Madrock

EFT enheter og systemer, avhengig av maskinvareleverandøren, land og bank / betaling aggregator.
Nedenfor er en liste over ting du kan tenke deg å vurdere. Denne listen er på toppen av hodet mitt, så det er sannsynligvis ikke komplett.

Se på produkter og relasjoner oss vanligvis en god start.

Ting du bør vurdere:

• Kortet skimming metoder
• Enkelte EFT POS enheter begrense tilkobling av en skimmer
• Gjennomgang nivåer med tilhørende svindel
• Gjennomgang enheter og EFT metoder
• Gjennomgang terminal identifikasjon (kjøpmann og kunde)
• Manuell behandling. (intern og ekstern)
• eCommerce-produkter
• PC-basert programvare
• Dedikert server-tjenester (Nobil, osv.)
• Web-basert motor (Custom gjenstander, Web pop-ups, osv.)
• Fullmakt / identifikasjon metoder (Selger og kunde)
• TCPIP økt kapre / økt etterligning
• Direkte belastning så vel som kredittkort.
• Swift (metoder og kontroller)
• Telegraphic overføring (metoder og kontroller)
• Betaling aggregator relasjoner (f.eks Betaling Tech, manuell behandling, sjekk skanning, etc.)
• Internett banktjenester anlegg (angrep / penetrasjon, sertifikat registrering / ledelse, ISP SLA 's, etc.)
• Gjennomføring av smartkort og / eller alternative kunden anerkjennelse enheter.
• Outsourcing og tilhørende risiko / service nivå avtaler
• Betalingsbehandling
• Betaling avstand
• Betaling veksling
• Rapportering (raseskille av selgeren / kunder / aggregatorer / partnere / local / internasjonalt)
• Bedrageri deteksjon og rapportering
• 3dje part tilegner risiko
• Enkelt kjøpmann ID mange virksomheter
• Lar moneys å være laundered hvis betalingen aggregator ikke plasserer aktuelle kontroller på selgeren.
• Kryptering
• Internett / pålitelig partner / inter-bank / ekstranett
• Privat og / eller offentlige sertifikater
• Enkelt bruker sertifikater
• Klientsiden sertifikater
• Remisse råd prosesser og kontroller.
• EFT Disaster Recovery og manuell falle tilbake prosedyrer (tilknyttet sikkerhet og forsoning risiko)
• Pålitelig partner relasjoner, SLA 's, ansvar og risiko.
• EFT myndighetskrav / juridiske krav (inter-bank og regjering)
• Tilbakebetaling behandling / godkjenning. (retningslinjer, rutiner, kontroller, etc.)
• CVV, CVV -2 / CVC-2-behandling og ledelse. (http://www.atlanticpayment.com/ CVV. htm)
• Bedrageri gjenkjenning mekanisme (neural nettverk, inter-bank / avdeling kunde sjekker, osv.)
• Støttede kortet ordninger (AMEX / Visa / Mastercard / Oppdag / etc)
• Gjennomgang EFT etasje grenser (konsern og SMB-selgere)
• Gjennomgang evne til å holde selgeren forlik før tilstedeværelse av svindel har blitt bestemt.
• Gjennomgang kunde identifikasjon detaljer. For eksempel (Dette varierer rundt om i verden, avhengig av lokale forskrifter / personvern lover)
• Gjennomgang sanntids-og batched behandlingen metoder og kontroller (sekvensnummere, tilgang til rådata, osv.)
• Gjennomgå behandling med og uten utløpet datoer. (unntak kontroller og politikk)
• Gjennomgang unntak / svindel rapporter.
• Gjennomgang betaling lagre og videresende retningslinjer og prosedyrer.
• Gjennomgang før godkjenning og komplettering kontroller.
• Token basert betaling (eCash, osv.)
• Selgerens avstemming, rapportering metoder og kontroller (papir, Internett, e-post, PDF, Faks, osv.) og tilhørende sikkerhet.
• Sanntid, brutto oppgjør retningslinjer, rutiner og kontroller. (IT og mengder)
• Kortet utstede retningslinjer og prosedyrer. (kunde-ID-sjekker, osv.)
• Bank infrastruktur (inntrenging / egress) kontroller og sikkerhet. (Web, partner, betaling brytere, outsourcet infrastruktur, oppfølging / rapportering.)
• Bruk av Internett-teknologier for inter-bankoverføringer og eksternt utstyr.
• Fysisk sikkerhet og kontroller av utstyr, ATM, s, linje encryptors, etc.

Jeg har nylig blitt arbeider inne en av de større banker i Australia.
Gjennom dette arbeidet har jeg vært ute på kontroller og mekanismer rundt behandling av kreditt-og debetkort rundt i Asia og stillehavsområdet.

Jeg får utføre mange sikkerhets-arkitektur og betalingssystemer vurderinger.
I løpet av de årene jeg har alltid ansett for beskyttelse av kort-data som en av de viktigste hensyn.

Inntil i går hadde jeg aldri sett en CVV eller pvv dekryptering verktøy. Jeg tror noen skript bruk av disse verktøyene kan være svært interessant.
Nettstedet hziggurat29.com

Mange av de andre verktøyene på dette nettstedet er også veldig unik og verdt en titt.
Stor takk til ziggurat29 gis kjempebra verktøy.

Som mange av disse områdene er av denne natur er vanskelige å finne og ofte ser ut til å forsvinne over årene, har jeg valgt å gjenskape teksten fra denne siden og gi lokale kopier på filene.
Det er verdt å jevnlig besøke ziggurat29 området hver vår og nå igjen for å se om noen flere verktøy er lagt ut.

Et av de mer ekstraordinære filer er Atalla Hardware sikkerhetsmodul (HSM) og BogoAtalla for Linksys-emulering (simulering) verktøy. Så jeg lurer på om Eracom og Thales er skjelver i sine støvler. Noen hvordan jeg tror ikke det. ;-)

--- Ziggurat29 Tekst ---

Disse er alle Windows-kommandolinjeverktøy (unntatt der det er angitt); kjøre med-hjelp-alternativet
for å bestemme bruken.

DUKPT dekryptere (<- selve filen lastes ned)

Dette er et verktøy som vil dekryptere Kryptert PIN Stenger som er produsert via DUKPT trippel-DES-metoden. Jeg brukte dette for å teste produksjonen av noen PIN-tast programvaren jeg hadde skapt, men er også nyttig for andre debugging formål.

VISA pvv Kalkulator (<- den faktiske
Filen du laster ned)

Dette er et verktøy som skal beregne og kontrollere PIN Verification Verdier som er produsert ved hjelp av VISA pvv teknikk. Den har en haug med ekstra funksjoner, for eksempel bekreftelse og løse et PAN (Luhn beregninger), oppretting og kryptere PIN-blokker, dekryptering og utpakking av PIN-koder fra kryptert PIN, etc.

VISA CVV Kalkulator (<- selve filen lastes ned)

Dette er et verktøy som vil beregne Card Verification Verdier som er produsert ved hjelp av VISA CVV teknikk. MasterCard CVC bruker CVV algoritme, så det vil arbeide for at så godt. Det vil beregne CVV, CVV2, CVV3, iCVV, CAVV, siden Dette er bare variasjoner på service-kode og
Formatet på utløpsdato. Verifikasjon er ganske enkelt å sammenligne de beregnede verdien med det du har mottatt, så det er ikke eksplisitt bekreftelse funksjon.

Atalla AKB Kalkulator (<- selve filen lastes ned)

Dette er et verktøy som vil både generere og dekryptere Atalla AKB cryptograms. Du trenger klartekst MFK å utføre disse operasjonene. Når dekryptering, MAC vil også bli kontrollert, og resultatene vises.

BogoAtalla (<- selve filen til
nedlasting)

Dette er en Atalla emulator (eller simulator). Denne software emulering (simulering) av den kjente Atalla Hardware sikkerhetsmodul (HSM) som brukes av banker og prosessorer for kryptografiske operasjoner, som for eksempel bekreftelse / oversettelse PIN-blokker, autorisere transaksjoner ved bekrefting
CVV / CSC tall og resultater nøkkel utveksling prosedyrer, ble produsert for testing. Denne implementeringen er ikke av den komplette HP Atalla kommando sett, men heller bare
deler som jeg selv trengte. Det blir sagt, er det fullstendig nok hvis du utfører, anskaffe og / eller utstedelse av behandlingen funksjoner, og bruker mer moderne ordninger som for eksempel Visa pvv og DUKPT, og trenger å gjøre generasjon, bekreftelsen, og oversetting.

Dette kjøres som en lytter socket server og håndterer de innfødte Atalla kommando innstilt. Jeg har tatt noen friheter med feilen returnerer verdier og ikke etter for high-fidelity det (dvs. at du kan få en annen feil svar fra innfødt maskinvare), men definitivt bør få like positive
svar. Enkelte funksjoner implementert her normalt vil kreve å kjøpe premium-kommandoer, men alle kommandoer her implementert er tilgjengelig. Eksempler på dette er å generere pvv verdier og kryptering / dekryptering klartekst PIN-verdier.

BogoAtalla for Linksys (<- selve filen lastes ned)

Dette er Atalla emulator portert til Linux og bygge for installasjon på en OpenWRT systemet. Lager for en veldig billig ($ 60 USD) utvikling / teste enheten.

Lokale filer

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

En blogg oppslaget på BoingBoing gir ytterligere diskusjoner med hensyn til
upassende distribusjon og av RFID-brikker innenfor eksisterende betaling
markedsplass.

http://www. boingboing .net/2006/10/23/report_contactless_c.html

Den underliggende poenget med denne artikkelen er, at kortet ordninger og banker sier de bruker nøkkelen roterende kryptering av alle data mellom kortet og acquirer utsteder, men dette er åpenbart ikke er tilfelle i mange situasjoner.

En annen interessant papiret er "RFID betalingskort Sikkerhetsproblemer Technical Report" som finnes på:

http://www.nytimes.com/packages/pdf/business/20061023_CARD/techreport.pdf

Anskaffe institusjon
Financial Institution, som har det Selgerkonto del i en økonomisk transaksjon, vanligvis den første banken involvert i behandlingen av en betaling.

Applet
Et lite dataprogram som gjør resultatene for bestemte oppgaver.

Båndbredde
Kapasiteten til en server til å bære eller behandle informasjon. Jo høyere båndbredde jo raskere grafikk-Laden nettsider vil laste ned.

Nettleser
Forkortelse for web-leser, et program som brukes til å finne og vise Web-sider. De to mest populære nettleserne er Netscape Navigator og Microsoft Internet Explorer. Begge disse er grafiske nettlesere, som betyr at de kan vise grafikk samt tekst. I tillegg har de fleste moderne nettlesere kan presentere multimedia informasjon, inkludert lyd og video, selv om de krever plug-ins for enkelte formater.

Caching
Den automatiske kopiering og lagring av ofte brukte informasjonen til en datamaskin - vanligvis hurtigbufring er sett mens du surfer på internett (grafikk osv.), og brukes av Internet Service Providers (ISP-er) for å redusere mengden data som forespørres fra brukeren til internett.

Utsteder
Financial Institution som har utstedt kortinnehaveren konto og kort.

Kortinnehaveren
Den enkelte deltar i økonomiske transaksjoner med kortet blir kreditert eller debitert.

Card Verification Data
Tilleggsinformasjonen trykt på kortet som skal behandles. Dette brukes til å kontrollere om kortet var til stede når transaksjonen ble igangsatt. Dette er den ekstra sifre trykt på kortet vanligvis på baksiden av VISA og Mastercard og på forsiden av AMEX.

Sertifikat
En X.509-sertifikatet som brukes til å godkjenne selskaper som for eksempel selgere og betaling gatewayer. Sertifikater kan brukes til å identifisere og / eller kryptere sensitive data som kort nummer og personlige kortinnehaveren informasjon.

CGI
Common Gateway Interface: En protokoll som gjør at en webside for å kjøre et program på en webserver. Former, tellere, og Gjestene bøker er vanlige eksempler på CGI-programmer.

Ethvert stykke programvare kan være et CGI-programmet hvis det håndterer inn-og utgang i henhold til CGI-standarden. Vanligvis er et CGI-program er et lite program som tar data fra en webserver og gjør noe med det, liker å sette innholdet i et skjema i en e-postmelding, eller slå av data i en database søket. CGI "script" er bare skript som bruker CGI. CGI er ofte forveksles med Perl, som er et programmeringsspråk, mens CGI er et grensesnitt til serveren fra en bestemt program.

Client
En datamaskin eller programvare som ber om en tjeneste til en annen datamaskin eller behandle (en "server"). For eksempel en arbeidsstasjon ber om innholdet i en fil fra en filserver er kunde av filserver. En nettleser er oftest referert til som en klient.

Klienter og servere
Generelt, alt av maskiner på internett kan kategoriseres som to typer servere og klienter. De maskiner som leverer tjenester (som webservere eller FTP-servere) til andre maskiner som servere. Og maskinene som brukes til å koble til disse tjenestene er klienter.

Når du kobler til Yahoo på www.google.com for å lese en side, Google leverer en maskin (nok en kluster av svært store maskiner), for bruk på Internett, til service forespørselen din. Google gir en server. Maskinen, derimot, er trolig gir ingen tjenester til andre på Internett. Derfor er det en bruker maskinen, også kjent som en klient. Det er mulig og vanlig for en maskin å være både en server og en klient!

Cookie
En fil som sendes med enkelte webservere til datamaskinens harddisk, slik at du raskt og enkelt kan gå tilbake til bestemte områder. Cookies gi opphav til bekymringer for personvernet når de blir ofte brukt til å lagre informasjon brukt i markedsføringsøyemed.

Hovedhensikten med informasjonskapsler er å identifisere brukere og eventuelt utarbeide skreddersydde web-sider for dem. Når du går inn på et nettsted ved hjelp av cookies, kan du bli bedt om å fylle ut et skjema å gi slik informasjon som ditt navn og interesser. Denne informasjonen er pakket inn i en cookie og sendt til nettleseren din som lagrer dem til senere bruk. Neste gang du går til samme sted, din nettleser vil sende cookie til webserveren. Serveren kan bruke denne informasjonen til å presentere deg med tilpassede websider. Så, for eksempel, i stedet for å se bare et generisk aksepteres siden kan du se en velkomst side med ditt navn på.

CRN
Kunden Receipt Number (CRN) brukes for å hjelpe kortholderen, betalingen gateway og transaksjonen acquirer å bekrefte transaksjonen er behandlet, og for å spore transaksjonen i løpet av ende-til-ende transaksjonen. Dette er ofte brukt når det gjøres forespørsler om en transaksjon eller for transaksjonen sporing.

Cybersquatting
Bad tro, fornærmende domenenavnregistrering. Cybersquatters registrere firma-og produktnavn som domenenavn med sikte på å selge dem på kunstig høye priser til de "rettmessige" eiere.

/ CVC
Tilleggsinformasjonen trykt på kortet som skal behandles. Dette brukes til å kontrollere om kortet var til stede når transaksjonen ble igangsatt. Dette er den ekstra sifre trykt på kortet vanligvis på baksiden av VISA og Mastercard og på forsiden av AMEX.

Database
En samling av data: en del tall, produkt kodene, kundeinformasjon osv. Det refererer vanligvis til data organisert og lagret på en datamaskin som kan søkes og hentes av et dataprogram.

Deep koblingen
En hypertekst kobles direkte til en webside, ofte bypassing hjemmesider eller andre identifiserende sider.

Digitale sertifikat
En pop up-vindu som gir deg mulighet til å identifiser nivå av kryptering for å sikre et bestemt nettsted.

Digital signatur
En kompleks numerisk "signatur" utviklet for å brukes i forbindelse med spesiell programvare, for å godkjenne avsenderen av en melding, og garanterer at innholdet i meldingen ikke er endret under overføring til mottakeren. EU har vedtatt lovgivning som gjør elektroniske signaturer juridisk gyldig. Electronic Transaction Bill (Cth) 1999 har samme virkning i Australia.

Domenenavn
Den vanlig engelsk navn gitt til en vert reisemål på Internett, for eksempel www.madrock.net. Suffikset, dot.com er kjent som det generiske toppnivådomenet, prefikset madrock. Domenenavnet utgjør en del av Internett-adresse eller URL.

Et navn som identifiserer en eller flere IP-adresser. For eksempel domenenavnet microsoft.com representerer om lag et dusin IP-adresser. Domenenavn brukes i webadresser for å identifisere bestemte Web-sider. For eksempel, i URL http://www.madrock.net, domenenavnet er madrock.net.

Laste ned
Å overføre informasjon fra én datamaskin til datamaskinen din.

Dynamisk nettside
En web-dokument som er opprettet fra en database i sanntid eller "på fly" samtidig som den blir sett, noe som gir en kontinuerlig flyt av ny informasjon og å gi brukerne en ny opplevelse hver gang de besøker nettstedet.

Dynamiske nettsider tilbyr brukeren muligheten til å kommunisere med nettstedet. Dette samspillet kan foregå i form av et søk etter produkter, et spørreskjema som automatisk innlegg resultater eller online-målinger. I utgangspunktet dynamiske websider og innhold som er generert fra skriving av brukeren.

EC
Electronic Commerce.

Ofte referert til som bare e-handel, virksomhet som er gjennomført over Internett ved hjelp av noen av de programmer som er avhengige av Internett, for eksempel e-post, chat, handlekurver, webtjenester, og FTP, blant andre. Elektronisk handel kan være mellom to virksomheter som overfører penger, varer, tjenester og / eller data eller mellom en bedrift og en kunde.

ECI
Electronic Commerce Indicator (ECI), brukes til å finne kilden til opprinnelige transaksjonen forespørsel. Dette er et program som bankene har utviklet og har mandat er det bruk.

Electronic Data Interchange (EDI)
Systemer som er opprettet av bedrifter som tilrettelegger for elektronisk utveksling av informasjon.

Kryptering
Prosessen med Scrambling data for å hindre at den ble sett av uautoriserte personer.

Utløpsdatoen
Dato trykt på kortet som viser når kortet utløper. For ikke å forveksles med kortet Utgivelsesdato funnet på noen kort.

Firewall
Et elektronisk sikkerhet barriere og / eller trafikk-filter.

Skjemaer
Former er web-sidene består av tekst og "felt" for en bruker å fylle på med informasjon. De er en utmerket måte å samle og bearbeide informasjon fra personer som besøker et nettsted, samt å gi dem muligheten til å samhandle med websider. Skjemaer er skrevet i HTML og behandlet av CGI-programmer.

Ramme
En måte å dele en Internett-skjermen i flere avdelinger. Rammer kan gi opphav til tvister om nettsider laget av tredjeparter er innrammet som din egen.

FTP-servere
En av de eldste av Internett-tjenester, File Transfer Protocol gjør det mulig å flytte én eller flere filer sikkert mellom datamaskiner samtidig sørge fil sikkerhet og organisasjon samt overføre kontrollen.

Oppfyllelse
1. Prosessen med å forsyne varer etter at en bestilling er mottatt.
2. Prosessen med å reagere på en forespørsel fra Kunden, som dekker alt som har skjedd fra det tidspunkt kunden legger inn en bestilling før de er helt fornøyd.

Vert
Alle datamaskiner på et nettverk som tilbyr tjenester eller informasjon til andre datamaskiner på nettverket. En vert er også kalles en server.

Integrering
Programvaren og / eller forretningsprosesser som kombinerer Merchant 's (nettsted, back office, osv.) For systemet for behandling med EFT Network Electronic Payment System.

IP-adresse
Hver datamaskin som er koblet til Internett er tildelt et unikt nummer som er kjent som en Internet Protocol (IP) adresse. Siden disse tallene er vanligvis tilordnet i land-baserte blokker, en IP-adresse kan ofte brukes til å identifisere det landet som har en datamaskin, er å koble til Internett.

Gateway
Et system som tillater inkompatible datanettverk til å sende og motta informasjon.

HTML (Hypertext Markup Language)
Språk som brukes til å oversette tekst i et skjema som kan sendes over Internett.

Hyperkobling
En markert uttrykk i et dokument som tillater å linke til et annet dokument eller en del av et dokument.

Internet Content Host (ICH)
Den som vert eller foreslå å betjene innhold på Internett. Noen som er ansvarlig for et nettsted, nyheter gruppe eller oppslagstavle som inneholder artikler, grafikk eller andre Internett-innhold leveres av andre. Det vert mai / kanskje ikke også produsere sine egne og / eller gi tilgang til Internett via en vogn tjenesten, dvs. de kan også være en ISP.

Internet Service Provider (ISP)
En bedrift som tilbyr en Internett-tilkobling gjennom en form for Internett-kjerre-tjenesten, for eksempel Sprint, Chello Broadband, Telstra Bigpond, Adam Internett, Internode. ISP 's mai / kan ikke også være ICHs.

Mail-servere
Nesten like allestedsnærværende og avgjørende som Web-servere, mail-servere flytte og lagre e-post via bedriftens nettverk (via lokalnett og WANs) og over Internett.

Handelskonto
Dette er en konto satt opp med en bank å behandle kredittkort bestillinger fra kunder.

Selgerens
Enheten som mottar betaling for varer og / eller tjenester.

Selgerens konto
Selgeren er kontoen i hvilke transaksjoner er kreditert eller debitert.

Merchant Server
Programvaren installert på Merchant 's nettsider eller "back office"-systemet for at sanntid eller batched behandling av finansielle transaksjoner.

Merchant Server Administrator
Den person (er) er ansvarlig for vedlikehold av Merchant Server, inkludert utstedelse og import av selgeren sertifikater.

MTL
Selgerens Transaction Layer (MTL)

PAN
Primær Account Number (PAN) er tallet på kunder kortet til å referere til kortinnehaveren finansielle konto. Dette er vanligvis den kortnummer.

Payment Gateway
The Payment Gateway gir et sentralt punkt for kontakt / transaksjon veksling med banktjenester nettverk for Merchant Server programvare eller enheter. EFT Networks Payment Gateway tilbyr avansert integrert rapportering, kjøpmann integrering tjenester (mainframe, Mini, Windows, UNIX, OS400, Desktop / Server, EFT POS-terminaler. Lojalitet systemer, osv.) og Merchant / Bank kundetilpassede løsninger som ikke tilbys av regional eller global banktjenester institusjoner.

Et nettbasert system for sanntids-lading av kredittkort når en kunde legger inn en bestilling. Normalt krever en kjøpmann konto.

Et vanlig spørsmål fra selgere er "Har vi å endre bankene til å bruke betaling gatewayer?"

Svaret er NEI! - Alt du trenger å gjøre er å åpne en kjøpmann, med en av de støttede banker, EFT Networks kan sikre at du åpner riktig for din transaksjon behov. Selgeren anlegget er så knyttet til en nominert bankkonto for eksempel: Bank of New Zealand, ANZ, St George Bank, NAB, Commonwealth, Westpac, Bank of America, Bank of Scotland, Barclay's Bank of Queensland, etc. pengene blir deretter overført på slutten av hver dag fra selgeren kontoen til nominert konto.

"Pretty Good Privacy"
En type kryptering som brukes til å rykke ut data.

Portal
Et nettsted som samler sammen mange sider under en felles merkevarebygging, for eksempel Yahoo og Excite.

Privat nøkkel
Passordet som tillater at opplysningene skal dekodes i en offentlig-nøkkel kryptering systemet.

Public key
Passordet som brukes til å sende en sikker melding i en offentlig-nøkkel kryptering systemet.

Sikkert Sertifikatstatus
Et dokument som brukes til å bekrefte at en bruker eller organisasjon er som de sier de er. De inneholder informasjon om hvem den tilhører, som det ble utstedt av, utløpsdatoen og informasjon som kan brukes til å sjekke innholdet av sertifikatet. Det er som en viktig del av SSL-systemet for å etablere sikre tilkoblinger.

Server
En datamaskin som tilbyr en tjeneste til andre datamaskiner (kjent som kunder) i et nettverk.

Handlekurv
En handlekurv er et stykke programvare som fungerer som en Internett-butikk er katalog og bestilling prosessen. Vanligvis en handlekurv er grensesnittet mellom et selskaps webområde og dens dypere infrastruktur, slik at forbrukerne å velge varer; vurdere hva de har valgt; foreta nødvendige endringer eller tillegg, og kjøpe varer.

Handlekurver kan bli solgt som selvstendige deler av programvaren, slik at selskapene kan integrere dem i sine egne, unike online-løsning, eller de kan tilbys som en funksjon fra en tjeneste som vil opprette og vert for et selskaps webområde for e-handel.

Spam
Bruk av e-post eller nyhetsgrupper for å sende uønsket informasjon.

SSL
Forkortelse for Secure Sockets Layer, en protokoll utviklet av Netscape for overføring private dokumenter via Internett. SSL fungerer ved hjelp av en privat nøkkel til å kryptere data som overføres over SSL-tilkobling. Både Netscape Navigator og Internet Explorer støtter SSL, og mange nettsteder bruker protokollen for å få tak i konfidensiell informasjon, for eksempel kredittkortnumre. Ved konvensjonen, webadresser som krever en SSL-tilkobling starter med https: i stedet for http:.

Lar kundene vet at du har SSL-beskyttelse gir webområdet ditt troverdighet og kan oppmuntre kundene til å ta med deg i fortrolighet.

En sikkerhets protokoll som brukes til å beskytte informasjon - vanligvis brukes mellom kortinnehaveren nettleser, og selgeren er webserveren og utover transaksjonsbehandling prosessen. 128bit SSL er typisk brukt som et minimum innenfor Betaling & Finansielle næringer.

En sikker server bruker et SSL-sertifikat. Det er generelt et stykke nettsted som bare kan håndteres ved hjelp av SSL at data overføres mellom web-plass og leseren er kryptert.

Statisk nettside
I nettsted vilkår, statisk betyr at nettsider som ikke er interaktivt. Fordi nettstedet besøkende ikke har noen kontroll over informasjonen som gis, hvilke sider og informasjon som ikke endres ved hvert besøk. Det er ikke en to-veis kommunikasjon mellom bruker (klient) og nettsted (server) i en statisk side.

Uniform Resource Locator (URL)
En Internett-adresse.

Web-side
En bestemt gruppe av relaterte filer på Internett, som vanligvis oppfattes som ett dokument.

Webservere
På sine kjerneområder, en webserver serverer statisk innhold til en Web-leser ved lasting av en fil fra en harddisk, og serverer det hele nettverket til brukerens nettleser. Hele denne utvekslingen er mediert av nettleseren og serveren å snakke med hverandre ved hjelp av HTTP.

Web site
En samling av web-sider er lagret på en filserver.

Jeg leste en meget interessant papir laget av University of Massachusetts, RSA Laboratories og Innealta, Inc. <<

Denne utredningen hovedsakelig er relatert til kompromiss i kontakt mindre betaling teknologier (RFID) om RFID og / eller leseren ikke har blitt implementert på riktig måte eller løsningen har brukt en upassende type RFID og diskuterer utfordringene rundt Chip og PIN-kode med hensyn til finansiell transaksjoner f.eks EMV standarder og kompatibilitet.

I tillegg papiret beskriver en RFID relé metode som blir diskutert i mange fora rundt om i verden og vi har nå begynt å se utstyr som blir produsert for RFID skimmers / clonners å bruke for skadelig måte.

Det overordnede poenget med denne utredningen er å bruke en passende RFID & Chip løsninger som støtter sikkerhet / personvern av brukerne og formålet med transaksjonen (finansielle og ikke finansielle) <<

Papiret kan bli funnet på http://prisms.cs.umass.edu/ ~ kevinfu / papers / RFID-CC-manuscript.pdf

I moderne betaling RFID & Chip løsninger, nyere utstyr kan brukes som besitter en høy grad av bearbeiding makt og er derfor i stand til å gjennomføre kraftige kryptografiske metoder (for eksempel digitale signaturer) for å beskytte identifisering og betalingsinformasjon mens transaksjonen er oppstått.

Disse systemene ofte behersker bidirectional godkjenning mellom RFID / Chip skanner og RFID-tag / Chip før du utfører transaksjonen. Disse metodene og kryptografiske algoritmer er akseptert og vist seg å arbeide innenfor de tradisjonelle betaling markeder.

Som nevnt i avisen, noen løsning lagre statisk digitalt signerte og / eller krypterte data som er gitt til RFID / Chip-leser når spørres, men disse dataene aldri endres fra én transaksjon til en annen. Dette kan tillate at en ondsinnet enkelte til å fange opp og re-injisere dataene i leseren på et senere stadium. Alternativet til lagring av statiske digitalt signerte og / eller krypterte data er å forhandle frem en nøkkel utveksling på tidspunktet for transaksjonen der kortet / verdi informasjon krypteres og senere overført. Med denne metoden de overført data
endringer på hver transaksjon og derfor selv om et ondsinnet individuelle var å fange kryptert transaksjon data fra én transaksjon, vil dette ikke bli akseptert av leseren hvis reinjiseres på et senere stadium.

Selv om dette er tilfellet i dag, voksne RFID / Chip løsninger ofte bruke teknologi som ikke er passende for finansielle transaksjoner og derfor kan være kompromittert enkelt og i noen tilfeller uten kunnskap om kortholderen, selgeren eller acquirer.

I find this interesting how some of these less secure solution have been approved for use by acquiring banks and the card schemes around the world (if they were told) in recent years, where it has been seen that these solutions have utilised techniques or deployment methods which can be compromised. These technologies and techniques would never be approved within the Point of Sale (PoS) or traditional banking markets.

It can only be assumed that the need to get product to market quickly at the expense of proper testing, understanding and with due consideration to industry lessons learnt has succeeded again.

An international standard for proximity or contactless smart card communication

ISO 14443 contactless card

ISO 14443 is an international standard which describes how contactless cards and terminals should work to ensure industry-wide compatibility, for example in identity , security , payment , mass-transit and access control applications.

ISO standards are developed by the ISO, the International Organization for Standardization. Technical committees comprising experts from the industrial, technical and business sectors develop the standards to increase levels of quality, reliability and interoperability on a global scale.

Gemplus has always had a strong involvement in ISO definition of the chip card standards , and has been represented in the development of this international standard. The ISO 14443 is divided into 4 separate parts outlining physical characteristics, radio frequency power and signal interface , initialization and anti-collision and transmission protocol.

Gemplus has developed a wide range of contactless payment solutions based on the ISO 14443 international standard. The speed and convenience of contactless technology has created a significant demand for this sort of solution in environments such as fast food restaurants, gas stations, public transport services , banks and many others.

Redirected from