Безопасность электронной коммерции, банковских и платежных систем
Код курса БТ10, 3 дня
Аннотация
Обучение на данном курсе позволит специалистам обновить, значительно дополнить и систематизировать свои знания о зарубежных и отечественных системах электронной коммерции (ЭК), электронных платежах, основных рисках электронной коммерции. В программе рассматриваются инфраструктуры безопасности и технологические методы снижения рисков в системах электронной коммерции. В режиме интенсивной подготовки слушатели знакомятся с практическими аспектами работы отечественных и зарубежных платежных систем, систем "Клиент-Банк" и обеспечением их безопасности.
Аудитория
Руководители и специалисты подразделений технической защиты информации организаций и предприятий, использующих системы электронной коммерции и системы электронных платежей
Руководители и специалисты подразделений экономической безопасности
Предварительная подготовка
Базовые знания о современных платежных и банковских технологиях, общие представления об информационных системах и технических аспектах обеспечения информационной безопасности.
По окончании обучения
Вы сможете:
Разрабатывать основные положения концепции построения и эффективного применения современных систем безопасности электронной коммерции и платежных систем
Проводить информационные обследования и анализ рисков информационных подсистем электронной коммерции и платежных систем
Разворачивать собственную инфраструктуру безопасности ЭК на базе управления сертификатами
Организовывать деятельность служб безопасности предприятий электронной коммерции
Пакет слушателя
Фирменное учебное пособие
Компакт-диск с нормативно-методическими, обзорными и справочными документами
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".
Обучение на данном курсе учитывается при получении специалистами государственных документов в области информационной безопасности в Учебном центре "Информзащита" в соответствии с ПОЛОЖЕНИЕМ об условиях получения специалистами государственных документов о повышении квалификации в области защиты информации.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа учебного курса
Раздел 1. Основы безопасности электронной коммерции
Традиционная и электронная коммерция: основные понятия и определения, этапы и участники сделки, сходства и различия. Электронная коммерция. Контактные и заочные транзакции. Мобильная и Интернет коммерция. Прототипы современных систем электронной коммерции: MoTo, MINITEL, EDI и EFT. Основные виды электронной коммерции: B2B и B2C, C2C и др. Зарубежные стандарты электронной коммерции (IOTP, JEPI). Российские особенности электронной коммерции.
Безопасность платежных систем традиционной коммерции. Анализ рисков платежных систем традиционной коммерции с использованием чеков, дебетовых и кредитовых переводов, предоплаченных финансовых продуктов и пластиковых карт. Безопасность пластиковых карт с магнитной полосой: PIN-, PVV-, CVC2- и CVV2-коды, PVK- и TPK-ключи, HSM-модуль.
Инфраструктура безопасности электронной коммерции. Основные угрозы интересам участников торговой CNP транзакции и пути обеспечения ее безопасности. Технологические приемы обеспечения безопасности (депонирование, третейский суд, юридически значимое оформление сделки и др.). Аутентификация участников CNP-транзакции. Обеспечение конфиденциальности, целостности, неотказуемости (доказуемости) и приватности CNP транзакций. Протокол SSL. Электронные XML-документы и ЭЦП. Система временных меток (Digital Timestamping Service - DTS). Сертификат X.509. Управление сертификатами и инфраструктура открытых ключей PKI. Компоненты PKI (центры регистрации и сертификации, хранилища сертификатов и списков CRL, клиентское ПО и др.) и их основные функции. Иерархия центров сертификации. Модели доверия. Стандарты PKI (PKCS, X.509, RFC). Решения в области безопасности электронной коммерции в зарубежных стандартах безопасности (ISO 17799, ISO15408-99). Сертификация систем электронной коммерции WebTrust.
Раздел 2. Безопасность электронных транзакций в системах B2C и C2C
Безопасность заочных карточных транзакций. Основные угрозы безопасности участников транзакции и механизмы защиты. Использование SSL для защиты карточных транзакций. Совершенствование процедуры аутентификации владельца карты (дополнительные PIN и AVS коды). Технология виртуального POS-сервера и анализ транзакций. Применение протоколов безопасности платежей (CyberCash, FirstVirtual, Verifone). Виртуализация платежных карт и корпоративная регистрация. Основные виды мошенничества в заочных карточных электронных транзакциях и способы борьбы с ними.
Протокол безопасных электронных транзакций SET. Архитектура безопасности SET. Платежный шлюз. Основные сервисы безопасности SET: регистрация, выдача и управление сертификатами, обеспечение конфиденциальности и целостности торговых транзакций, платежная авторизация и финансовые расчеты. Платежный сертификат SET и технология двойной цифровой подписи. Основные форматы криптографических сообщений. Расширения SET (Common Chip Extension, CVV2/CVC2 Extension, On-line PIN Extension).
Новые протоколы безопасности заочных платежей. Стандарт SPA/USAF от MasterCard. Показатель удостоверения владельца счета (AAV) и MasterCard Secure Code. Протокол 3D-Secure: архитектура и безопасность. Сервер регистрации и контроля доступа. Сервер истории аутентификации и Plug in сервера продавца. Сервер Visa Directory.
Безопасность транзакций с использованием электронных денег. Основные требования по безопасности, предъявляемые к электронным деньгам. Цифровые наличные DigiCash и слепая подпись. Виртуальные чеки ECHECK с ЭЦП и PKI. Основные риски применения цифровых наличных и виртуальных чеков.
Безопасность платежных смарт-карт и электронных кошельков. Протокол EMV. Статическая и динамическая offline аутентификация смарт-карты. Offline-аутентификация владельца смарт-карты. Формирование криптограммы приложения и аутентификация эмитента. Управление ключами и безопасность сообщений и терминала. Протокол безопасности электронных кошельков CEPS: двухсторонняя offline-аутентификация платежной карты и терминала. Динамическая аутентификация при загрузке и выгрузке денег, при переводе средств и торговых транзакциях. Ключи и сертификаты электронного кошелька. Управление ключами терминала, карты и эмитента.
Раздел 3. Безопасность электронных транзакций в системах B2B
Безопасность систем "Клиент-Банк". Основные конфликты безопасности и их разрешение. Защита интересов клиента. Интернет-банкинг. Протокол безопасного электронного взаимодействия: электронные платежные документы и квитанции, временные метки и архивирование. Безопасность клиентского АРМа и технологии обработки платежей в банке. Решение проблемы юридической значимости и основные положения договора "Клиент-Банк".
Безопасность систем межбанковских расчетов. Дискретный и непрерывный режим проведения платежей. Уязвимости и основные угрозы безопасности. Безопасный терминал управления корреспондентскими счетами и платежный регламент.
Раздел 4. Правовые вопросы электронной коммерции
Правовая защита интересов участников торговой транзакции. Юридическая значимость электронных документов. Основные требования нормативных документов к СКЗИ: лицензирование и сертификация. Закон РФ "Об ЭЦП" и зарубежное законодательство.
Раздел 5. Российские платежные системы электронной коммерции и их безопасность
CyberPlat - решения безопасного процессинга платежей и конфиденциального электронного документооборота. PayCash и основные атрибуты безопасности: счет, кошелек, платежная книжка и договор. Примеры мошенничества и способы борьбы с ними. Двухфазные платежи с протекцией сделки в системе WebMoney. Конфиденциальность и анонимность платежей. Инфраструктура аттестации участников.