagamento.
Pagamento Eletrônico Através de Dispositivos Móveis
Telas do sistema em um SmartPhone (Cont.)
120
Transação e finalização do pedido.
Pagamento Eletrônico Através de Dispositivos Móveis
Sistema – Transação
121
Pagamento Eletrônico Através de Dispositivos Móveis
Sistema – Relatório de Pedidos
122
Pagamento Eletrônico Através de Dispositivos Móveis
Sistema – Cadastro de produtos
123
Considerações Finais
Pagamento Eletrônico Através de Dispositivos Móveis
Considerações Finais
125
• Ainda temos muito que pesquisar na área do M-Commerce.
• Tecnologias M-Commerce possuem grande tendência para
o futuro.
• As tecnologias atuais se mostram instáveis em termos de
segurança.
• As empresas ainda não aceitam a tecnologia.
• Pesquisas em algoritmos de Criptografia mais seguros são
um campo promissor na área.
• O E-Commerce esta em amplo crescimento, este vem abrir
as portas para a aceitação do M-Commerce pelos
compradores.
Referências
Pagamento Eletrônico Através de Dispositivos Móveis
ALMEIDA, F. M.. ePaga - Sistema de Pagamento Electrónico. 2012. Lisboa:
Universidade Técnica de Lisboa.
BOESING, A. C. Pagamento eletrônico: estudo teórico e prototipação de um sistema baseado em sim card para transações ponto a ponto em dispositivos móveis utilizando bluetooth. TCC do curso do Centro Universitário Feevale – Rio Grande do Sul, 2008.
CIELO, e-Commerce. Manual do Desenvolvedor. Versão 2.5.1., 2012.
GARTNER, I. Gartner Says Worldwide Mobile Payment Transaction, Disponível
em: http://www.gartner.com/newsroom/id/2504915 Acesso em 16/09/2013
IPSOS, O. M.. Nosso Planeta Mobile: Brasil. 2012. Disponível em:
http:www.ormuztech.com.br/blog/images/stories/our_mobile_planet_brazil_pt_BR.pdf
MARTINS, R. ROCHA, J. HENRIQUES, M. Segurança dos Web Services no
Comércio Eletrônico Móvel, Disponível em:
http://homepages.di.fc.ul.pt/~paa/projects/conferences/coopmedia2003/10.pdf
Acesso em 20/08/2013.
NETO, F. M.. ePaga - Sistema de Pagamento Electrónico. 2012. Lisboa:
Universidade Técnica de Lisboa.
SAVI, E. F. LÓPEZ, C. O. Uma solução de m-commerce para a força de vendas
de empresas. In: 23º Congresso Nacional de Engenharia de Produção, 2003,
Ouro Preto. Minas Gerais, 2013.
Top Related